那些遇到过的问题

以编程方式确定在另一个进程中加载​​了哪些模块?(OS X)

Gee*_*esu 8 macos xcode gdb objective-c

我想要做的事情我觉得非常简单,我只是不确定如何做到这一点.

具体来说,我只想获得一个在另一个进程中加载​​的模块列表(共享/动态库).以及获取该模块在给定进程中的起始地址.

通过GDB获取此信息非常简单.您只需连接到该流程,然后键入"info shared".这是我想要的确切信息类型.如:

Num Basename
类型地址原因| | 来源| |
| | | | | |
1 Adium
- 0x1000 exec YY /Applications/Adium.app/Contents/MacOS/Adium(offset 0x0)2 dyld
- 0x8fe00000 dyld YY/usr/lib/dyld,位于0x8fe00000(偏移量0x0),前缀为"__dyld_"3 WebCore F 0x95b6a000 dyld YY /System/Library/Frameworks/WebKit.framework/Versions/A/Frameworks/WebCore.framework/Versions/A/WebCore位于0x95b6a000(偏移量0x95b6a000)

有没有人知道如何以编程方式执行此操作?显然,模块负载是动态的,所以我需要确定它的位置.

Zor*_*org 12

首先使用task_for_pid()来获取任务端口.

然后使用task_info找到"dyld所有图像信息地址":

struct task_dyld_info dyld_info;
mach_msg_type_number_t count = TASK_DYLD_INFO_COUNT;
if (task_info(task, TASK_DYLD_INFO, (task_info_t)&dyld_info, &count) == KERN_SUCCESS)
{
    // retrieve dyld_info.all_image_info_addr;
}
Run Code Online (Sandbox Code Playgroud)

该地址将指向内存中的struct dyld_all_image_infos:

struct dyld_all_image_infos {
    uint32_t version;
    uint32_t infoArrayCount;
    const struct dyld_image_info* infoArray;
    // ...
}
Run Code Online (Sandbox Code Playgroud)

infoArrayCount和infoArray条目在这里很重要.您必须检索这些值(使用mach_vm_read)并遍历infoArray.每个条目都是struct dyld_image_info:

struct dyld_image_info {
    const struct mach_header* imageLoadAddress;
    const char* imageFilePath;
    uintptr_t imageFileModDate;
};
Run Code Online (Sandbox Code Playgroud)

在此结构中,您有兴趣检索imageLoadAddress(内存中库的地址)和imageFilePath(内存中以NULL终止的文件路径的地址)的值.

重要说明:上面结构中标记为指针或uintptr_t的字段具有不同的字节大小,具体取决于正在运行的进程是32位还是64位.您可以通过查看dyld_info.all_image_info_format是否为TASK_DYLD_ALL_IMAGE_INFO_32或TASK_DYLD_ALL_IMAGE_INFO_64(应该可以工作,但我自己没有对此进行测试)来确定指针大小.

最后,这仍然不包括动态链接器本身的条目.要检索它,我发现的一种方法是遍历vm区域(即mach_vm_region),找到第一个看起来像是一个马赫音色的区域(检查MH_DYLINKER作为文件类型;参见mach-o文件格式了解更多信息).最后我记得检查,gdb和/或lldb也有这样做的功能.解析mach头也是判断进程是32位还是64位的一种可能方法.

检索所有dyld图像信息条目后,您可能还希望按地址对它们进行排序.

我建议不要查看newosxbook的vmmap实现代码.它已经过时(因为它仍然使用DYLD_ALL_IMAGE_INFOS_OFFSET_OFFSET),它会做一些不必要的暴力破解.

bbu*_*bum 2

我建议您可以去下载开发工具使用的 gdb源代码。

但是,好吧,我已经阅读了该资料来源,但我不确定告诉任何人去阅读它是一个富有成效的建议。

无论如何,您都需要使用各种machAPI 来执行此操作。特别是,这些 API 可以在/usr/include/mach/*.h. 具体来说,您需要从开始task_for_pid()并逐步找到您需要的信息。

请注意task_for_pid()(以及用于通过其他任务内部进行引导的任何其他机制)需要管理员访问权限或development计算机上组的成员身份。

归档时间:

查看次数:

3206 次

最近记录:

10 年,6 月 前
了解Linux/proc/id/maps 143
更多相关链接
相关归档
如何本地化iOS故事板 56
更改已发布/可用的iOS应用程序的Apple Store中的应用程序名称 23
如何在Xcode中归档/导出Framework? 22
简单的iPhone动作检测 21
OS X上的Java Web Start应用程序的身份不明的开发人员 14
CompileSwiftSources 普通 x86_64 com.apple.xcode.tools.swift.compiler 12
在无限循环目标C中停止死亡风车 7
为什么我用dispatch_once搞死了? 7
了解一些C++编码实践 6
gdb如何检索目标程序的退出代码? 4
难疑归档
比较Git中的两个分支? 2149
用JavaScript比较两个日期 1791
如何删除已合并的所有Git分支? 1782
在jQuery中检测移动设备的最佳方法是什么? 1564
类型检查:typeof,GetType还是? 1435
在Python中将两个列表转换为字典 1101
为什么人们在AWS出现时会使用Heroku?Heroku与AWS的区别是什么? 1082
"正确"的JSON日期格式 1071
angular-route和angular-ui-router之间有什么区别? 1064
获取Android上的当前时间和日期 1058