如何获取当前进程在内存中的起始地址？

Question

各位，如何获取当前进程在内存中的起始地址？我在看ELF格式，想试着修改一下当前进程的一些信息，但是需要知道当前进程的虚拟起始地址，找了一下没有找到相关的资料。。。。。

Answer 1

时隔几年  我也有这个需求了 楼主你解决了吗？

Answer 2

回复 2# socay2
我一般是这样找的:
readelf -h file能看到type。
当type为EXEC时,
readelf -l file能看到程序头，用第一段的虚拟地址减去Program Headers的偏移应当就是加载地址。

   

Answer 3

回复 3# 井蛙夏虫

readelf 这个命令好
得好好研究下它查询出来的一些信息，不是很理解

2. readelf -h a.out
3. ELF Header:
4.   Magic:   7f 45 4c 46 01 01 01 00 00 00 00 00 00 00 00 00
5.   Class:                             ELF32
6.   Data:                              2's complement, little endian
7.   Version:                           1 (current)
8.   OS/ABI:                            UNIX - System V
9.   ABI Version:                       0
10.   Type:                              EXEC (Executable file)
11.   Machine:                           Intel 80386
12.   Version:                           0x1
13.   Entry point address:               0x8048650
14.   Start of program headers:          52 (bytes into file)
15.   Start of section headers:          4476 (bytes into file)
16.   Flags:                             0x0
17.   Size of this header:               52 (bytes)
18.   Size of program headers:           32 (bytes)
19.   Number of program headers:         9
20.   Size of section headers:           40 (bytes)
21.   Number of section headers:         30
22.   Section header string table index: 27

复制代码

2. readelf -l a.out
3. Elf file type is EXEC (Executable file)
4. Entry point 0x8048650
5. There are 9 program headers, starting at offset 52
7. Program Headers:
8.   Type           Offset   VirtAddr   PhysAddr   FileSiz MemSiz  Flg Align
9.   PHDR           0x000034 0x08048034 0x08048034 0x00120 0x00120 R E 0x4
10.   INTERP         0x000154 0x08048154 0x08048154 0x00013 0x00013 R   0x1
11.       [Requesting program interpreter: /lib/ld-linux.so.2]
12.   LOAD           0x000000 0x08048000 0x08048000 0x00be4 0x00be4 R E 0x1000
13.   LOAD           0x000f14 0x08049f14 0x08049f14 0x00140 0x0014c RW  0x1000
14.   DYNAMIC        0x000f28 0x08049f28 0x08049f28 0x000c8 0x000c8 RW  0x4
15.   NOTE           0x000168 0x08048168 0x08048168 0x00044 0x00044 R   0x4
16.   GNU_EH_FRAME   0x000ac4 0x08048ac4 0x08048ac4 0x0003c 0x0003c R   0x4
17.   GNU_STACK      0x000000 0x00000000 0x00000000 0x00000 0x00000 RW  0x4
18.   GNU_RELRO      0x000f14 0x08049f14 0x08049f14 0x000ec 0x000ec R   0x1
20. Section to Segment mapping:
21.   Segment Sections...
22.    00     
23.    01     .interp
24.    02     .interp .note.ABI-tag .note.gnu.build-id .gnu.hash .dynsym .dynstr .gnu.version .gnu.version_r .rel.dyn .rel.plt .init .plt .text .fini .rodata .eh_frame_hdr .eh_frame
25.    03     .ctors .dtors .jcr .dynamic .got .got.plt .data .bss
26.    04     .dynamic
27.    05     .note.ABI-tag .note.gnu.build-id
28.    06     .eh_frame_hdr
29.    07     
30.    08     .ctors .dtors .jcr .dynamic .got

复制代码

Answer 4

回复 4# socay2

1. Type:                              EXEC (Executable file)
2. Elf file type is EXEC (Executable file)

复制代码上面两句都可以看出这个文件是可执行文件

1. There are 9 program headers, starting at offset 52

复制代码可以看出偏移为52字节

1. Type           Offset   VirtAddr   PhysAddr   FileSiz MemSiz  Flg Align
2.   PHDR           0x000034 0x08048034 0x08048034 0x00120 0x00120 R E 0x4

复制代码可以看出该段的虚拟地址为0x08048034。
两种相减就得到程序加载地址为0x08048000

   

Answer 5

socay2 发表于 2013-12-13 17:39:43
时隔几年  我也有这个需求了 楼主你解决了吗？

提供一个自己用过的方案。
用命令 objdump xxx.doc a.out把编译的东西拿出来直接就能看。具体命令格式你可以搜一搜。

Answer 6

继续学习  谢谢楼上的两位兄台

Answer 7

socay2 发表于 2013-12-15 00:15:29
继续学习  谢谢楼上的两位兄台

做csapp拆弹实验时候用过。。。