是否可以在 OS X 上获取正在运行的进程的 ASLR 幻灯片?
我不想以某种方式禁用 ASLR(例如 gdb),而是想获得偏移量。
例子:
$ cat > test.c
#include <stdio.h>
int test(void) {
return 42;
}
int main(void) {
getchar();
printf("%p: %d\n", test, test());
return 0;
}
$ gcc test.c -o test
多次运行测试将确认test()在每次运行时确实有不同的地址:
$ ./test
^D
0x104493e50: 42
$ ./test
^D
0x106fe8e80: 42
注意:查找幻灯片的方法不应该搜索进程的内存或以其他方式检查它,因为我需要一个适用于所有可执行文件的便携式解决方案。
【问题讨论】:
使用MachOView源代码中Attach.mm中的find_main_binary和get_image_size函数,如果你有进程的pid并且你有这样的root权限,你可以得到进程的ASLR幻灯片:
pid_t pid = ...;
mach_vm_address_t main_address;
if(find_main_binary(pid, &main_address) != KERN_SUCCESS) {
printf("Failed to find address of header!\n");
return 1;
}
uint64_t aslr_slide;
if(get_image_size(main_address, pid, &aslr_slide) == -1) {
printf("Failed to find ASLR slide!\n");
return 1;
}
printf("ASLR slide: 0x%llx\n", aslr_slide);
我已经把它做成了一个叫做get_aslr的小工具。
【讨论】:
不,这会破坏 ASLR 的目的。
【讨论】: