Meltdown - Lettura delle informazioni sui processi dalla memoria trapelata [chiusa]

2

Trovato questo video:

link

Nel video Meltdown viene utilizzato per leggere la memoria di processo basata su PID / nome.

Come è fatto?

Il programma cerca task_struct nella memoria trapelata e analizza i dati da if, in base al membro PID o COMM della struttura?

Qualcuno può spiegarlo? Il meglio con i concetti di programmazione, ma la risposta generale è ok.

Come mai funziona così rapidamente, ho fatto esperimenti e sembra che task_struct sia grande 5760 byte per un processo! Ci vorrà un po 'per leggerlo, e come farai a sapere che ce l'hai completamente? Voglio dire che dovresti controllare il 5760 completo e vederlo in determinati offset (struct members) i dati hanno senso?

Inoltre, c'è una parte considerevole dello spazio degli indirizzi virtuali del kernel da leggere per cercare queste informazioni:

#ifdef __x86_64__
#define DEFAULT_PHYSICAL_OFFSET 0xffff880000000000ull
#else
#define DEFAULT_PHYSICAL_OFFSET 0xc0000000ull
#endif
    
posta android_dev 22.01.2018 - 19:48
fonte

0 risposte

Leggi altre domande sui tag