Trovato questo video:
Nel video Meltdown viene utilizzato per leggere la memoria di processo basata su PID / nome.
Come è fatto?
Il programma cerca task_struct nella memoria trapelata e analizza i dati da if, in base al membro PID o COMM della struttura?
Qualcuno può spiegarlo? Il meglio con i concetti di programmazione, ma la risposta generale è ok.
Come mai funziona così rapidamente, ho fatto esperimenti e sembra che task_struct sia grande 5760 byte per un processo! Ci vorrà un po 'per leggerlo, e come farai a sapere che ce l'hai completamente? Voglio dire che dovresti controllare il 5760 completo e vederlo in determinati offset (struct members) i dati hanno senso?
Inoltre, c'è una parte considerevole dello spazio degli indirizzi virtuali del kernel da leggere per cercare queste informazioni:
#ifdef __x86_64__
#define DEFAULT_PHYSICAL_OFFSET 0xffff880000000000ull
#else
#define DEFAULT_PHYSICAL_OFFSET 0xc0000000ull
#endif