Core dump文件和ECFS

Posted likaiming

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Core dump文件和ECFS相关的知识,希望对你有一定的参考价值。

core dump文件

core dump核心转储文件,一些信号的处理方式,会生成一个elf格式的文件,用来分析进程崩溃情况。

总结一下,core dump核心转储文件就是将所有的vma都映射成一个elf的段,然后生成一个可执行文件。注意,核心转储文件并不会包含代码段,因此使用gdb调试核心转储文件的时候需要源代码。

除了内存段之外,还会在文件的头部加上一个note段,这个note段的信息包括信号信息(当前造成core dump的信号,pending的信号等待),各种时间(系统时间,进程各种执行时间等等),寄存器信息。

使用eu-readelf -n可以显示核心文件的note段信息,包含寄存器状态,辅助向量,进程各个id、信号信息和文件映射等

ECFS

linux二进制分析中提到的拓展核心文件快照技术
ecfs在原core dump文件的基础上增加一个note段,放入其他的信息,包括打开文件列表,proc/pid目录下的信息压缩,文件路径等等

然后由于coredump文件只会生成一个页大小的代码,ecfs还会根据原可执行文件来完整的拔下代码段

还会进行注入代码的标注,根据maps文件的映射库路径找到库文件,判断是库还是注入代码

参考

https://blog.csdn.net/_xiao/article/details/22389997

以上是关于Core dump文件和ECFS的主要内容,如果未能解决你的问题,请参考以下文章

linux下调试core dump文件

gdb调试常用实用命令和core dump文件的生成(转)

如何使用 gdb 和 core-dump 文件查找此分段错误的原因?(GDB 的限制)

关于Linux的core dump那些事

Linux core dump文件生成与使用

什么是 core dump ? 以及 core dumped 的调试