objective-c – 以编程方式确定在另一个进程中加载??了哪些模块

然后使用task_info找到“dyld所有图像信息地址”：

struct task_dyld_info dyld_info;
mach_msg_type_number_t count = TASK_DYLD_INFO_COUNT;
if (task_info(task,TASK_DYLD_INFO,(task_info_t)&dyld_info,&count) == KERN_SUCCESS)
{
    // retrieve dyld_info.all_image_info_addr;
}

该地址将指向内存中的struct dyld_all_image_infos：

struct dyld_all_image_infos {
    uint32_t version;
    uint32_t infoArrayCount;
    const struct dyld_image_info* infoArray;
    // ...
}

infoArrayCount和infoArray条目在这里很重要.您必须检索这些值(使用mach_vm_read)并遍历infoArray.每个条目都是struct dyld_image_info：

struct dyld_image_info {
    const struct mach_header* imageLoadAddress;
    const char* imageFilePath;
    uintptr_t imageFileModDate;
};

在此结构中,您有兴趣检索imageLoadAddress(内存中库的地址)和imageFilePath(内存中以NULL终止的文件路径的地址)的值.

重要说明：上面结构中标记为指针或uintptr_t的字段具有不同的字节大小,具体取决于正在运行的进程是32位还是64位.您可以通过查看dyld_info.all_image_info_format是否为TASK_DYLD_ALL_IMAGE_INFO_32或TASK_DYLD_ALL_IMAGE_INFO_64(应该可以工作,但我自己没有对此进行测试)来确定指针大小.

最后,这仍然不包括动态链接器本身的条目.要检索它,我发现的一种方法是遍历vm区域(即mach_vm_region),找到第一个看起来像是一个马赫音色的区域(检查MH_DYLINKER作为文件类型;参见mach-o文件格式了解更多信息).最后我记得检查,gdb和/或lldb也有这样做的功能.解析mach头也是判断进程是32位还是64位的一种可能方法.

检索所有dyld图像信息条目后,您可能还希望按地址对它们进行排序.

我建议不要查看newosxbook的vmmap实现代码.它已经过时了(因为它仍然使用DYLD_ALL_IMAGE_INFOS_OFFSET_OFFSET),它会做一些不必要的暴力破解.