程序被加载器加载到内存后，通过/proc/$pid/maps文件，我们可以观测到程序被加载的内存位置。那么，通过打印进程内存的方式，让我们确认程序是不是真的加载到内存，以及加载到内存的程序和硬盘中的文件有没有区别。

编写测试程序：

#include <stdio.h>
#include <stdbool.h>
#include <unistd.h>
#include <stdlib.h>int main() {while(true) {sleep(3);printf("something\n");}return 0;
}

编译启动，然后打印程序的16进制

这里只展示部分16进制，用于与内存中的16进制进行对比。

编写内核代码：

#include <linux/module.h>
#include <linux/init.h>
#include <linux/kernel.h>
#include <linux/string.h>
#include <linux/netdevice.h>
#include <linux/printk.h>static pte_t *get_pte(struct task_struct *task, unsigned long address) {pgd_t *pgd;p4d_t *p4d;pud_t *pud;pmd_t *pmd;pte_t *pte;struct mm_struct *mm = task->mm;pgd = pgd_offset(mm,address);if (pgd_none(*pgd) || pgd_bad(*pgd)) {return NULL;}p4d = p4d_offset(pgd, address);if (p4d_none(*p4d) || p4d_bad(*p4d))return NULL;pud = pud_offset(p4d, address);if (pud_none(*pud) || pud_bad(*pud))return NULL;pmd = pmd_offset(pud, address);if (pmd_none(*pmd) || pmd_bad(*pmd))return NULL;pte = pte_offset_kernel(pmd, address);if (pte_none(*pte))return NULL;return pte;
}static int hello_init(void) {struct task_struct *p;struct vm_area_struct *vma;int len;pte_t *pte;struct page *page;unsigned long addr;printk(KERN_ALERT "init fishing\n");for_each_process(p) {if (strcmp(p->comm,"a.out") == 0) {printk(KERN_ALERT "%s-->%p\n",p->comm, p->mm);for(vma = p->mm->mmap;vma!=NULL;vma = vma->vm_next) {printk(KERN_ALERT "%lx - %lx\n",vma->vm_start, vma->vm_end);pte = get_pte(p, vma->vm_start);if (pte == NULL)break;page = pte_page(*pte);addr = page_address(page);len = vma->vm_end - vma->vm_start;print_hex_dump(KERN_NOTICE,"",0,16,1,addr,len,false);break;}}}return 0;
}static void hello_exit(void) {printk(KERN_ALERT "exit fishing\n");
}
subsys_initcall(hello_init);
module_exit(hello_exit);MODULE_LICENSE("GPL");
MODULE_AUTHOR("shakespeare");

此处只打印了进程第一个vm_area_struct表达的内存。

通过上述截图对比可知，程序的16进制被严格的加载到进程的内存空间，并且从进程的第一个vm_area_struct结构表达的内存处开始保存。