<一>强大的反汇编能力
GDB提供了强大的反汇编能力,本节就围绕于该主题而展开。
继续以Hello.c为例。
|
1
2
3
4
5
6
7
|
#include <stdlib.h>
#include <stdio.h>
int
main(
int
argc,
char
** argv) {
printf
(
"hello,world\n"
);
return
0;
}
|
编译生成可执行文件
gcc -o hello -g hello.c
|
用gdb载入进行调试
gdb hello
|
反汇编main函数
disassemble main
|
以下为输出内容:
Dump of assembler code
for
function main:
0x080483fc
<+
0
>: push %ebp
0x080483fd
<+
1
>: mov %esp,%ebp
0x080483ff
<+
3
>: and $
0xfffffff0
,%esp
0x08048402
<+
6
>: sub $
0x10
,%esp
0x08048405
<+
9
>: movl $
0x80484b0
,(%esp)
0x0804840c
<+
16
>: call
0x80482d0
<puts
@plt
>
0x08048411
<+
21
>: mov $
0x0
,%eax
0x08048416
<+
26
>: leave
0x08048417
<+
27
>: ret
End of assembler dump.
|
如果留心的话,可能发现在main函数中调用的printf并没有在反汇编中出现。原因在于printf其实使用的是puts。
如果已经知道了地址,想反过来查看是否对应为某一个函数的话,可以使用info symbol指令
info symbol 0x80482d0
|
输出为:
puts
@plt
in section .plt
|
说明地址0x80482d0对应于函数puts
与info symbol相对的指令为info address,可以通过名称获得其地址。继续为Puts为例:
info addr puts
|
输出为:
Symbol
"puts"
is at 0x80482d0 in a file compiled without debugging.
|
反汇编的另外一种方法就是使用x,当程序执行后(注意一定是程序运行后,停在断点处时),可以使用如下指令
x/3i
$pc
|
<二>helloworld最先是从main函数开始执行的么?
今天探讨的话题是“helloworld最先是从main函数开始执行的么”。
1 #include <stdio.h> 2 #include <stdlib.h> 3 4 int main(int argc, char** argv) { 5 printf("hello,world\n"); 6 return 0; 7 }
一个最简单的程序,简单到任何人都能信手写来。如果静下来仔细想想,这个程序是如何执行的时候,总会有一些小小的疑惑。
那么用之前的GDB知识来看看这个执行过程吧。
gdb)br 5 gdb)r gdb)bt
显示调用堆栈
gdb)bt #0 main (argc=1, argv=0x7fffffffe918) at hello.c:5
进一步显示frame的信息
gdb)info frame Stack level 0, frame at 0x7fffffffe840: rip = 0x40050f in main (hello.c:5); saved rip 0x7ffff7a4fa15 source language c. Arglist at 0x7fffffffe830, args: argc=1, argv=0x7fffffffe918 Locals at 0x7fffffffe830, Previous frame's sp is 0x7fffffffe840 Saved registers: rbp at 0x7fffffffe830, rip at 0x7fffffffe838
注意两个register的值,分别是保存的rbp和rip. saved rip表示main被调用前的代码。可以用x来看看具体的函数名称
(gdb) x 0x7ffff7a4fa15 0x7ffff7a4fa15 <__libc_start_main+245>: 0xb4e8c789
或者利用另一种方法
info symbol 0x7ffff7a4fa15 __libc_start_main + 245 in section .text of /usr/lib/libc.so.6
至此,可断定main函数被__libc_start_main调用。
如果到这还不尽兴的话,可以用如下指令来看看__libc_start_main中有哪些内容,或者直接去下载glibc源码。
gdb)disassemble __libc_start_main
