Linux下彙編調試器GDB的使用
GDB 是GNU開源組織發布的一個強大的Linux/Unix下的程序調試工具.大家是否早已習慣了Windows下圖形界面方式像VC、BCB等IDE的調試器,但如果你是在Linux平台下做軟體調試,你會發現GDB這個調試工具有比VC、BCB的圖形化調試器更強大的功能.
先來看個實例:
- reader@cg:~/source $ gdb -q
- (gdb) set dis intel
- (gdb) quit
- reader@cg:~/source $ echo "set dis intel" > ~/.gdbinit
- reader@cg:~/source $ cat ~/.gdbinit
- set dis intel
- reader@cg:~/source $
現在將GDB配置成為了使用英特爾語法,讓我們首先來認識英特爾語法.在英特爾語語法中,彙編指令一般遵循下面這種形式:
operation <destination>, <source>
目的操作數和源操作數可以是寄存器、內存地址或數值.操作通常是直觀的助記符:mov操作會將源操作數中的值移動到目的操作數中,sub操作會減去,inc指令會增加等.例如,下面的指令將會扣ESP中的值移動到EBP中,然後從ESP中減去8(結果存儲在ESP中).
8048375: 89 e5 mov ebp,esp
8048377: 83 ec 08 sub esp,0x8
還有用於控制執行流程的操作.cmp操作用於對數值進行比較,並且基本上所有以j為首字母的操作都用於轉移到代碼的不同部分(轉移到哪一部分取決於比較的結果).下面的例子中,首先將位於EBP中的一個4位元組的值減去4與數值9進行比較.下一條指令是如果小於等於則轉移的簡寫,它參考的是前一個比較的結果.如果那個數小於或等於9,那麼程序就會轉移到Ox8048393處的指令執行.否則,就轉向下一條無條件轉移指令執行.如果那個數不小於或等於9,那麼程序執行就會轉移到Ox80483a6處.
- reader@cg:~/source $ gcc -g firstprog.c
- reader@cg:~/source $ ls -l a.out
- -rwxr-xr-x 1 matrix users 11977 Jul 4 17:29 a.out
- reader@cg:~/source $ gdb -q ./a.out
- Using host libthread_db library "/lib/libthread_db.so.1".
- (gdb) list
- 1 #include <stdio.h>
- 2
- 3 int main()
- 4 {
- 5 int i;
- 6 for(i=0; i < 10; i )
- 7 {
- 8 printf("Hello, world!\n");
- 9 }
- 10 }
- (gdb) disassemble main
- Dump of assembler code for function main():
- 0x08048384 <main 0>: push ebp
- 0x08048385 <main 1>: mov ebp,esp
- 0x08048387 <main 3>: sub esp,0x8
- 0x0804838a <main 6>: and esp,0xfffffff0
- 0x0804838d <main 9>: mov eax,0x0
- 0x08048392 <main 14>: sub esp,eax
- 0x08048394 <main 16>: mov DWORD PTR [ebp-4],0x0
- 0x0804839b <main 23>: cmp DWORD PTR [ebp-4],0x9
- 0x0804839f <main 27>: jle 0x80483a3 <main 31>
- 0x080483a1 <main 29>: jmp 0x80483b6 <main 50>
- 0x080483a3 <main 31>: mov DWORD PTR [esp],0x80484d4
- 0x080483aa <main 38>: call 0x80482a8 <_init 56>
- 0x080483af <main 43>: lea eax,[ebp-4]
- 0x080483b2 <main 46>: inc DWORD PTR [eax]
- 0x080483b4 <main 48>: jmp 0x804839b <main 23>
- 0x080483b6 <main 50>: leave
- 0x080483b7 <main 51>: ret
- End of assembler dump.
- (gdb) break main
- Breakpoint 1 at 0x8048394: file firstprog.c, line 6.
- (gdb) run
- Starting program: /cg/a.out
- Breakpoint 1, main() at firstprog.c:6
- 6 for(i=0; i < 10; i )
- (gdb) info register eip
- eip 0x8048394 0x8048394
- (gdb)
先列出了源代碼,並且顯示了main()函數的反彙編.然後,在main()函數開始的地方設置了一個斷點,並且開始運行程序.這個斷點只是告訴調試工具當程序運行到該點時暫停程序的執行.由於斷點設置在了main()函數開始的地方,實際上在執行main()中的任何指令之前,程序會到達該斷點並且暫停.然後,顯示了EIP(指令指針)的值.
EIP包含一個內存地址,該地址指向main()函數的反彙編指令中的一條指令(以粗體顯示).我們把在這之前的指令(以斜體顯示)一起稱為函數序言,它們由編譯程序生成,用於為main()函數的局部變數設置內存空間.在C語言中需要聲明變數的部分原因就是輔助建立這部分代碼.調試工具知道這部分代碼是自動產生的,並且聰明地將其跳過.我們隨後會詳細討論函數序言,但現在我們可以從GDB中獲得它的一些信息並暫時將其跳過.
GDB調試工具提供了一個直接檢查內存的方法,即使用命令x,它是檢查(examine)的簡寫.對於任何Hacker來說,檢查內存都是一項很關鍵的技術.大多數Hacker的漏洞發掘很像魔術——它們似乎令人驚訝並且不可思議,除非您知道這些戲法和誤導.但是使用像GDB這樣的調試工具,程序執行的每個方面都可以被確定地檢查、暫停、單步跟蹤並且可以隨心所欲地重複.一個正在運行的程序的主體是處理器和若干內存段,所以檢查內存是查看到底正在幹什麼的首要方法.
本文出自 「李晨光原創技術博客」 博客,謝絕轉載!
[火星人 ] Linux下彙編調試器GDB的使用已經有570次圍觀