Linux C++ 调试神技--如何将Linux C++ 可执行文件逆向工程到Intel格式汇编
Linux C++ 调试神技--如何将Linux C++ 可执行文件逆向工程到Intel格式汇编
对于许多在windows 上调试代码的人而言, Intel IA32格式的汇编代码可能并不陌生,因为种种的原因,很多软件工程师不得不去尝试理解汇编代码。Windows PE的反汇编格式默认是Intel格式的,但是由于历史的原因,在这个世界上还存在另外一种汇编,ATT格式,这也是Linux C++ 可执行代码的默认反汇编格式。
难道还真需要哥们学习两种格式的汇编么?一种学会了已经很NB了?
难道哥们在Windows上学的汇编到Linux上就白费了么?玩不转了么?
底层的处理器都是一个架构的,机器码都是一样的,这两种汇编代码一定可以互相转换,否则工具设计者智商一定低到写不出来工具。
对于这个问题且听兄弟以一个例子详细到道来。假设有如下的C++代码,我们将其在Linux上编译为一个名字为hellod的执行文件。
- #include<iostream>
- int main()
- {
- std::cout << "Enter two numbers:" << std::endl;
- int v1 = , v2 = ;
- std::cin >> v1 >> v2;
- std::cout << "The sum of " << v1 << " and " << v2
- << " is " << v1 + v2 << std::endl;
- return ;
- }
如果想看看现在的默认反汇编格式是什么,可以使用如下命令,可以看到Linux默认的是ATT格式的
- (gdb) show disassembly-flavor
- The disassembly flavor is "att".
反汇编结果如下:
- (gdb) disassemble main
- Dump of assembler code for function main():
- 0x000000000040092d <+>: push %rbp
- 0x000000000040092e <+>: mov %rsp,%rbp
- 0x0000000000400931 <+>: push %r13
- 0x0000000000400933 <+>: push %r12
- 0x0000000000400935 <+>: push %rbx
- 0x0000000000400936 <+>: sub $0x18,%rsp
- 0x000000000040093a <+>: mov $0x400ad4,%esi
- 0x000000000040093f <+>: mov $0x6011a0,%edi
- 0x0000000000400944 <+>: callq 0x400800 <_ZStlsISt11char_traitsIcEERSt13basic_ostreamIcT_ES5_PKc@plt>
- 0x0000000000400949 <+>: mov $0x400830,%esi
- 0x000000000040094e <+>: mov %rax,%rdi
- 0x0000000000400951 <+>: callq 0x400820 <_ZNSolsEPFRSoS_E@plt>
- 0x0000000000400956 <+>: movl $0x0,-0x28(%rbp)
- 0x000000000040095d <+>: movl $0x0,-0x24(%rbp)
- 0x0000000000400964 <+>: lea -0x28(%rbp),%rax
- 0x0000000000400968 <+>: mov %rax,%rsi
- 0x000000000040096b <+>: mov $0x601080,%edi
- 0x0000000000400970 <+>: callq 0x400810 <_ZNSirsERi@plt>
- 0x0000000000400975 <+>: lea -0x24(%rbp),%rdx
- 0x0000000000400979 <+>: mov %rdx,%rsi
- 0x000000000040097c <+>: mov %rax,%rdi
- ---Type <return> to continue, or q <return> to quit---
- 0x000000000040097f <+>: callq 0x400810 <_ZNSirsERi@plt>
- 0x0000000000400984 <+>: mov -0x28(%rbp),%edx
- 0x0000000000400987 <+>: mov -0x24(%rbp),%eax
- 0x000000000040098a <+>: lea (%rdx,%rax,),%r13d
- 0x000000000040098e <+>: mov -0x24(%rbp),%ebx
- 0x0000000000400991 <+>: mov -0x28(%rbp),%r12d
- 0x0000000000400995 <+>: mov $0x400ae7,%esi
- 0x000000000040099a <+>: mov $0x6011a0,%edi
- 0x000000000040099f <+>: callq 0x400800 <_ZStlsISt11char_traitsIcEERSt13basic_ostreamIcT_ES5_PKc@plt>
- 0x00000000004009a4 <+>: mov %r12d,%esi
- 0x00000000004009a7 <+>: mov %rax,%rdi
- 0x00000000004009aa <+>: callq 0x4007a0 <_ZNSolsEi@plt>
- 0x00000000004009af <+>: mov $0x400af3,%esi
- 0x00000000004009b4 <+>: mov %rax,%rdi
- 0x00000000004009b7 <+>: callq 0x400800 <_ZStlsISt11char_traitsIcEERSt13basic_ostreamIcT_ES5_PKc@plt>
- 0x00000000004009bc <+>: mov %ebx,%esi
- 0x00000000004009be <+>: mov %rax,%rdi
- 0x00000000004009c1 <+>: callq 0x4007a0 <_ZNSolsEi@plt>
- 0x00000000004009c6 <+>: mov $0x400af9,%esi
- 0x00000000004009cb <+>: mov %rax,%rdi
- 0x00000000004009ce <+>: callq 0x400800 <_ZStlsISt11char_traitsIcEERSt13---Type <return> to continue, or q <return> to quit---
- basic_ostreamIcT_ES5_PKc@plt>
- 0x00000000004009d3 <+>: mov %r13d,%esi
- 0x00000000004009d6 <+>: mov %rax,%rdi
- 0x00000000004009d9 <+>: callq 0x4007a0 <_ZNSolsEi@plt>
- 0x00000000004009de <+>: mov $0x400830,%esi
- 0x00000000004009e3 <+>: mov %rax,%rdi
- 0x00000000004009e6 <+>: callq 0x400820 <_ZNSolsEPFRSoS_E@plt>
- 0x00000000004009eb <+>: mov $0x0,%eax
- 0x00000000004009f0 <+>: add $0x18,%rsp
- 0x00000000004009f4 <+>: pop %rbx
- 0x00000000004009f5 <+>: pop %r12
- 0x00000000004009f7 <+>: pop %r13
- 0x00000000004009f9 <+>: pop %rbp
- 0x00000000004009fa <+>: retq
- End of assembler dump.
那如果我看不懂,我想使用Intel格式的汇编怎么办呢?下面的命令就可以做到,牛X吧?哈哈
- (gdb) set disassembly-flavor intel
- (gdb) show disassembly-flavor
- The disassembly flavor is "intel".
再来看看这下我们反出来的汇编代码, 已经变成Intel 格式的了
- (gdb) disassemble main
- Dump of assembler code for function main():
- 0x000000000040092d <+>: push rbp
- 0x000000000040092e <+>: mov rbp,rsp
- 0x0000000000400931 <+>: push r13
- 0x0000000000400933 <+>: push r12
- 0x0000000000400935 <+>: push rbx
- 0x0000000000400936 <+>: sub rsp,0x18
- 0x000000000040093a <+>: mov esi,0x400ad4
- 0x000000000040093f <+>: mov edi,0x6011a0
- 0x0000000000400944 <+>: call 0x400800 <_ZStlsISt11char_traitsIcEERSt13basic_ostreamIcT_ES5_PKc@plt>
- 0x0000000000400949 <+>: mov esi,0x400830
- 0x000000000040094e <+>: mov rdi,rax
- 0x0000000000400951 <+>: call 0x400820 <_ZNSolsEPFRSoS_E@plt>
- 0x0000000000400956 <+>: mov DWORD PTR [rbp-0x28],0x0
- 0x000000000040095d <+>: mov DWORD PTR [rbp-0x24],0x0
- 0x0000000000400964 <+>: lea rax,[rbp-0x28]
- 0x0000000000400968 <+>: mov rsi,rax
- 0x000000000040096b <+>: mov edi,0x601080
- 0x0000000000400970 <+>: call 0x400810 <_ZNSirsERi@plt>
- 0x0000000000400975 <+>: lea rdx,[rbp-0x24]
- 0x0000000000400979 <+>: mov rsi,rdx
- 0x000000000040097c <+>: mov rdi,rax
- ---Type <return> to continue, or q <return> to quit---
- 0x000000000040097f <+>: call 0x400810 <_ZNSirsERi@plt>
- 0x0000000000400984 <+>: mov edx,DWORD PTR [rbp-0x28]
- 0x0000000000400987 <+>: mov eax,DWORD PTR [rbp-0x24]
- 0x000000000040098a <+>: lea r13d,[rdx+rax*]
- 0x000000000040098e <+>: mov ebx,DWORD PTR [rbp-0x24]
- 0x0000000000400991 <+>: mov r12d,DWORD PTR [rbp-0x28]
- 0x0000000000400995 <+>: mov esi,0x400ae7
- 0x000000000040099a <+>: mov edi,0x6011a0
- 0x000000000040099f <+>: call 0x400800 <_ZStlsISt11char_traitsIcEERSt13basic_ostreamIcT_ES5_PKc@plt>
- 0x00000000004009a4 <+>: mov esi,r12d
- 0x00000000004009a7 <+>: mov rdi,rax
- 0x00000000004009aa <+>: call 0x4007a0 <_ZNSolsEi@plt>
- 0x00000000004009af <+>: mov esi,0x400af3
- 0x00000000004009b4 <+>: mov rdi,rax
- 0x00000000004009b7 <+>: call 0x400800 <_ZStlsISt11char_traitsIcEERSt13basic_ostreamIcT_ES5_PKc@plt>
- 0x00000000004009bc <+>: mov esi,ebx
- 0x00000000004009be <+>: mov rdi,rax
- 0x00000000004009c1 <+>: call 0x4007a0 <_ZNSolsEi@plt>
- 0x00000000004009c6 <+>: mov esi,0x400af9
- 0x00000000004009cb <+>: mov rdi,rax
- 0x00000000004009ce <+>: call 0x400800 <_ZStlsISt11char_traitsIcEERSt13---Type <return> to continue, or q <return> to quit---
- basic_ostreamIcT_ES5_PKc@plt>
- 0x00000000004009d3 <+>: mov esi,r13d
- 0x00000000004009d6 <+>: mov rdi,rax
- 0x00000000004009d9 <+>: call 0x4007a0 <_ZNSolsEi@plt>
- 0x00000000004009de <+>: mov esi,0x400830
- 0x00000000004009e3 <+>: mov rdi,rax
- 0x00000000004009e6 <+>: call 0x400820 <_ZNSolsEPFRSoS_E@plt>
- 0x00000000004009eb <+>: mov eax,0x0
- 0x00000000004009f0 <+>: add rsp,0x18
- 0x00000000004009f4 <+>: pop rbx
- 0x00000000004009f5 <+>: pop r12
- 0x00000000004009f7 <+>: pop r13
- 0x00000000004009f9 <+>: pop rbp
- 0x00000000004009fa <+>: ret
- End of assembler dump.
总结
对于很多计算机工程领域的技术问题,理解原理是最重要的,软件工程师很忙,忙着学东西,但是有的东西你一旦知道了道理,靠分析已经能节省很多的时间,根本不用去再学一遍,就拿本例来说,如果不去分析,再去学一遍另一个版本的,可能也是事倍功半,站的高方能望的远,和大家共勉。
Linux C++ 调试神技--如何将Linux C++ 可执行文件逆向工程到Intel格式汇编的更多相关文章
- Xcode7中你一定要知道的炸裂调试神技
转自:http://www.cocoachina.com/ios/20151020/13794.html Xcode7中苹果为我们增加了两个重要的debug相关功能.了解之后觉得非常实用,介绍给大家. ...
- Xcode7中你一定要知道的炸裂调试神技(转)
1.Address Sanitizer: 妈妈再也不用担心 EXC_BAD_ACCESS? EXC_BAD_ACCESS一直是很多开发者的噩梦,因为这个错误很不直观,出现后往往要花很长时间才能定位到错 ...
- Xcode7中你一定要知道的炸裂调试神技【转载】
Xcode7中苹果为我们增加了两个重要的debug相关功能.了解之后觉得非常实用,介绍给大家. 1.Address Sanitizer: 妈妈再也不用担心 EXC_BAD_ACCESS EXC_BAD ...
- linux内核调试指南
linux内核调试指南 一些前言 作者前言 知识从哪里来 为什么撰写本文档 为什么需要汇编级调试 ***第一部分:基础知识*** 总纲:内核世界的陷阱 源码阅读的陷阱 代码调试的陷阱 原理理解的陷阱 ...
- Linux Kernel - Debug Guide (Linux内核调试指南 )
http://blog.csdn.net/blizmax6/article/details/6747601 linux内核调试指南 一些前言 作者前言 知识从哪里来 为什么撰写本文档 为什么需要汇编级 ...
- 嵌入式Linux的调试技术
本节我们研究嵌入式Linux的调试技术,对于复杂的Linux驱动及HAL等程序库,需要使用各种方法对其进行调试.刚开始讲了打印内核调试信息:printk,这个函数的用法与printf函数类似,只不过p ...
- 第十章 嵌入式Linux的调试技术
对调试工具进行简介.Linux中提供了一类工具,通过这些工具可以逐行跟踪程序的代码,用于测试用户空间程序的gdb.gdbserver和调试内核空间程序的kgdb. 用gdb调试用户空间程序:gdb可跟 ...
- Linux GDB调试全面解析
GDB是GNU开源组织发布的一个强大的UNIX下的程序调试工具,GDB主要可帮助工程师完成下面4个方面的功能: 启动程序,可以按照工程师自定义的要求随心所欲的运行程序. 让被调试的程序在工程师指定的断 ...
- Linux内核调试方法总结【转】
转自:http://my.oschina.net/fgq611/blog/113249 内核开发比用户空间开发更难的一个因素就是内核调试艰难.内核错误往往会导致系统宕机,很难保留出错时的现场.调试内核 ...
随机推荐
- printf(""); 输出小题目
#define _CRT_SECURE_NO_WARNINGS 1#include <stdio.h> int main(){ int i=43; printf("%d\n&q ...
- 网页版视频网站可以用html5来实现吗?
当然可以用html5来实现视频网站,而且html5的诞生完全符合了百度优化,百度蜘蛛对这类的网站友好度非常高,会尽量会给高的权重,但是现在很多做 这类网站的开发还是比较习惯用websocket,这个东 ...
- NetMq学习--发布订阅(一)
基于NeqMq 4.0.0-rc5版本发布端: using (var publisher = new PublisherSocket()) { publisher.Bind("tcp://* ...
- 细数.NET 中那些ORM框架 —— 谈谈这些天的收获之一
细数.NET 中那些ORM框架 —— 谈谈这些天的收获之一(转) ADO.NET Entity Framework ADO.NET Entity Framework 是微软以 ADO.N ...
- JQuery源码解析(一)
写在前面:本<JQuery源码解析>系列是基于一些前辈们的文章进行进一步的分析.细化.修改而写出来的,在这边感谢那些慷慨提供科普文档的技术大拿们. 要查阅JQ的源文件请下载开发版的JQ.j ...
- JavaScript很牛
几年前,我从来没有想过现在的JavaScript竟然会变得几乎无处不在.下面是几个要关注JavaScript的原因. 首先,我认为JavaScript能够得到普及的主要原因之一是,JavaScript ...
- $.ajax 跨域请求 Web Api
WepApi确实方便好用,没有配置文件,一个apicontroller直接可以干活了.但今天用$.ajax跨域请求的时候总是获取不到数据,用fiddler一看确实抓到了数据,但回到$.ajax函数中, ...
- CSS样式重置
;;;;;;;;;; } input, select { vertical-align:middle; }
- [ACM_动态规划] 嵌套矩形
问题描述:有n个矩阵,每个矩阵可以用两个整数a,b来表示 ,表示他的长和宽,矩阵X (a,b) 可以 嵌套 到Y (c,d) 里面当且仅当 a < c && b < d ...
- jQuery的动画处理总结
最近一年多一直在做前端的东西,由于老板在追求一些年轻动感的效果,让页面元素不能仅仅是简单的隐藏显示,所以经常会使用一些动画效果,发现jQuery的动画真心好用啊,把常用的几个总结一下,希望不再每次使用 ...