目录
[3、使用IDA打开.so动态库文件,提示Relocations for this machine are not implemented](#3、使用IDA打开.so动态库文件,提示Relocations for this machine are not implemented)
4、IDA版本较老,不支持ARM64的指令集,使用7.0版本就可以了
6、通过阅读汇编代码上下文,找到崩溃的那条汇编指令对应的C++源代码位置
C++软件异常排查从入门到精通系列教程(专栏文章列表,欢迎订阅,持续更新...)
https://blog.csdn.net/chenlycly/article/details/125529931C/C++基础与进阶(专栏文章,持续更新中...)https://blog.csdn.net/chenlycly/category_11931267.htmlVC++常用功能开发汇总(专栏文章列表,欢迎订阅,持续更新...)https://blog.csdn.net/chenlycly/article/details/124272585C++软件分析工具从入门到精通案例集锦(专栏文章,持续更新中...)https://blog.csdn.net/chenlycly/article/details/131405795开源组件及数据库技术(专栏文章,持续更新中...)https://blog.csdn.net/chenlycly/category_12458859.html网络编程与网络问题分享(专栏文章,持续更新中...)https://blog.csdn.net/chenlycly/category_2276111.html 最近在使用IDA打开一个64位ARM平台编译的.so动态库时,IDA先是提示:Relocations for this machine are not implemented,然后打开后并没有生成汇编代码。经多次尝试和研究得知,是IDA版本太低了,老版本IDA对ARM64指令集支持的有问题或者不支持ARM64指令集,使用7.0及以上的版本就可以了。本文详细讲述一下问题的现象以及尝试解决的过程。
1、问题描述
最近在排查一个安卓app崩溃问题时,需要查看app底层使用C++实现的.so动态库的汇编代码上下文去辅助分析。但是在使用64位版本的IDA打开.so动态库时,先是提示:Relocations for this machine are not implemented:
然后打开后并没有生成汇编代码。
2、安卓app发生崩溃,需要查看汇编代码上下文去辅助分析
安卓app在测试过程中发生了崩溃,并自动生成了包含异常信息的Tombstone文件。打开Tombstone文件,查看到了崩溃时的函数调用堆栈,如下所示:
从上述堆栈可以看出,崩溃发生在libxxservice_hddll.so 动态库(该模块是底层业务库,是用C++语言实现的动态库)中,具体是崩溃在函数CXXXServiceHMpHandler::OnTextImageCreateBannerInfoRsp中,并看到相对于该函数的偏移值1048(这个是十进制整型值)。仅仅看到崩溃在该函数中,但函数中的代码比较多,从现有信息中无法确定具体是崩溃在哪一行代码上。
既然有函数名及相对于函数的偏移值,我们可以使用IDA工具打开libxxservice_hddll.so动态库文件,定位到CXXXServiceHMpHandler::OnTextImageCreateBannerInfoRsp(mtmsg::CMtMsg*, unsigned int, unsigned int)+1048这个代码段地址对应那一句汇编代码,然后将汇编代码的上下文与C++源码对应起来看,看看崩溃的汇编代码到底对应哪一行C++源码,可能很快就能确定引发问题的原因了。
在这里,给大家重点推荐一下我的几个热门畅销专栏:
专栏1:(该专栏订阅量接近350个,有很强的实战参考价值,广受好评!专栏文章持续更新中,预计更新到200篇以上!)
C++软件调试与异常排查从入门到精通系列文章汇总https://blog.csdn.net/chenlycly/article/details/125529931
本专栏根据近几年C++软件异常排查的项目实践,系统地总结了引发C++软件异常的常见原因以及排查C++软件异常的常用思路与方法,详细讲述了C++软件的调试方法与手段,以图文并茂的方式给出具体的实战问题分析实例,带领大家逐步掌握C++软件调试与异常排查的相关技术,适合基础进阶和想做技术提升的相关C++开发人员!
专栏中的文章均是通过项目实战总结出来的(通过项目实战积累了大量的异常排查素材和案例),有很强的实战参考价值!专栏文章还在持续更新中,预计文章篇数能更新到200篇以上!
专栏2:
C/C++基础与进阶(专栏文章,持续更新中...)https://blog.csdn.net/chenlycly/category_11931267.html
以多年的开发实战为基础,总结并讲解一些的C/C++基础与进阶内容,以图文并茂的方式对相关知识点进行详细地展开与阐述!专栏涉及了C/C++领域的多个方面的内容,同时给出C/C++及网络方面的常见笔试面试题,并详细讲述Visual Studio常用调试手段与技巧!
专栏3:
开源组件及数据库技术https://blog.csdn.net/chenlycly/category_12458859.html
以多年的开发实战为基础,分享一些开源组件及数据库技术!
3、使用IDA打开.so动态库文件,提示Relocations for this machine are not implemented
当前崩溃发生在libxxservice_hddll.so动态库中,所以我们要用IDA打开该二进制文件,查看相关的汇编代码上下文。libxxservice_hddll.so库是64位的,所以要使用64位版本的IDA打开。我当前使用的IDA版本是Version 6.1.110315 (64-bit),将libxxservice_hddll.so文件拖入到IDA中,会弹出选择文件格式的提示框(一般选择默认的就可以了,IDA会自动识别):
其实这个时候就有疑问了,自动生成的文件类型串为:ELF64 for Unknown CPU [183] (Shared object) [elfldw],即IDA无法识别出编译文件的CPU平台类型,这点就有些奇怪,之前也没遇到过。
然后打开的过程中又弹出如下的提示框:
大致的意思是,对机器的重新定位没有被执行。然后没管这个提示,继续打开libxxservice_hddll.so文件,打开成功后,点击IDA菜单栏中的Jump -> Jump to function...,在弹出的函数列表窗口中,点击窗口下方的Search按钮,输入tombstone中展示的函数调用堆栈中的函数CXXXServiceHMpHandler::OnTextImageCreateBannerInfoRsp(上面已经讲了,崩溃就发生在这个函数中,要查看这个函数的汇编代码),搜到了函数:
双击这个条目,IDA就会跳转到函数的汇编代码处,结果看到如下的信息:
并没有看到有效的汇编代码,只是一串数字相关的内容,是二进制机器码?
现在回过头看,先是弹出Relocations for this machine are not implemented提示,然后没有生成汇编代码,可能是哪里出问题了。
4、IDA版本较老,不支持ARM64的指令集,使用7.0版本就可以了
首先这个libxxservice_hddll.so文件是没问题的,app程序运行时是可以正常使用的。难道是我的IDA版本太老了?我的IDA版本如下所示:
是2011年的版本,距今已经有十来年了,我们的libxxservice_hddll.so库是在ARM64平台下编译的,是不是老版本的IDA不支持ARM64平台呢?
于是到网上搜索了一下,下载到了2017年版本的IDA,想看看这个版本能否正常地打开库文件。先是将libxxservice_hddll.so库文件拖入到IDA中,弹出选择文件格式的窗口,如下所示:
从上图得知,IDA识别出了这个二进制文件的平台类型为ARM64,估计既然能识别出来,应该生成汇编代码的。然后待文件打开完成后,搜索CXXXServiceHMpHandler::OnTextImageCreateBannerInfoRsp函数,查看该函数的汇编代码,看到如下的汇编代码:
所以,IDA7.0是支持ARM64平台的二进制文件的,生成的汇编代码也是正常的。
5、找到崩溃的那条汇编指令在目标函数中的位置
CXXXServiceHMpHandler::OnTextImageCreateBannerInfoRsp函数对应的汇编代码如下所示:
可以看到该函数的函数地址(函数首地址)为0x0000000000074DE8,根据Tombstone文件中显示的相对函数的偏移:
#00 pc 0000000000075200 /xxxkyui/lib64/libxxservice_hddll.so (CXXXServiceHMpHandler::OnTextImageCreateBannerInfoRsp(mtmsg::CMtMsg*, unsigned int, unsigned int)+1048) (BuildId: d6e3064a3e1a03d9bea3c4496e78cb4942d187d1)
计算新的地址:
0x0000000000074DE8 + 0x418(对应于10进制的1048)= 0x0000000000075200
然后在IDA中搜索该地址0x0000000000075200,找到对应的汇编代码行。具体的做法是,将鼠标点进汇编代码窗口中(使该窗口获得焦点),然后按下快捷键g,弹出Jump to address窗口,输入上面计算出来的地址0x0000000000075200:
点击OK,就会跳转到对应的行,如下所示:
6、通过阅读汇编代码上下文,找到崩溃的那条汇编指令对应的C++源代码位置
我们平时看惯了X86平台的汇编代码,看这个ARM架构的汇编代码有点不习惯,无论是汇编指令的名称,还是寄存器的名称,都有很大的差异。感觉还是X86平台的汇编代码阅读起来更习惯一些。
**上面我们在汇编代码中定位到了位置,但与汇编代码对应的C++源码是哪一行呢?**此外,Release下编译时编译器会对C++代码进行优化(有些变量或函数调用可能会被优化掉),导致汇编代码和C++代码可能是不完全一致的,甚至较难对应起来。
该怎么将汇编代码与C++源码对应起来呢?难道我们要一句一句汇编代码去啃?强行去阅读汇编代码上下文,是需要有一定的汇编功底的,一般人比较难做到。一般我们借助汇编上下文中的注释信息去辅助阅读,本例中我们就是使用注释信息快读定位的。
一般在阅读汇编代码上下文时,一方面借助汇编代码中的注释,另一方面将汇编代码与C++源码对照着看!
0x0000000000075200地址对应的汇编代码行,该行代码下面紧接就看到注释,是常量值字符串的注释:
但看不到完整的字符串。这个地方有个技巧,可以将鼠标移动到变量上,就会以TooTip的方式显示变量中的完整内容,如下所示:
这个地方巧了,这样的字符串是打印日志中的,于是到C++源码中找到CXXXServiceHMpHandler::OnTextImageCreateBannerInfoRsp函数,在函数中找"[CXXXServiceHMpHandler::OnTextImageCreateBannerInfoRsp] dispatch"这样的打印,确实有这行打印,如下所示:
所以就找到了0x0000000000075200地址对应的C++源码大概的行了,所以本例中的空指针问题应该就是上图中的ptTip指针,即该指针值为空,结果使用该指针调用value接口产生了崩溃。
关于IDA工具介绍及详细使用说明,可以参见我之前写的文章:
IDA反汇编工具使用详解https://blog.csdn.net/chenlycly/article/details/120635120使用IDA查看汇编代码上下文去辅助排查C++软件异常问题https://blog.csdn.net/chenlycly/article/details/128942626使用反汇编工具IDA查看发生异常的汇编代码的上下文去辅助分析C++软件异常https://blog.csdn.net/chenlycly/article/details/132158574