大纲
之前一直谈各种相对宏观的工具怎么使用,比如Flink、RabbitMQ等。最近想聊聊比较微观的技术,用各种"显微镜"去看看运行在系统层的二进制码是什么样子。当然二进制码比较难以记忆,于是我会从二进制码的助记符------汇编层面去分析程序运行的一些"套路",进而展开我们平时会忽略的微观世界。
这系列文章,面向有一定计算机基础、对底层比较感兴趣的朋友。但是我也会尽量用比较简单的语言,把整个系列的知识点讲明白。
相较于之前,我比较多的分析Windows上程序的汇编码(比如《反汇编》这个系列)。本系列将着重分析Linux系统上的程序的汇编码。同时又不想引入太过复杂的各种设计,尽量简单明了地还原底层本来的面貌,于是我是用的是C语言去写代码,然后将编译结果通过静态分析工具和动态分析工具去反汇编。
工欲善其事必先利其器,这次系列我们将主要使用两个工具去分析:GDB和IDA。
GDB
GDB是一个非常常用的调试工具,我们可以使用它来追踪运行时的程序,主要用于动态分析。
以后面要分析的程序(simple_main)为例,可以使用下面的命令来做调试
bash
gdb bin/simple_main
然后我们给main函数下一个端点
bash
b main
然后运行该程序
bash
r
断点命中后,我们可以分析此时的寄存器信息
bash
info registers
以及查看这些寄存器所指向区域的数据或者代码
比如我们要看栈上数据
bash
x /-16xg $rbp
或者看RIP指向的代码
bash
disassemble $rip
然后通过单步调试等方法,查看相关寄存器和内存的变化
GDB非常强大,但是需要记下很多命令,而且其交互所展现的信息量也比较有限。如果只是做代码查看性分析,而不需要其运行态的一些信息,则可以考虑使用下面介绍的静态分析工具IDA。
IDA
相较于GDB,IDA有着优秀的可视化界面,大大降低了大型工程分析的难度。
本系列我们将在Windows上使用IDA分析Linux上的程序。
针对上例, 我们把Linux上的程序simple_main拷贝到本地(我用的是Vscode远程连接Linux开发)。
然后在IDA中打开
在左侧Function name中可以看到一系列函数名称,右侧则是对应的函数的汇编。如上图是main函数的汇编。
我们可以双击main函数中call foo这行,会直接跳到foo函数的实现
如果觉得上面信息比较简单,可以使用Text view模式
然后可以看到连续的大段代码
如上图,我们看到foo函数和main函数在二进制码层面,是连续布局的。
总结
本文我们只是做一个简单的介绍,后续我们将使用这些工具以及其他更多的工具,来深入分析软件在系统上运行的情况,以期展现出计算机微观世界的精彩设计。