怎么用 gdb find 命令搜索内存

已于 2023-09-15 23:21:22 修改
阅读量5.8k 收藏 10
点赞数 3
分类专栏: 开发环境 调试 文章标签: linux gcc/gdb编译调试
于 2021-11-13 17:30:59 首次发布
本文详细介绍了如何使用GDB的find命令在程序内存中搜索特定字节序列。通过示例展示了如何确定搜索范围,以及如何处理字符串和字符序列的搜索。强调了注意内存映射范围和完整字符串匹配的重要性,并提示了find命令的其他选项和参数。
摘要由CSDN通过智能技术生成

原文

怎么用 gdb find 命令搜索内存 ?

本文,我们讲讲 GDB 命令 find

当调试程序时,你可能需要查找程序内存中的特定字节序列。或者,你想查找特定目标的所有地址。内存中每 8 个字节一个字节序列,表示你想确定的地址。

提醒一下,find 命令会返回所有匹配的地址;因此我们必须接受可能存在的错误结果。

没什么-我觉得。

find 命令提供了另一种审查程序的方式。

我们看看怎么用。

Hello, world!

首先,写个简单的程序,用作示例。

打开你喜欢的编辑器(例如,emacs 或 vi)并输入下面的代码。

#include <stdio.h>

int
main(void)
{
  printf(“Hello, world!\n”);
  printf(“That is all, goodbye.\n”);
  Return 0;
}

保存文件名为 hello.c

编译

$ gcc -g3 hello.c

加载。

$ gdb a.out

启动。

(gdb) start

就绪。

现在我们看看 GDB 的 find 命令。

find 命令

find 语法如下所示:

find [/SIZE-CHAR] [/MAX-COUNT] START-ADDRESS, END-ADDRESS, EXPR1 [, EXPR2, ...]

或者

find [/SIZE-CHAR] [/MAX-COUNT] START-ADDRESS, +LENGTH, EXPR1 [, EXPR2, ...]

你可以通过指定 EXPR1EXRP2 … 搜索程序的内存空间。

搜索从 START-ADDRESS 开始的 +LENGTH字节或到 END-ADDRESS 结束 。

下文中,我会讲如何获取程序的内存布局,来决定搜索的开始和结束地址。

[ /SIZE-CHAR][/MAX-COUNT] 是可选项。

[ /SIZE-CHAR] 指定每个搜索目标的大小。

b 字节

h 半字(2 字节)

w 字(4 字节)

g 双字(8 字节)

所有的搜索目标使用程序的编程语言去解释。例如,hello.c 的语言是 C/C++; 所以当我们查找 “Hello,world!” 时,它会包含字符串结束标志 ‘\0’。

如果不指定 [/SIZE-CHAR],这个值会从源程序语言中获取。当你想查找的序列是复杂类型时这个参数就派上用场了。

[/MAX-COUNT] 设置了最大返回值数量。默认打印所有结果。

你可以将字符串作为查找对象。确保用 “” 括住。字符串会逐字节的复制到查找模式中,不管目标的字节序和指定的大小。

返回值是每个匹配的地址和匹配到的数量。

查找内存

如果想查找程序的内存空间,你得知道进程的内存布局,用来决定起始地址,结束地址。

怎么告诉 GDB 查找范围呢?

可以像下面这样使用 info proc 命令获取进程的有用信息

(gdb) info proc mappings

此命令会显示进程的所有内存布局;我们的 hello.c 程序,可以访问的所有虚拟地址范围。

内存布局

按理说,“Hello,world!” 字符一定在 0x5555555540000x555555559000这个范围内。但是,有一点很重要,0x555555559000 不是结束地址。它是没有被映射的第一个字节!在查找命令中使用这个地址会报错,因为它超出了内存映射的范围。我会在视频中展示。所以,需要后退一个字节,到 0x555555558fff

现在,输入下面的命令。

(gdb) find 0x555555554000 to 0x555555558fff, “Hello, world!

示例的结果表明内存中有两个实例。

结果

验证一下:

(gdb) print (char*) 0x555555556004

不出所料,真是 “Hello, world!”。

验证

小提示

除了确保在映射内存范围内查找,还有其他需要注意的点。

如果要搜索字符串,你必须匹配完整的字符串,例如,我的视频中,忘记输入感叹号,就没返回结果,因为没命中了 \0

helloworld

find 命令查找的是 hello,world\0

你可以用别的方法搜索,比如,字符序列。

(gdb) find 0x555555554000 to 0x555555558fff, ‘H’, ‘e’, ‘l’, ‘l’, ‘o’

注意用的是单引号 (')

字符

到这里就结束了!

find help 命令提供了更多的查找选项和参数。花点时间去用用。我相信,你会觉得,在调试程序时,GDB 命令 find提供了一种有用的审查方式。

不要忘了向同事们分享你的收获,这样每个人都受益。

墨一鉴
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
GDB调试技巧汇总
老宅的虚拟空间
07-26 3823
gdb tips/tricks, 实用GDB技巧。
GDBserver远程调试(汇总)
Skyline的专栏
03-25 9234
目标平台:LOONGSON-1B(mips32指令集) 编译环境:ubuntu10.04 编译工具:君正mipseltools-gcc412-gclibc261编译编译器下载地址:http://www.ingenic.cn/product.aspx?ID=62 简介 GDBserver远程调试由宿主机GDB和目标机GDBserver共同构成,两者通过TCP连接,使用GDB标准远程
Linux——gdb调试器 find、grep
qq_45166999的博客
07-19 2015
gdb:用于对程序的调试。 用法:建立.c文件后,编译时加上-g,列如(gcc -g 1.c -o 1)。编译完成后,在linux终端敲出gdb +编译完成后的文件名。然后就进入gdb调试gdb的一些指令: 1、r(run):运行程序。 2、b(break):设置断点。b +行号或者b+行首的关键字,进行设置断点,使用run命令时,会在此停留。 3、c(continue):继续进行。当遇到断...
gdb常用定位命令及基本问题定位方法
ChrisMM
03-15 5960
1 gdb常用调试命令及技巧 1、gdb中如何定义临时变量 (gdb) set $i="hello" (gdb) ptype $i typee = char[6] gdb定义结构体变量:call malloc 构造结构体变量,然后填定内容,然后即可当成参数进行传值; (gdb) call malloc(sizeof(VFP_QUE_HI161X_PHY_CB) $1=0xfbbdf0 (g...
GDB 命令详细解释
不以己悲的博客
09-13 890
http://blog.csdn.net/wei801004/article/details/4253911 Linux中包含有一个很有用的调试工具--gdb(GNU Debuger),它可以用来调试C和C++程序,功能不亚于Windows下的许多图形界面的调试工具。 和所有
易语言X64位进程内存搜索技术
hzw320的博客
08-18 1万+
上一篇我们讲解了32位程序进程内存搜索方法:http://bbs.dult.cn/thread-10411-1-1.html 本节呢,来讲解下64位程序进程内存搜索, 因为不少学员跟我们工作客服反映,现在有不少新出的游戏都是64位程序了,而且对CE非常不友好, 检测CE导致搜索内存地址,分析数据信息困难,建议我在Game-EC 驱动模块 8.5.2 版本开发64位进程的内存搜索功能。 所以...
gdb 调试入门,大牛写的高质量指南
luguifang2011的专栏
10-09 1万+
gdb 调试 ncurses 全过程: 发现网上的“gdb 示例”只有命令而没有对应的输出,我有点不满意。gdb 是 GNU 调试器,Linux 上的标配调试器。当我看 Greg Law 在 CppCon 2015 上的演讲《给我 15 分钟,我将改变你的对 GDB 的认知》的时候,我想起了示例输出的不足,幸运的是,这次有输出!这 15 分钟太值了。 它也启发我去分享一个完整的 gdb 调试实...
gdb用法介绍
12-16
使用`print base@length`可以查看存储器中一段连续内存的内容。例如: ```sh (gdb) print h@10 ``` 这里查看了变量`h`之后的10个整数。 #### 六、设置与管理断点 ##### 1. 设置断点 使用`break [line-or-function]...
CE内存搜索工具
11-23
内存搜索工具 无毒 内存搜索工具 无毒
YO修改-内存搜索工具
11-22
查找修改内存游戏的好帮手。轻量级。内存游戏,只要找到正确方法,什么都可以修改。
gdb调试时查看内存
yasi_xi的专栏
03-05 2万+
x/ n、f、u是可选的参数,表示一个内存地址 1) n 是一个正整数,表示显示内存的长度,也就是说从当前地址向后显示几个地址的内容 2) f 表示显示的格式 3) u 表示将多少个字节作为一个值取出来,如果不指定的话,GDB默认是4个bytes,如果不指定的话,默认是4个bytes。当我们指定了字节长度后,GDB会从指内存定的内存地址开始,读写指定字节,并把其当作一个值取出来。
gdb中查看内存方法总结
angus_monroe的博客
11-12 2万+
出自计组第三次上机附加题第二题 用gdb运行程序b,输出中相应地址究竟指向了什么? 请贴上你是如何找到的(使用了什么gdb指令等等) 在查看地址前首先需要断点定位到需要查看的位置 显示代码内容 (gdb) l 在第八行设置断点 (gdb) break 8 运行 (gdb) run 将会在断点处停下 Starting program: /Users/xuji
GDB——使用GDB查看内存
食梦者
06-13 8214
我们可以使用GDB来进行对指定内存地址进行查看。 命令语法: x /Nuf experssion - N – 需要打印的单元数 - u – 每个单元的大小 u对应的意义: f – 数据打印的格式 f对应的意义: 查看指定内存的作用 这样查看指定内存数据有什么作用呢?为什么不直接用变量名呢? 实际上,直接使用变量名打印出的值,默认打印为变量类型的数值。不能自由选择打印的...
GDB动态库搜索路径
热门推荐
_xiao的专栏
04-09 3万+
笔记: 1. set sys_root 与 set solib_abo
内存搜索修改器
qq_33760134的博客
02-09 1203
#pragma once #include #include class SearchMomery { private: HANDLE g_hProcess; private: BOOL ComparePage(DWORD dwBaseAddr, DWORD dwValue); public: DWORD g_nCount; DWORD g_list[4096];
gdb bt命令
最新发布
05-24
`gdb bt` 是一个在 GDB (GNU Debugger) 中的命令,用于打印函数调用栈。它会显示当前程序在哪些函数中调用了哪些函数,并在最后一行列出正在执行的函数。使用这个命令可以帮助程序员快速定位程序中的错误和异常情况。 在使用 `gdb bt` 命令之前,需要先用 GDB 打开一个程序并开始调试。可以使用如下命令启动 GDB: ``` gdb [executable] ``` 其中 `[executable]` 是要调试的可执行文件的名称。 在 GDB 中,使用 `run` 命令运行程序。当程序出现错误或异常时,使用 `bt` 命令可以打印出函数调用栈,帮助定位问题。例如: ``` (gdb) run Starting program: /path/to/program [Thread debugging using libthread_db enabled] Using host libthread_db library "/lib/x86_64-linux-gnu/libthread_db.so.1". Program received signal SIGSEGV, Segmentation fault. 0x000000000040054d in main () at main.c:5 5 int *p = NULL; (gdb) bt #0 0x000000000040054d in main () at main.c:5 ``` 在上面的示例中,程序发生了段错误,GDB 自动停止程序的执行并进入调试模式。使用 `bt` 命令可以打印出函数调用栈,显示出问题发生的地方。在这个例子中,错误发生在 `main` 函数的第五行,因为指针 `p` 没有被初始化。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值