解决用gdb调试跟踪wine时无法跟入wine_init的问题

最新推荐文章于 2023-08-18 10:02:25 发布
最新推荐文章于 2023-08-18 10:02:25 发布
阅读量1.2k 收藏
点赞数 2
分类专栏: wine研究 文章标签: wine
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/slvm_lj/article/details/8972722
版权

1.wine客户端在载入PE映像过程中,为了让PE映像正确运行。需要预先分配好它该占用的地址空间,所以wine的执行过程比较曲折和特殊。
首先在shell上执行wine xx.exe命令后,由shell启动新进程运行wine程序,而后wine会调用exec()将自己由wine-preloader程序取代,调整命令行参数,使得命令变成wine-preloader wine xx.exe。而进程空间的预先分配和保留则由wine-preloader来完成。
wine-preloader在完成空间预先占用后,又再次载入wine的映像和为了加载wine需要的动态库的/lib/ld-linux.so(即wine的解释器),控制权转交给解释器。而解释器完
成解析后跳转到wine的入口地址,再次运行wine。
所以在wine的源代码loader/main.c中有一个对环境变量WINELOADERNOEXEC是否存在的判断,第一次运行wine的时候这个变量是不存在的,所以会去执行wine-preloader相>关代码,设置该环境变量;第二次进入wine的时候由于已经有了这个环境变量,就进入wine_init运行。
粗糙简陋的背景铺垫就是这样了,下面问题就来了。
当用gdb wine xx.exe试图跟踪时,从第一次执行wine到exec()载入wine-preloader的过程都跟踪到没有问题,但是由wine-preloader将执行权转交到ld-linux.so再回到wine的过程却怎么也跟踪不到了,即使在wine_init处设置断点也根本不会停下,而是直接运行结束。
我想是因为,首先gdb载入wine和由exec()载入wine-preloader时,调试符号都一同正确载入没有问题,但是由ld-linux.so转交到wine的过程,由于先前exec将原来的地址
空间覆盖掉,wine原先的调试信息已经不在,gdb无法获得调试信息自然就无法找到位置停下。
那么要如何解决,问题的关键就在于重新载入调试信息到gdb中。
首先是重新载入wine的调试信息。由于wine-preloader特意将自己的加载地址和wine的加载地址分开不重叠,所以可以在wine-preloade跳转到ld-linux.so之前,直接通过
symbol-file wine读入wine的调试信息,然后在main处设断点(break main),contiue继续执行。这次的执行流程就越过wine-preloader到了wine_init的跟前。
可是在wine_init处设断点还是不能让gdb刹住车,因为wine_init是libs/wine/libwine.so中的函数,所以调试信息在libwine.so中。载入它的调试信息就麻烦些了。
首先应该明白这时候要用的gdb载入命令为add-symbol-file file address,它不光需要符号文件还要载入到内存中的虚拟地址,因为gdb不能自动完成地址对应。
oh,糟糕,我想起来我的方法好像很麻烦。
用gdb -tui以多窗口的形式进入gdb,并C-X 2打开汇编语言窗口,可以看到c语言中的wine_init(...)翻译成call   0x7bf00d80 <wine_init@plt>,注意到plt的后缀,刚>说了wine_init的调试信息在libwine.so中,所以在wine中wine_init就是一个需要由ld-linux.so来完成重定位的外部函数。0x7bf00d80并不是wine_init的真实地址,而是
对应.plt表中一个跳转地址。下面它就跳转到了.got表。在.got表中对应的条目要么对应着ld-linux.so调整后的wine_init地址,或者对应着能完成wine_init函数载入的>内存地址处。这种机制就实现了库函数的懒载入模式,也就是只有当这个函数被调用了才会去载入。 
那么我就会获得.got表中的真实地址,而它只有在调用过后才会知道,于是我就修改代码,在wine_init调用前先调用一次wine_init,并传入一个无效参数,同时修改wine_init的代码,使得对这个无效参数直接返回,这样就能获得got表中的地址。至于获得了wine_init在内存中的地址和前头提到的address有什么联系,呵呵,继续先。
对修改后的代码重新make后,gdb再次走起,运行过wine_init(无效参数),到正常的wine_init跟前,再次来到汇编窗口查看call 0x7bf00d80<wine_init@plt>,si执行下>一条汇编指令,跳转到0x7bf00d80: <wine_init@plt>      jmp    *0x7bf02a5c,用x 0x7bf02a5c查看该内存地址有什么,恩,是0x7bf02a5c: <wine_init@got.plt>: 0xb7ea1508,这就是拥有了wine_init真实地址的.got表,0xb7ea1508.
拿到了wine_init函数地址,只要根据wine_init在库文件中偏移地址,就得到库文件的载入地址。不过上面的address需要的是.text的地址,所以再查看libwine.so得到.text的偏移地址,将这个偏移量加到库文件的载入地址上,就是最终的address。在我这,用readelf -a libwine.so查看,得到wine_init的偏移量是0x7508,.text的偏移>地址是0x3020,那么address = 0xb7ea1508 - 0x7508 + 0x3020 = 0xb709d202。
gdb执行add-symbol-file libwine.so 0xb709d202,然后break wine_init, contiue, OK,进入了wine_init了。^_^
欢迎交流,批评,指正。
~                                                           
man_fight_for_FREE
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Wine中PE格式文件的加载(一):Wine初始化过程
chrisnotfound
04-16 3067
首先了解下Wine初始化过程。我们执行”wine WeChat.exe”命令,发生的过程是怎么样的?接下来从wine源码一步步分析函数调用过程。在loader/目录下的源码编译,由main.c生成了“wine”Linux可执行文件;preloader.c生成了“pre-loader”Linux可执行文件。假设在终端通过命令“wine  WeChat.exe”启动微信;该过程涉及preloader,...
使用GDB调试PHP代码,解决PHP代码死循环问题
12-18
在本文中,我们将深入探讨如何使用GDB调试PHP代码,特别是在遇到PHP代码死循环问题。在实际开发中,死循环可能导致服务器资源消耗过大,甚至崩溃。以下是一步步解决这个问题的方法。 首先,我们看到问题起源于一...
WINE 使用及其调试
热门推荐
myxuan475的专栏
10-14 1万+
wine
wine反汇编调试
weixin_53020215的博客
08-18 71
1.gdb调试wine:GDB常用命令与技巧(超好用的图形化gdbgui)_gdb gui_Lailikes的博客-CSDN博客2.depends查看exe程序调用库:http://dependencywalker.com3.x64dbg和IDA动静调试:https://tool.kanxue.com
Linux运行wine假死,请教一个关于wine运行一会后自动关闭的问题
weixin_29235923的博客
05-11 876
请教一个关于wine运行一会后自动关闭的问题发布间:2009-01-22 14:58:26来源:红联作者:makeinstall系统F10-64。用yum安装的wine。正常运行一个程序约10秒左右,wine自动关闭了。 请教如何解决?[user123@localhost 桌面]$ wine /home/user123/.wine/drive_c/Program\ Files/Tom对弈/Li...
main.c阅读
习惯就好zz的专栏
01-11 425
main函数 /**********************************************************************  *           main  */ int main( int argc, char *argv[] ) {     char error[1024];     int i; 判断是否有这个环境,是否在运行    
GDB.rar_GDB chm -CSDN_gdb_gdb beginner_gdb chm_gdb调试
09-22
GDB调试手册》是为嵌入式系统开发者和初学者提供的一份宝贵资源,它详细阐述了GDB(GNU调试器)的使用方法和调试技巧。GDB是一款强大的开源调试工具,广泛应用于Linux和其他类UNIX环境,用于调试C、C++等语言编写...
GDB.zip_debugger_gdb debgger保存_gdb调试_gnu debugger
09-15
4. 调试库与共享对象:GDB允许你在运行查看和操作动态链接库中的符号和变量,这对于调试库问题非常有用。 5. GDB的Python扩展:GDB提供了Python API,允许开发自定义的调试脚本,实现更复杂的调试需求。 三、GDB...
gdb 调试gdb 调试gdb 调试gdb 调试gdb 调试
最新发布
07-19
本文全面介绍了gdb的使用方法和技巧,包括基本信息操作、函数管理、断点管理、打印与显示、多进程/线程调试、核心转储与程序状态、汇编级调试、程序状态修改、信号处理、共享库管理、脚本配置、命令行选项、预处理器...
gdb.rar_gdb 调试驱动
09-24
gdb调试驱动详解》 ...总之,GDB是驱动开发者不可或缺的工具,通过熟练使用它可以深入理解程序运行过程,定位并解决问题。希望这篇教程能帮助初学者快速上手,进一步提升在驱动开发中的调试技能。
Fuzz-With-Wine-Demo:一组使用AFL ++ QEMU模糊Win32二进制文件的帮助程序和示例
03-09
WINE和AFL ++演示的模糊测试 注意:基于Wine的fuzzinf与-W命令行开关集成在AFL ++中,因此此存储库中的脚本是旧式的,但示例仍然有效 一组使用AFL ++ QEMU模糊Win32二进制文件的帮助程序和示例 要求 要用AFL ++ QEMU模糊Win32 PE应用程序,必须确保Linux发行版能够在没有预加载器的情况下运行Wine。 只需输入以下内容即可检查: $ WINELOADERNOEXEC=1 wine cmd 您还需要python3和pefile包。 绒毛 克隆的master分支并构建qemu_mode(对于本示例,请使用CPU_TARGET = i386)。 将afl-wine-trace脚本复制到AFL ++路径或导出AFL_PATH。 Wine为异常处理安装了一些信号处理程序,但是对于模糊测试,我们希望禁用它们并让模糊程序崩溃。 使用make构
linux-GDB-tutorial.zip_GDB手册_Linux Gdb调试_gdb_gdb教程
09-21
本教程旨在帮助开发者快速掌握GDB的使用,从而高效地定位和解决程序中的错误。 首先,了解GDB的基本操作是至关重要的。启动GDB可以通过在命令行输入`gdb <可执行文件>`。一旦GDB启动,你可以使用`file`命令加载要...
GDB调试程序(整理有书签).pdf
01-07
总结起来,GDB是Linux开发者的得力助手,熟练掌握GDB的使用不仅可以提高调试效率,还能提升解决问题的能力。通过对上述知识点的学习和实践,相信你能够更好地驾驭GDB,应对各种复杂的编程挑战。
gdb-6.7a.tar.gz_Linux Gdb调试
09-23
《Linux系统下的GDB调试与KGDB内核调试...GDB主要用于用户空间程序的调试,而KGDB则扩展了这种能力,使我们能够对复杂的内核问题进行定位和解决。掌握这两款工具的使用,无疑会极大提升Linux环境下的开发和维护效率。
如何使用GDB调试PHP程序
10-23
总之,GDB作为一款强大的调试工具,其功能丰富且灵活,能够帮助开发者深入理解程序的运行逻辑,定位并解决问题。无论是对C/C++还是PHP扩展的调试,GDB都能提供有效的支持。学习并熟练掌握GDB的使用,将极大地提升你...
preloader_exec整理
习惯就好zz的专栏
01-11 417
loader/main -> wine_exec_wine_binary ->preloader_exec整理   /* exec a binary using the preloader if requested; helper for wine_exec_wine_binary */ static void preloader_exec( char *
ubuntu 彻底删除wine 及 残留的快捷方式
sun_z_x的专栏
11-21 1999
wine很恶心的一个地方就是,你卸载了wine,但是你安装过的wine程序快捷方式还残留在你的主菜单里边,太蛋疼了,现在教你怎么彻底删掉wine: 1.卸载wine主程序,在终端里输入: sudo apt-get remove --purgewine 2.然后删除wine的目录文件: rm -r ~/.wine 3.卸载残留不用的软件包: sudo apt-get auto
Windbg符号无法加载的问题
01-14 4879
使用Windbg进行联机内核调试,出现*** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe的错误,无法加载ntoskrnl.pdb 在使用!sym noisy和.reload /f nt后发现,Windbg在如下路径 C:\Program Files\Windows Kits\10\
GDB调试
上官栋
04-16 1197
GDB(GNU Debugger)包含在 GNU 的 GCC 开发套件中,是基于命令行的、功能强大的程序调试工具。对于一名 Linux 平台下工作的 C/C++ 程序员,GDB 是必不可少的工具。 GDB可以按照自定义的要求运行程序,也支持基于条件表达式的断点,动态的修改程序的执行环境。当程序被停住,可以检查此程序中所发生的事情。程序的调试过程主要有:单步执行,跳入函数,跳出函数,设置断点,设置观察点,查看变量。 一个简单示例如下 $gdb programmer # 启动 gdb >bre
GDB调试指南:解决编程疑难问题
这本书是GDB的用户手册,专为软件开发者设计,旨在帮助他们在开发过程中解决各种调试问题,提升代码调试效率和理解能力。 本书首先简要概述了GDB的功能和目标,强调了它作为自由软件的重要性,符合GNU Free ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值