linux程序分析命令(二)
- **ldd:**用于打印共享库依赖。这个命令会显示出一个可执行文件所依赖的所有共享库(动态链接库),这对于解决运行时库依赖问题非常有用。
- **nm:**用于列出对象文件的符号表。这个命令可以显示出定义和引用的符号,对于理解程序结构和调试非常有帮助。
- objdump:显示二进制文件的信息。这个命令可以用来显示程序的汇编代码、段信息等,对于底层分析和调试很有用。
- strace:跟踪系统调用。通过这个命令,你可以看到一个程序执行时所有的系统调用,这对于理解程序如何与操作系统交互非常重要。
- ltrace:跟踪库函数调用。与strace类似,但是ltrace专注于跟踪程序调用库函数的情况。
- gdb:GNU调试器。这是一个功能强大的调试工具,可以让你看到程序执行时的内部情况,比如变量的值、程序的执行流程等。
- valgrind:内存调试工具。这个工具主要用于检测内存泄漏、内存损坏等问题,对于提高程序稳定性非常有帮助。
- readelf:显示ELF格式文件的信息。这个命令可以显示出ELF格式的二进制文件(如Linux下的可执行文件和共享库)的详细信息,包括段、节、符号等。
- file:确定文件类型。这个命令可以帮助你识别一个文件是二进制可执行文件、文本文件还是其他类型的文件。
- size:显示二进制文件的段大小。这个命令会列出二进制文件各个段(如文本段、数据段)的大小,对于评估程序占用空间有一定帮助。
objdump
objdump 是一个非常强大的程序分析工具,广泛用于显示二进制文件的信息。这个工具主要用于调试和逆向工程,在Linux系统中特别有用。它可以显示出一个可执行文件、目标文件或者库文件的详细信息,包括汇编指令、段信息、符号表等。
基本用法
objdump 的基本语法如下:
objdump [选项] 文件...
常用命令示例
#查看汇编代码:使用 -d 或 --disassemble 选项可以查看目标文件或可执行文件的汇编代码。
objdump -d 程序名
#查看所有头信息:使用 -x 选项可以查看文件的所有头信息,包括文件头、节头等。
objdump -x 程序名
#查看符号表:使用 -t 或 --syms 选项可以显示目标文件的符号表,这对于理解程序中各个函数和变量的布局非常有帮助。
objdump -t 程序名
#查看特定节的内容:如果你只对文件中的某个特定节(section)感兴趣,可以使用 -j 节名 与 -s 选项组合来查看该节的内容。
objdump -j .text -s 程序名
#查看重定位信息:使用 -r 或 --reloc 选项可以显示文件的重定位信息。这对于理解动态链接和地址重定位非常有用。
objdump -r 程序名
高级用法
#反汇编特定函数:结合 grep 命令,你可以只查看某个特定函数的汇编代码。首先使用 -t 选项找到函数的地址,然后用 -d 查看汇编代
#码,并通过 grep 过滤。
objdump -t 程序名 | grep 函数名
objdump -d 程序名 | grep -A20 <函数地址>
#查看C++虚表信息:对于C++程序,可以使用 -C 选项来让 objdump 解析C++符号名称,这对于分析C++程序的虚表(vtable)特别有帮助。
objdump -C -t 程序名
- 反汇编特定函数
要反汇编特定函数,你可以先使用 -t 选项查找函数的地址,然后使用 --start-address 和 --stop-address 选项来限定反汇编的范围。
#例如,如果你想反汇编 main 函数:
#查找main函数的地址
objdump -t 程序名 | grep ' main'
#假设main函数的地址是0x401000,使用如下命令反汇编main函数
objdump -d --start-address=0x401000 --stop-address=0x401200 程序
- 解码C++虚函数表
对于C++编写的程序,objdump 可以帮助你解码虚函数表(vtable)。
objdump -C -j .rodata -s 程序名
#这个命令可以帮助你查看 .rodata 节(通常包含虚函数表)的内容,并尝试将其中的符号名“美化”(demangle)。
- 分析静态库(.a文件)
#objdump 也可以用来分析静态库(.a文件),查看库中包含的对象文件和符号:
objdump -t 库文件名.a
#这对于理解静态库的结构和内容非常有帮助。
- 使用过滤器增强输出
由于 objdump 的输出可能非常庞大,使用Unix管道和文本处理工具(如 grep, awk, sed)可以帮助你过滤和查找感兴趣的信息。
#例如,如果你只对某些类型的指令感兴趣,可以:
objdump -d 程序名 | grep -E "(call|jmp)"
#这个命令会过滤出所有的 call 和 jmp 指令。
- 查看动态链接信息
#对于动态链接的程序,使用 -p 或 --dynamic-reloc 选项查看动态链接器将如何处理程序中的符号:
objdump -p 程序名
#这个命令显示了动态段信息,包括动态链接符号表、重定位表等。
strace
strace 是一款强大的命令行工具,用于跟踪进程执行时的系统调用和信号。它主要用于调试程序和分析性能问题。通过 strace,你可以了解程序是如何与操作系统交云的,包括文件操作、内存分配、网络通信等。
常见用法
#追踪程序执行:直接在 strace 后面跟上要执行的程序名及其参数。这将显示 ls 命令执行时所有的系统调用。
strace ls
#追踪特定进程:使用 -p 参数后跟进程ID,可以追踪已经在运行的进程。其中 1234 是你想要追踪的进程ID。
strace -p 1234
#输出到文件:使用 -o 参数可以将输出结果保存到文件中,便于后续分析。这会将 ls 命令的系统调用输出到 output.txt 文件中。
strace -o output.txt ls
#追踪特定的系统调用:使用 -e 参数可以指定只追踪特定的系统调用。这将只显示 ls 命令执行过程中的 open 和 close 系统调用。
strace -e open,close ls
#统计每个系统调用的次数、错误和时间:使用 -c 参数可以在程序执行完成后,显示每个系统调用的统计信息。
strace -c ls
#追踪子进程:使用 -f 参数可以追踪由原进程派生的所有子进程。
strace -f ./your_program
高级用法
#限制追踪的系统调用集:通过 -e trace=set 参数,你可以限制只追踪一组特定的系统调用。
#例如,只追踪与文件描述符相关的调用:
strace -e trace=file ls
#改变输出格式:某些情况下,默认的输出格式可能不是最适合阅读的。
#使用 -s 参数可以指定字符串参数的最大长度,以获取更完整的输出信息。
strace -s 1024 ls
#条件追踪:结合其他工具如 grep,你可以对 strace 的输出进行过滤,只看你感兴趣的部分。例如,只关注错误的系统调用:
strace ls 2>&1 | grep -i error
5万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
