我有一个不是使用调试符号构建的可执行文件的核心转储.
我可以恢复argv内容,看看命令行是什么?
如果我运行gdb,我可以看到一个回溯,我可以导航到main()框架.有一次,有没有办法恢复argv,而不知道它的确切地址?
我在x86_x64(Intel Xeon cpu)上运行一个CEntOS Linux发行版/内核,
我有希望的一个原因是核心转储似乎显示了部分争议.
(程序是postgres,当我加载核心文件时,gdb打印一个消息,其中包含postgres数据库用户名,客户端OP地址和查询的前10个字符))
解决方法
在x86_64上,参数以%rdi,%rsi等寄存器(
calling convention)传递.
因此,当您进入主框架时,您应该能够:
- (gdb) p $rdi # == argc
- (gdb) p (char**) $rsi # == argv
- (gdb) set $argv = (char**)$rsi
- (gdb) set $i = 0
- (gdb) while $argv[$i]
- > print $argv[$i++]
- > end
不幸的是,当您切换帧时,GDB通常不会恢复$rdi和$rsi.所以这个例子不行:
- cat t.c
- #include <stdlib.h>
- int bar() { abort(); }
- int foo() { return bar(); }
- int main()
- {
- foo();
- return 0;
- }
- gcc t.c && ./a.out
- Aborted (core dumped)
- gdb -q ./a.out core
- Core was generated by `./a.out'.
- Program terminated with signal 6,Aborted.
- #0 0x00007fdc8284aa75 in *__GI_raise (sig=<optimized out>) at ../nptl/sysdeps/unix/sysv/linux/raise.c:64
- 64 ../nptl/sysdeps/unix/sysv/linux/raise.c: No such file or directory.
- in ../nptl/sysdeps/unix/sysv/linux/raise.c
- (gdb) bt
- #0 0x00007fdc8284aa75 in *__GI_raise (sig=<optimized out>) at ../nptl/sysdeps/unix/sysv/linux/raise.c:64
- #1 0x00007fdc8284e5c0 in *__GI_abort () at abort.c:92
- #2 0x000000000040052d in bar ()
- #3 0x000000000040053b in foo ()
- #4 0x000000000040054b in main ()
- (gdb) fr 4
- #4 0x000000000040054b in main ()
- (gdb) p $rdi
- $1 = 5524 ### clearly not the right value
所以你必须再工作一些…
您可以做的是使用知识如何在process startup设置Linux堆栈,结合GDB将恢复堆栈指针的事实:
- (gdb) set backtrace past-main
- (gdb) bt
- #0 0x00007ffff7a8da75 in *__GI_raise (sig=<optimized out>) at ../nptl/sysdeps/unix/sysv/linux/raise.c:64
- #1 0x00007ffff7a915c0 in *__GI_abort () at abort.c:92
- #2 0x000000000040052d in bar ()
- #3 0x000000000040053b in foo ()
- #4 0x0000000000400556 in main ()
- #5 0x00007ffff7a78c4d in __libc_start_main (main=<optimized out>,argc=<optimized out>,ubp_av=<optimized out>,init=<optimized out>,fini=<optimized out>,rtld_fini=<optimized out>,stack_end=0x7fffffffdad8) at libc-start.c:226
- #6 0x0000000000400469 in _start ()
- (gdb) frame 6
- (gdb) disas
- Dump of assembler code for function _start:
- 0x0000000000400440 <+0>: xor %ebp,%ebp
- 0x0000000000400442 <+2>: mov %rdx,%r9
- 0x0000000000400445 <+5>: pop %rsi
- 0x0000000000400446 <+6>: mov %rsp,%rdx
- 0x0000000000400449 <+9>: and $0xfffffffffffffff0,%rsp
- 0x000000000040044d <+13>: push %rax
- 0x000000000040044e <+14>: push %rsp
- 0x000000000040044f <+15>: mov $0x400560,%r8
- 0x0000000000400456 <+22>: mov $0x400570,%rcx
- 0x000000000040045d <+29>: mov $0x40053d,%rdi
- 0x0000000000400464 <+36>: callq 0x400428 <__libc_start_main@plt>
- => 0x0000000000400469 <+41>: hlt
- 0x000000000040046a <+42>: nop
- 0x000000000040046b <+43>: nop
- End of assembler dump.
所以现在我们预期原始的%rsp为$rsp 8(一个POP,两个PUSH),但是由于在指令0x0000000000400449中完成的对齐,它可能在$rsp 16
我们来看看有什么?
- (gdb) x/8gx $rsp+8
- 0x7fffbe5d5e98: 0x000000000000001c 0x0000000000000004
- 0x7fffbe5d5ea8: 0x00007fffbe5d6eb8 0x00007fffbe5d6ec0
- 0x7fffbe5d5eb8: 0x00007fffbe5d6ec4 0x00007fffbe5d6ec8
- 0x7fffbe5d5ec8: 0x0000000000000000 0x00007fffbe5d6ecf
这看起来很有希望:4(怀疑argc),其次是4个非空指针,后跟NULL.
我们来看看是否平静下来:
- (gdb) x/s 0x00007fffbe5d6eb8
- 0x7fffbe5d6eb8: "./a.out"
- (gdb) x/s 0x00007fffbe5d6ec0
- 0x7fffbe5d6ec0: "foo"
- (gdb) x/s 0x00007fffbe5d6ec4
- 0x7fffbe5d6ec4: "bar"
- (gdb) x/s 0x00007fffbe5d6ec8
- 0x7fffbe5d6ec8: "bazzzz"
的确,这就是我调用二进制文件的方式.作为最后的理智检查,0x00007fffbe5d6ecf看起来像环境的一部分?
- (gdb) x/s 0x00007fffbe5d6f3f
- 0x7fffbe5d6f3f: "SSH_AGENT_PID=2874"
是的,这就是环境的开始(或结束).
所以你有它.
最终注意事项:如果GDB没有打印< optimize out>很多,我们可以从帧#5中恢复argc和argv.在GDB和GCC两方面都有工作,使GDB打印少得多的“优化出”…
另外,当加载核心时,我的GDB打印:
- Core was generated by `./a.out foo bar bazzzz'.
否定了整个运动的需要.但是,这仅适用于短命令行,而上述解决方案将适用于任何命令行.
