отладка без отладочной информации

0

2

Пусть есть сишная либа статическая с отладочной информацией
Собираю с ней программу, также с отладочной, и могу в gdb поставить точку на библиотечную функцию, чтобы посмотреть регистры при её вызове
Теперь удаляю всю информацию (strip ./myprog)
Как можно теперь узнать регистры на входе той функции ?

Ссылка

←	Qt программирование

Cons как интерфейс

→

1. Узнаёшь адрес нужной функции (ели она не экспортирована как символ)
2. ставишь break * 0xXXXXXXXX
3. запускаешь и ждёшь брейк
4. print $esp например или info registers
Я так загруженный в линуксовый процесс dll отлаживал

mittorn ★★★★★
(05.04.16 14:00:41 MSK)

Ответ на: комментарий от mittorn 05.04.16 14:00:41 MSK

вот в первом пункте как раз и затык - как его узнать ?

x905 ★★★★★
(05.04.16 14:07:14 MSK) автор топика

Ответ на: комментарий от x905 05.04.16 14:07:14 MSK

Смотря насколько там серьёзный strip был.
Если функция экспортирована - то достаточно break $funcname
Если есть исходный бинарник с отладкой - посмотреть адрес нём.
Иначе остаётся только реверс-инженеринг, декомпиляция, дизассемблирование - найти в ассемблере адрес функции в библиотеке, в gdb приссумировать его к адресу загрузки и вперёд.

mittorn ★★★★★
(05.04.16 14:12:34 MSK)

А splitdebug какой-нибудь низзя заюзать?

false ★★★★★
(05.04.16 14:18:34 MSK)

Ответ на: комментарий от mittorn 05.04.16 14:12:34 MSK

Смотря насколько там серьёзный strip был.

обычный, после него nm ничего не показывает
исходного может и не быть, а с ним конечно не проблема
вот думал может какие методы реверса есть, пока сам я не знаю

x905 ★★★★★
(05.04.16 14:26:34 MSK) автор топика

Ответ на: комментарий от x905 05.04.16 14:26:34 MSK

для каждого случая индивидуальные. Если например известно, что из функции вызывается какая-то другая, можно попытаться поставить брейк на ней и смотреть в стек.
Ещё может быть полезна конструкция:
print *(void*[64]*)($esp - 4)
Она распечатает окрестность стека в виде массива указателей.
Может оказаться полезной трассировка строковых операций.
Декомпиляторы к сожалению в своём большинстве платные, с достаточно дорогой лицензией. Добавлю, что указатели обычно делятся на 3 группы: 1. указатели на кучу 2. указатели на стековую память 3. указатели на бинарник Зная, где они примерно расположены, можно найти функции. Анализируя листинг дизассемблера можно перечислить все функции в бинарнике по инструкциям call для x86 и bl (с разными флагами) для arm

mittorn ★★★★★
(05.04.16 14:36:40 MSK)
Последнее исправление: mittorn 05.04.16 14:40:58 MSK (всего исправлений: 2)

Ссылка

Ответ на: комментарий от false 05.04.16 14:18:34 MSK

splitdebug как я понял обеспечивает некую дебуг инфу в сторонних файлах, а в моем случаи её нет совсем (именно его я и пытаюсь понять)

x905 ★★★★★
(05.04.16 14:43:07 MSK) автор топика

Ответ на: комментарий от x905 05.04.16 14:43:07 MSK

splitdebug как я понял обеспечивает некую дебуг инфу в сторонних файлах, а в моем случаи её нет совсем (именно его я и пытаюсь понять)

А кто стрип сделал?

Ну можно ещё собрать софт, посмотреть на шапку функции, поискать такие же байты в целевом бинарнике.

mv ★★★★★
(05.04.16 22:23:31 MSK)

Ответ на: комментарий от mv 05.04.16 22:23:31 MSK

А кто стрип сделал?

в общем случаи неизвестно, пусть будет худший случай когда убрано по маскимуму

x905 ★★★★★
(05.04.16 23:18:25 MSK) автор топика

Ответ на: комментарий от x905 05.04.16 23:18:25 MSK

Тогда твоя задачасводится к поиску иголки в стоге... иголок

mittorn ★★★★★
(06.04.16 18:38:06 MSK)

Ссылка

Ответ на: комментарий от x905 05.04.16 23:18:25 MSK

Макрухаме с дампом чего-то из backtrace_symbols(), __builtin_return_address, __builtin_frame_address и dladdr() на входе в блок :) Отладил — отключил, пересобрал :) Или отладочную инфу в отдельном файле objcopy --only-keep-debug a.out a.out.sym. Все равно ж «собираешь программу с»

slackwarrior ★★★★★
(07.04.16 14:42:09 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Qt программирование

Development

Cons как интерфейс

→

Похожие темы