трассировать все вызовы call и регистры

0

5

для целей анализа программы без исходных кодом хочу вывести на экран все её вызовы call (E8) и некоторые регистры
т.е. вывод строки должен быть вида: $addr $rax $rbx $rcx
где addr - вызываемый адрес, далее значения регистров
чем такое можно (ли) сделать ?

Ссылка

←	Как узнать код цвета ячейки в QTableView?

Почему не работает npm install в Vagrant?

→

gdb должен с этим справится, даже собранный без debug информации, он будет деассмблировать надо только выдать нужный layout. Кроме того есть strace - тоже может пригодится

Silerus ★★★★
(07.12.17 11:41:02 MSK)

Ссылка

так что ли?

dron@gnu:~$ cat test.c 
#include <stdio.h>

char * function_name()
{
    return "hello";
}


int main(int argc, char *argv[])
{
    
    printf("%s\n",function_name() );
    return 0;
}
dron@gnu:~$ gcc -g test.c 
dron@gnu:~$ objdump -D ./a.out | grep call
 4d0:	e8 0f 20 00 00       	callq  24e4 <__FRAME_END__+0x1bfc>
 540:	ff d0                	callq  *%rax
 5a4:	ff 15 2e 0a 20 00    	callq  *0x200a2e(%rip)        # 200fd8 <__libc_start_main@GLIBC_2.2.5>
 65e:	e8 0d ff ff ff       	callq  570 <.plt.got>
 663:	e8 48 ff ff ff       	callq  5b0 <deregister_tm_clones>
 6a8:	ff d0                	callq  *%rax
 6d1:	e8 da ff ff ff       	callq  6b0 <function_name>
 6d9:	e8 82 fe ff ff       	callq  560 <puts@plt>
 71c:	e8 0f fe ff ff       	callq  530 <_init>
 739:	41 ff 14 dc          	callq  *(%r12,%rbx,8)
 79b:	ff 5c 00 00          	lcall  *0x0(%rax,%rax,1)
 7bb:	ff 54 01 00          	callq  *0x0(%rcx,%rax,1)
 2f4:	e8 02 00 00 10       	callq  100002fb <_end+0xfdff2c3>
dron@gnu:~$

Deleted
(07.12.17 11:45:02 MSK)

Ответ на: комментарий от Deleted 07.12.17 11:45:02 MSK

почти, нужны значения регистров, это главное

x905 ★★★★★
(07.12.17 11:47:42 MSK) автор топика

Ответ на: комментарий от x905 07.12.17 11:47:42 MSK

через nemiver попробуй, просто гуй для gdb, но там удобно на «Контекст» смотреть

Deleted
(07.12.17 11:50:38 MSK)

Ответ на: комментарий от Deleted 07.12.17 11:50:38 MSK

по шагам мне не нужно, тысячи call не обработать
нужна автоматизация - запустил и на выходе нужный мне формат
а далее grep мне поможет

x905 ★★★★★
(07.12.17 11:55:20 MSK) автор топика

Ответ на: комментарий от x905 07.12.17 11:55:20 MSK

нужна автоматизация - запустил и на выходе нужный мне формат

objdump и подобное, больше никак наверное.

Deleted
(07.12.17 12:12:34 MSK)

Ответ на: комментарий от Deleted 07.12.17 12:12:34 MSK

как заставить objdump показать текущие регистры (все) для каждого вызова call ?

x905 ★★★★★
(07.12.17 12:23:37 MSK) автор топика

Ответ на: комментарий от x905 07.12.17 11:55:20 MSK

нужна автоматизация - запустил и на выходе нужный мне формат

Разве gdb не скриптуется?

O02eg ★★★★★
(07.12.17 12:58:47 MSK)

Ответ на: комментарий от x905 07.12.17 12:23:37 MSK

Не знаю

Deleted
(07.12.17 13:01:23 MSK)

Ссылка

Ответ на: комментарий от x905 07.12.17 12:23:37 MSK

никак, objdump не запускает твою программу

anonymous
(07.12.17 13:25:30 MSK)

Ссылка

1) perf - можно трейсить вызовы функции 2) Intel SDE

vvvvvvvv
(07.12.17 13:42:46 MSK)

Ответ на: комментарий от O02eg 07.12.17 12:58:47 MSK

я не хороший знаток gdb, не отказался бы от такого скрипта

x905 ★★★★★
(07.12.17 15:14:11 MSK) автор топика

Ответ на: комментарий от vvvvvvvv 07.12.17 13:42:46 MSK

perf может и регистры показать ?
насколько я его понял он «событийный»

x905 ★★★★★
(07.12.17 15:15:59 MSK) автор топика

Ссылка

Ответ на: комментарий от x905 07.12.17 15:14:11 MSK

Легко находится, только оно будет ну очень медленно.

xaizek ★★★★★
(07.12.17 15:28:19 MSK)

Ответ на: комментарий от vvvvvvvv 07.12.17 13:42:46 MSK

Intel SDE

генерит _массу_ инфы, очень, 30гб на простую программу и еще не закончил
и регистры пишет, измененные данной инструкцией, не удобно мне
посмотрю еще ...

x905 ★★★★★
(07.12.17 15:48:55 MSK) автор топика

Ссылка

Ответ на: комментарий от xaizek 07.12.17 15:28:19 MSK

надо поизучать, не писал ранее на питоне для gdb

x905 ★★★★★
(07.12.17 15:49:53 MSK) автор топика

Ссылка

qemu вроде как умеет трейсить

anonymous
(07.12.17 15:58:42 MSK)

Ссылка

Ответ на: комментарий от xaizek 07.12.17 15:28:19 MSK

наверно мне подойдет останов(трейс) каждой инструкции и вывод её и нужных регистров
нашел, что вывод инструкции это display/i $pc
но как сюда же добавить парочку регистров и чтобы было все в одну строку ?
типа:

=> 0x7ffff7dee88f <_dl_runtime_resolve_avx+31>: mov %rdx,0x150(%rsp) MYREGS=«0x1 0x2 0x3»

x905 ★★★★★
(07.12.17 16:38:20 MSK) автор топика

Ответ на: комментарий от x905 07.12.17 16:38:20 MSK

Можно printf использовать:

(gdb) printf "%p; rax = 0x%016x\n", $pc, $rax
0x49b72c; rax = 0x000000000049b71d

xaizek ★★★★★
(07.12.17 16:50:03 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Как узнать код цвета ячейки в QTableView?

Development

Почему не работает npm install в Vagrant?

→

Похожие темы