查找动态库函数的过程分析:用GDB跟踪汇编代码


在一个最简单的hello world程序中,printf是一个属于libc库的动态库函数。在编译时是不知道printf所在地址的,那么,在程序运行的时候是怎么找到printf所在地址并且跳到那个地址去执行的呢?本文将以printf为例,用GDB跟踪动态库函数的查找过程。汇编以MIPS为例, 以后有时间再分析ARM版本的。
首先给出程序代码:

  1. #include <stdio.h>

  3. int main(int argc, char* argv[])
  4. {
  5.     printf("Hello world %d.\n", argc);
  6.     return 0;
  7. }
用以下命令编译得到可执行程序,并DUMP其汇编指令:
  1. mipsel-linux-gnu-gcc main.c -o main
  2. mipsel-linux-gnu-objdump -xD main > main.dump
一. 汇编代码静态分析
在得到的main.dump文件中, 找到main函数所在的地方如下:
  1. 004005b0 <main>:
  2. 4005b0: 27bdffe8 addiu sp,sp,-24
  3. 4005b4: afbf0014 sw ra,20(sp)
  4. 4005b8: afbe0010 sw s8,16(sp)
  5. 4005bc: 03a0f021 move s8,sp
  6. 4005c0: afc40018 sw a0,24(s8)
  7. 4005c4: afc5001c sw a1,28(s8)
  8. 4005c8: 3c020040 lui v0,0x40
  9. 4005cc: 24440760 addiu a0,v0,1888
  10. 4005d0: 8fc50018 lw a1,24(s8)
  11. 4005d4: 3c020040 lui v0,0x40
  12. 4005d8: 24590470 addiu t9,v0,1136
  13. 4005dc: 0320f809 jalr t9
  14. 4005e0: 00000000 nop
  15. 4005e4: 00001021 move v0,zero
  16. 4005e8: 03c0e821 move sp,s8
  17. 4005ec: 8fbf0014 lw ra,20(sp)
  18. 4005f0: 8fbe0010 lw s8,16(sp)
  19. 4005f4: 27bd0018 addiu sp,sp,24
  20. 4005f8: 03e00008 jr ra
  21. 4005fc: 00000000 nop
蓝色的三行是调用printf的汇编。注意这里的lui指令,并不是吧0x40放在v0寄存器里,而是把0x40左移16位再放进v0寄存器,也就是说v0=0x400000。 1136换成十六进制是0x470,那么t9的值就是0x400470,那么jalr t9就是跳转到0x400470的位置。这个位置所在处就是printf@plt.
  1. 00400470 <printf@plt>:
  2. 400470: 3c0f0041 lui t7,0x41
  3. 400474: 8df907c0 lw t9,1984(t7)
  4. 400478: 25f807c0 addiu t8,t7,1984
  5. 40047c: 03200008 jr t9
  6. 400480: 00000000 nop
这里的流程是:t7=0x410000, t9=*(0x4107c0), t8=0x4107c0, jr t9 也就是寄存器t8的值是0x4107c0, 而t9的值是内存地址0x4107c0处存放的值。然后跳转到t9指示的地址处。所以,这里的关键就是内存地址0x4107c0处存放的值到底是什么。
  1. Disassembly of section .got.plt:
  3. 004107b4 <.got.plt>:
  4. ...
  5. 4107bc: 00400440 0x400440
  6. 4107c0: 00400440 0x400440
可见,地址0x4107c0位于.got.plt段,存放的值为0x400440. 也就是说刚才程序的执行流程会跳转到0x400440地址处,这正是.plt段的位置。
  1. Disassembly of section .plt:
  3. 00400440 <_PROCEDURE_LINKAGE_TABLE_>:
  4. 400440: 3c1c0041 lui gp,0x41
  5. 400444: 8f9907b4 lw t9,1972(gp)
  6. 400448: 279c07b4 addiu gp,gp,1972
  7. 40044c: 031cc023 subu t8,t8,gp
  8. 400450: 03e07821 move t7,ra
  9. 400454: 0018c082 srl t8,t8,0x2
  10. 400458: 0320f809 jalr t9
  11. 40045c: 2718fffe addiu t8,t8,-2
  13. 00400460 <__libc_start_main@plt>:
  14. 400460: 3c0f0041 lui t7,0x41
  15. 400464: 8df907bc lw t9,1980(t7)
  16. 400468: 25f807bc addiu t8,t7,1980
  17. 40046c: 03200008 jr t9
先看蓝色部分,t9=*(0x4107b4),其实就是以0x4107b4处存放的值做目的地址去跳转。而从上面.got.plt段的汇编看,0x4107b4处是省略号,内容未知,怎么回事? 用mipsel-linux-gnu-objdump –xDsStT main > main.dump 可以看到以下内容:
  1. Contents of section .got.plt:
  2. 4107b4 00000000 00000000 40044000 40044000 ........@.@.@.@.
所以0x4107b4处的值应该是0. 难道Jalr跳到零地址吗?
  • 1
  • 2
  • 下一页

相关内容