正如标题所说,ltrace 在我的系统上无法正常工作。在大多数情况下它没有显示输出,例如
$ltrace ls
[usual ls output]
+++ exited (status 0) +++
$gcc hello.c
$ltrace ./a.out
Hello world!
+++ exited (status 0) +++
我正在使用最新的 ltrace 版本(来自 package 0.7.3-5.1ubuntu4),我什至尝试从源代码重新编译,没有任何区别。我正在使用 Ubuntu 16.10,内核4.8.0-42-generic。gcc 版本是6.2.0.
奇怪的是,从 Internet 下载的二进制文件似乎可以正常工作,正确显示库调用。
我错过了什么?有没有人能够重现这个问题?
这可能与使用-z now. 我创建了一个快速测试程序(我使用的是 Ubuntu 16.04):
int main() {
write(0, "hello\n", 6);
return 0;
}
如果我用它编译它,gcc -O2 test.c -o test那么 ltrace 可以工作:
$ ltrace ./test
__libc_start_main(0x400430, 1, 0x7ffc12326528, 0x400550 <unfinished ...>
write(0, "hello\n", 6hello
) = 6
+++ exited (status 0) +++
但是,当我使用 then 编译时,gcc -O2 test.c -Wl,-z,relro -Wl,-z,now -o test2它不会:
$ ltrace ./test2
hello
+++ exited (status 0) +++
您可以使用Ubuntu 上scanelf的软件包检查二进制文件是否像这样编译:pax-utils
$ scanelf -a test*
TYPE PAX PERM ENDIAN STK/REL/PTL TEXTREL RPATH BIND FILE
ET_EXEC PeMRxS 0775 LE RW- R-- RW- - - LAZY test
ET_EXEC PeMRxS 0775 LE RW- R-- RW- - - NOW test2
请注意LAZY(ltrace 有效) 与NOW(ltrace 无效)。
这里有更多讨论(但没有解决方案):
简短的回答是ltrace由于被跟踪的二进制文件的对象文件类型和与位置无关的可执行文件的行为不符合预期。如果被跟踪的二进制文件具有ET_EXEC对象文件类型并且没有与位置无关的可执行文件,ltrace则将能够拦截并记录动态库调用。
对于二进制文件的对象文件类型(ET_EXEC、ET_DYN等),请参阅ELF 标头(0x10 偏移量)。
为了验证这一点,我将使用上test.c一个答案中的相同程序:
#include <unistd.h>
int main() {
write(0, "hello\n", 6);
return 0;
}
我的系统根据/etc/os-release:
NAME="Ubuntu"
VERSION="20.04.2 LTS (Focal Fossa)"
默认gcc -v(版本和配置):
Using built-in specs.
COLLECT_GCC=gcc
COLLECT_LTO_WRAPPER=/usr/lib/gcc/x86_64-linux-gnu/9/lto-wrapper
OFFLOAD_TARGET_NAMES=nvptx-none:hsa
OFFLOAD_TARGET_DEFAULT=1
Target: x86_64-linux-gnu
Configured with: ../src/configure -v --with-pkgversion='Ubuntu 9.3.0-17ubuntu1~20.04' --with-bugurl=file:///usr/share/doc/gcc-9/README.Bugs --enable-languages=c,ada,c++,go,brig,d,fortran,objc,obj-c++,gm2 --prefix=/usr --with-gcc-major-version-only --program-suffix=-9 --program-prefix=x86_64-linux-gnu- --enable-shared --enable-linker-build-id --libexecdir=/usr/lib --without-included-gettext --enable-threads=posix --libdir=/usr/lib --enable-nls --enable-clocale=gnu --enable-libstdcxx-debug --enable-libstdcxx-time=yes --with-default-libstdcxx-abi=new --enable-gnu-unique-object --disable-vtable-verify --enable-plugin --enable-default-pie --with-system-zlib --with-target-system-zlib=auto --enable-objc-gc=auto --enable-multiarch --disable-werror --with-arch-32=i686 --with-abi=m64 --with-multilib-list=m32,m64,mx32 --enable-multilib --with-tune=generic --enable-offload-targets=nvptx-none=/build/gcc-9-HskZEa/gcc-9-9.3.0/debian/tmp-nvptx/usr,hsa --without-cuda-driver --enable-checking=release --build=x86_64-linux-gnu --host=x86_64-linux-gnu --target=x86_64-linux-gnu
Thread model: posix
gcc version 9.3.0 (Ubuntu 9.3.0-17ubuntu1~20.04)
现在用 编译gcc test.c -o test,我们有:
$ ltrace ./test
hello
+++ exited (status 0) +++
使用以下命令检查二进制文件的对象文件类型readelf -h ./test | grep Type:
Type: DYN (Shared object file)
检查与位置无关的可执行文件hardening-check ./test | grep Position:
Position Independent Executable: yes
但是用 编译gcc -no-pie test.c -o test,我们有:
$ ltrace ./test
write(0, "hello\n", 6hello
) = 6
+++ exited (status 0) +++
使用以下命令检查二进制文件的对象文件类型readelf -h ./test | grep Type:
Type: EXEC (Executable file)
检查与位置无关的可执行文件hardening-check ./test | grep Position:
Position Independent Executable: no, normal executable!
希望这有助于澄清ltrace被跟踪的二进制文件的对象文件类型和位置无关可执行文件的行为及其关系。