背景故事:在运行程序时,strace我注意到“/dev/urandom”正在被open“编辑”。我想知道这个调用来自哪里(它不是程序本身的一部分,它是系统的一部分)。
因此,使用 gdb,我试图在发出调用catch syscall open时中断(使用)程序执行open,因此我可以看到回溯。问题是它open被调用了很多次,比如几百次,所以我无法缩小打开 /dev/urandom 的具体调用范围。我应该如何缩小特定呼叫的范围?有没有办法按参数过滤,如果是这样,我该如何为系统调用进行过滤?
任何建议都会有所帮助——也许我做错了。
GDB 是一个非常强大的工具,但有一点学习曲线。
基本上,您想设置一个条件断点。
首先使用 -i 标志来 strace 或 objdump -d 来查找打开函数的地址,或者更实际地在到达那里的链中找到某些东西,例如在 plt.
在该地址设置一个断点(如果你有调试符号,你可以使用它们,省略 *,但我假设你没有 - 尽管如果没有别的,你很可能将它们用于库函数。
break * 0x080482c8
接下来你需要使它有条件
(理想情况下,您可以将字符串参数与所需的字符串进行比较。我在尝试的最初几分钟内没有让它工作)
让我们希望我们可以假设字符串在程序的某个地方或它加载的库之一中是一个常量。您可以查看 /proc/pid/maps 以了解加载的内容和位置,然后使用 grep 验证字符串实际上是否在文件中,使用 objdump -s 找到它的地址,并使用 gdb 验证您已经实际上是通过将映射中地址的高部分与文件中的低部分结合起来在内存中找到它的。(编辑:在可执行文件上使用 ldd 可能比查看 /proc/pid/maps 更容易)
接下来,您将需要了解您正在使用的平台的 abi,特别是如何传递参数。我最近一直在研究 arm,这非常好,因为前几个参数只进入寄存器 r0、r1、r2 等。x86 不太方便 - 似乎它们进入堆栈,即* ($esp+4)、*($esp+8)、*($esp+12)。
因此,假设我们在 x86 上,并且我们想要检查 esp+4 中的第一个参数是否等于我们为试图捕捉它传递的常量找到的地址。只是, esp+4 是指向char 指针的指针。所以我们需要取消引用它以进行比较。
cond 1 *(char **)($esp+4)==0x8048514
然后你可以输入run并希望最好
如果您发现了断点条件,并且使用 info 寄存器和 x 命令检查内存似乎是正确的,那么您可以使用 return 命令过滤备份调用堆栈,直到找到您识别的内容。
(改编自问题编辑)
按照克里斯的回答,这是最终让我得到我想要的东西的过程:
(我试图找出open在“/dev/urandom”上调用系统调用的函数)
grep通过每个库(shell 命令)寻找“urandom”rdi——你的里程可能会有所不同break open if $rdi == _addr_bt查看回溯毕竟我发现 glib 的 g_random_int() 和 g_rand_new() 使用 urandom。Gtk+ 和 ORBit 正在调用这些函数——如果有人好奇的话。
就像安德烈·普尔所说:
break open if strcmp($rdi,"/dev/urandom") == 0
或许能胜任。