En s'arrêtant à la première machine, du code d'instruction dans GDB

Après le chargement d'un fichier exécutable dans gdb, comment puis-je rompre au point d'entrée, avant la première instruction est exécutée?

L'exécutable, je suis de l'analyse est un morceau de malware qui est crypté donc break main ne fait absolument rien.

InformationsquelleAutor rickythefox | 2012-05-07
  1. 62

    La info files commande peut vous donner une adresse, vous pouvez briser sur:

    (gdb) info files
    ...
    Entry point: 0x80000000
    ...
(gdb) break *0x80000000
(gdb) run
    • Cela ne fonctionne pas pour moi avec un simple ELFE généré par fasm /dev/stdin test <<< $'format ELF executable\nint3'.
    • (Si j'ai bien compris) l'adresse de chargement n'est pas la même que l'adresse virtuelle, selon cette réponse, pour certains programmes. Avant l'exécution du programme, à l'adresse ci est l'adresse virtuelle selon le programme, pas nécessairement de l'adresse de chargement.
    • Oui, de mon expérience, immédiatement après le démarrage, gdb il montre 0x10e0. J'ai mis un point de saut, la course, et elle ne parvient pas à insérer un point d'arrêt. Mais à ce point i files montre 0x5555555550e0 comme un point d'entrée. Et avec celui-ci, il fonctionne.
    InformationsquelleAutor Jeff Ames
  2. 34

    De départ à l'aide de GDB 8.1, il y a une commande spéciale pour cela: starti. Exemple GDB session:

    $ gdb /bin/true
Reading symbols from /bin/true...(no debugging symbols found)...done.
(gdb) starti
Starting program: /bin/true 

Program stopped.
0xf7fdd800 in _start () from /lib/ld-linux.so.2
(gdb) x/5i $pc
=> 0xf7fdd800 <_start>: mov    eax,esp
   0xf7fdd802 <_start+2>:       call   0xf7fe2160 <_dl_start>
   0xf7fdd807 <_dl_start_user>: mov    edi,eax
   0xf7fdd809 <_dl_start_user+2>:       call   0xf7fdd7f0
   0xf7fdd80e <_dl_start_user+7>:       add    ebx,0x1f7e6
    • Cette réponse doit être propagée en quelque sorte, comme c'est le plus soigné de la solution de gdb 8.1 version.
    InformationsquelleAutor Ruslan
  3. 14

    Ce hack a été rendu obsolète par starti, mais utile si vous êtes coincé avec les anciens GDB.

    L'évidence de la solution est d'utiliser l'effet de bord de la défaillance pour définir un point d'arrêt:

    $ gdb /bin/true
Reading symbols from /bin/true...(no debugging symbols found)...done.
(gdb) b *0
Breakpoint 1 at 0x0
(gdb) r
Starting program: /bin/true 
Warning:
Cannot insert breakpoint 1.
Cannot access memory at address 0x0

(gdb) disas
Dump of assembler code for function _start:
=> 0xf7fdd800 <+0>:     mov    eax,esp
   0xf7fdd802 <+2>:     call   0xf7fe2160 <_dl_start>
End of assembler dump.

(gdb) d 1       # delete the faulty breakpoint

    (Vous devez delete le point d'arrêt non valide avant de poursuivre, ou en une seule étape.)

    Idée reprise de cette réponse à RE.SE.

    • Il est intéressant de noter que je ne pouvais pas utiliser les points d'arrêt dans GDB à Aller de l'application jusqu'à ce que votre solution. Aucune autre méthode ne fonctionne pas.
    • a bien fonctionné pour moi aussi, mais alors même stepi a défaut, j'ai donc eu également utiliser delete breakpoints pour aller plus loin.
    • vous pouvez simplement supprimer l'exact point d'arrêt que vous définissez à l'échec, dans l'exemple ci-dessus, il serait d 1. Pas besoin de supprimer toutes les.
    InformationsquelleAutor Ruslan
  4. 5

    "b _start" ou "b start" peut ou peut ne pas fonctionner. Si non, trouver le point d'entrée de l'adresse avec readelf/objdump et utiliser "b *0x<hex address>".

    • Bizarre, c'est qu'il s'arrête au niveau du point d'entrée spécifiée dans l'en-tête et le démontage semble bon, mais un droit de démontage de l'exécutable montre des ordures. Mais vous avez répondu à la question. 😉 BTW, honoré pour avoir une réponse d'un gars au Hex-Rays!
    • _init de cru/init-first.c semble être exécutée avant même _start ou de l'entrée de l'adresse dans GCC 4.8 glibc 2.19 Ubuntu 14.04 quand j'essaie b _init; run dans GDB. Ce qui se passe?
    • Demandé à: stackoverflow.com/questions/31379422/...
    • Même si cela fonctionne, il peut ne pas être le premier utilisateur de l'espace de l'enseignement dans une dynamique exécutable lié. L'éditeur de liens dynamique s'exécute en premier.
    InformationsquelleAutor Igor Skochinsky
  5. 4

    Après le chargement d'un fichier exécutable dans gdb, comment puis-je rompre au point d'entrée, avant la première instruction est exécutée?

    Vous pouvez trouver ce que l'on appelle les fonctions avant de int main() avec set backtrace past-main on et après les avoir mis un point d'arrêt et le redémarrage de votre programme:

    >gdb  -q  main
Reading symbols from /home/main...done.
(gdb) set backtrace past-main on
(gdb) b main
Breakpoint 1 at 0x40058a: file main.cpp, line 25.
(gdb) r
Starting program: /home/main

Breakpoint 1, main () at main.cpp:25
25        a();
(gdb) bt
#0  main () at main.cpp:25
#1  0x0000003a1d81ed1d in __libc_start_main () from /lib64/libc.so.6
#2  0x0000000000400499 in _start ()
(gdb) b _start
Breakpoint 2 at 0x400470
(gdb) r
The program being debugged has been started already.
Start it from the beginning? (y or n) y
Starting program: /home/main

Breakpoint 2, 0x0000000000400470 in _start ()
    InformationsquelleAutor Sergei Kurenkov