linux - 当程序打开特定文件时 gdb 中断

Question

背景故事:在 strace 下运行程序时，我注意到“/dev/urandom”正在被打开。我想知道这个调用是从哪里来的(它不是程序本身的一部分，而是系统的一部分)。

因此，使用 gdb，我试图在发出 open 调用时中断(使用 catch syscall open)程序执行，因此我可以看到回溯。问题是 open 被调用了 很多，好像有几百次，所以我无法缩小打开/dev/urandom 的具体调用范围。我应该如何缩小特定电话的范围？有没有一种方法可以按参数进行过滤，如果可以，我该如何为系统调用执行此操作？

任何建议都会有所帮助——也许我做错了。

Answer 1

GDB 是一个非常强大的工具，但有一点学习曲线。

基本上，您想要设置一个条件断点。

首先使用 -i 标志进行 strace 或 objdump -d 来查找打开函数的地址，或者更实际地在到达那里的链中找到某些东西，例如在 plt 中。

在那个地址设置一个断点(如果你有调试符号，你可以使用它们，省略 *，但我假设你没有 - 尽管如果没有别的，你很可能将它们用于库函数。

break * 0x080482c8 

接下来你需要让它有条件

(理想情况下，您可以将字符串参数与所需的字符串进行比较。我在尝试的前几分钟内没有让它工作)

我们希望我们可以假设该字符串是程序中某处或它加载的库之一中的常量。您可以查看/proc/pid/maps 以了解加载的内容和位置，然后使用 grep 验证字符串实际上在文件中，使用 objdump -s 找到它的地址，使用 gdb 验证您已经实际上通过将映射中地址的高位部分与文件中的低位部分相结合，在内存中找到了它。 (编辑:在可执行文件上使用 ldd 可能比查看/proc/pid/maps 更容易)

接下来，您需要了解您正在使用的平台的 abi，​​特别是如何传递参数。我最近一直在研究 arm，这非常好，因为前几个参数只是进入寄存器 r0、r1、r2...等。x86 不太方便——它们似乎在堆栈上，即 * ($esp+4), *($esp+8), *($esp+12)。

所以假设我们在 x86 上，我们想要检查 esp+4 中的第一个参数是否等于我们为试图捕获它传递的常量找到的地址。只有 esp+4 是一个指向 char 指针的指针。所以我们需要取消引用它以进行比较。

cond 1 *(char **)($esp+4)==0x8048514

然后你可以输入run并希望一切顺利

如果您捕捉到断点条件，并且使用信息寄存器四处查看并且检查内存的 x 命令似乎是正确的，那么您可以使用 return 命令来回溯调用堆栈，直到找到您认识的内容。