assembly - 由 gcc : What happens from entry point to main? 编译的 ELF 二进制文件

Question

我用 readelf -h 得到入口点:

Entry point address: 0x8048400

使用 gdb 和 Intel 语法进行调试:

(gdb) x/13i 0x8048400
0x8048400 <_start>: xor    ebp,ebp
0x8048402 <_start+2>:   pop    esi
0x8048403 <_start+3>:   mov    ecx,esp
0x8048405 <_start+5>:   and    esp,0xfffffff0
0x8048408 <_start+8>:   push   eax
0x8048409 <_start+9>:   push   esp
0x804840a <_start+10>:  push   edx
0x804840b <_start+11>:  push   0x8048590
0x8048410 <_start+16>:  push   0x8048520
0x8048415 <_start+21>:  push   ecx
0x8048416 <_start+22>:  push   esi
0x8048417 <_start+23>:  push   0x80484b4
0x804841c <_start+28>:  call   0x80483e0 <__libc_start_main@plt>

0x80484b4，我的主函数的地址，被压入堆栈。

(gdb) x/1i 0x80483e0
0x80483e0 <__libc_start_main@plt>:  jmp    DWORD PTR ds:0x8049800

这里发生了什么？当我跳转到 0x8049800 时，我得到以下结果:

(gdb) x/9i 0x8049800
0x8049800 <__libc_start_main@got.plt>:  out    0x83,al
0x8049802 <__libc_start_main@got.plt+2>:    add    al,0x8
0x8049804 <sub@got.plt>:    test   BYTE PTR [ebx+0x804],0x0
0x804980b <data_start+3>:   add    BYTE PTR [eax],al
0x804980d:  add    BYTE PTR [eax],al
0x804980f:  add    BYTE PTR [eax],al
0x8049811 <dtor_idx.5525+1>:    add    BYTE PTR [eax],al
0x8049813 <dtor_idx.5525+3>:    .byte 0x0
0x8049814:  Cannot access memory at address 0x8049814

我不知道过程如何继续。你能帮助我吗？

Answer 1

我找到了一篇关于该主题的不错的博客文章:https://web.archive.org/web/20130325140610/http://bharathi.posterous.com/bash-prompt-to-main-call
简短的回答: __libc_start_main() 是一个 libc 函数，它调用 main 函数(并做很多其他的事情)。该地址将在启动时链接(参见 BlackBears link)，这就是无法通过静态调试从程序入口到主函数的步骤。
但是在调用__libc_start_main之前可以通过push来算出main函数的地址。

0x8048417 <_start+23>: push 0x80484b4

@BlackBear:谢谢你的链接!