linux程序分析命令(二)

• **ldd：**用于打印共享库依赖。这个命令会显示出一个可执行文件所依赖的所有共享库（动态链接库），这对于解决运行时库依赖问题非常有用。
• **nm：**用于列出对象文件的符号表。这个命令可以显示出定义和引用的符号，对于理解程序结构和调试非常有帮助。
• objdump：显示二进制文件的信息。这个命令可以用来显示程序的汇编代码、段信息等，对于底层分析和调试很有用。
• strace：跟踪系统调用。通过这个命令，你可以看到一个程序执行时所有的系统调用，这对于理解程序如何与操作系统交互非常重要。
• ltrace：跟踪库函数调用。与strace类似，但是ltrace专注于跟踪程序调用库函数的情况。
• gdb：GNU调试器。这是一个功能强大的调试工具，可以让你看到程序执行时的内部情况，比如变量的值、程序的执行流程等。
• valgrind：内存调试工具。这个工具主要用于检测内存泄漏、内存损坏等问题，对于提高程序稳定性非常有帮助。
• readelf：显示ELF格式文件的信息。这个命令可以显示出ELF格式的二进制文件（如Linux下的可执行文件和共享库）的详细信息，包括段、节、符号等。
• file：确定文件类型。这个命令可以帮助你识别一个文件是二进制可执行文件、文本文件还是其他类型的文件。
• size：显示二进制文件的段大小。这个命令会列出二进制文件各个段（如文本段、数据段）的大小，对于评估程序占用空间有一定帮助。

objdump

objdump 是一个非常强大的程序分析工具，广泛用于显示二进制文件的信息。这个工具主要用于调试和逆向工程，在Linux系统中特别有用。它可以显示出一个可执行文件、目标文件或者库文件的详细信息，包括汇编指令、段信息、符号表等。

基本用法

objdump 的基本语法如下：

objdump [选项] 文件...

常用命令示例

#查看汇编代码：使用 -d 或 --disassemble 选项可以查看目标文件或可执行文件的汇编代码。
objdump -d 程序名
#查看所有头信息：使用 -x 选项可以查看文件的所有头信息，包括文件头、节头等。
objdump -x 程序名
#查看符号表：使用 -t 或 --syms 选项可以显示目标文件的符号表，这对于理解程序中各个函数和变量的布局非常有帮助。
objdump -t 程序名
#查看特定节的内容：如果你只对文件中的某个特定节（section）感兴趣，可以使用 -j 节名 与 -s 选项组合来查看该节的内容。
objdump -j .text -s 程序名
#查看重定位信息：使用 -r 或 --reloc 选项可以显示文件的重定位信息。这对于理解动态链接和地址重定位非常有用。
objdump -r 程序名

高级用法

#反汇编特定函数：结合 grep 命令，你可以只查看某个特定函数的汇编代码。首先使用 -t 选项找到函数的地址，然后用 -d 查看汇编代
#码，并通过 grep 过滤。
objdump -t 程序名 | grep 函数名
objdump -d 程序名 | grep -A20 <函数地址>
#查看C++虚表信息：对于C++程序，可以使用 -C 选项来让 objdump 解析C++符号名称，这对于分析C++程序的虚表（vtable）特别有帮助。
objdump -C -t 程序名

1. 反汇编特定函数

要反汇编特定函数，你可以先使用 -t 选项查找函数的地址，然后使用 --start-address 和 --stop-address 选项来限定反汇编的范围。

#例如，如果你想反汇编 main 函数：#查找main函数的地址objdump -t 程序名 | grep ' main'#假设main函数的地址是0x401000，使用如下命令反汇编main函数objdump -d --start-address=0x401000 --stop-address=0x401200 程序

2. 解码C++虚函数表
   对于C++编写的程序，objdump 可以帮助你解码虚函数表（vtable）。

objdump -C -j .rodata -s 程序名
#这个命令可以帮助你查看 .rodata 节（通常包含虚函数表）的内容，并尝试将其中的符号名“美化”（demangle）。

3. 分析静态库(.a文件)

#objdump 也可以用来分析静态库（.a文件），查看库中包含的对象文件和符号：
objdump -t 库文件名.a
#这对于理解静态库的结构和内容非常有帮助。

4. 使用过滤器增强输出

由于 objdump 的输出可能非常庞大，使用Unix管道和文本处理工具（如 grep, awk, sed）可以帮助你过滤和查找感兴趣的信息。

#例如，如果你只对某些类型的指令感兴趣，可以：
objdump -d 程序名 | grep -E "(call|jmp)"
#这个命令会过滤出所有的 call 和 jmp 指令。

5. 查看动态链接信息

#对于动态链接的程序，使用 -p 或 --dynamic-reloc 选项查看动态链接器将如何处理程序中的符号：
objdump -p 程序名
#这个命令显示了动态段信息，包括动态链接符号表、重定位表等。

strace

strace 是一款强大的命令行工具，用于跟踪进程执行时的系统调用和信号。它主要用于调试程序和分析性能问题。通过 strace，你可以了解程序是如何与操作系统交云的，包括文件操作、内存分配、网络通信等。

常见用法

#追踪程序执行：直接在 strace 后面跟上要执行的程序名及其参数。这将显示 ls 命令执行时所有的系统调用。
strace ls#追踪特定进程：使用 -p 参数后跟进程ID，可以追踪已经在运行的进程。其中 1234 是你想要追踪的进程ID。
strace -p 1234#输出到文件：使用 -o 参数可以将输出结果保存到文件中，便于后续分析。这会将 ls 命令的系统调用输出到 output.txt 文件中。
strace -o output.txt ls#追踪特定的系统调用：使用 -e 参数可以指定只追踪特定的系统调用。这将只显示 ls 命令执行过程中的 open 和 close 系统调用。
strace -e open,close ls#统计每个系统调用的次数、错误和时间：使用 -c 参数可以在程序执行完成后，显示每个系统调用的统计信息。
strace -c ls
#追踪子进程：使用 -f 参数可以追踪由原进程派生的所有子进程。
strace -f ./your_program

高级用法

#限制追踪的系统调用集：通过 -e trace=set 参数，你可以限制只追踪一组特定的系统调用。#例如，只追踪与文件描述符相关的调用：
strace -e trace=file ls
#改变输出格式：某些情况下，默认的输出格式可能不是最适合阅读的。#使用 -s 参数可以指定字符串参数的最大长度，以获取更完整的输出信息。
strace -s 1024 ls
#条件追踪：结合其他工具如 grep，你可以对 strace 的输出进行过滤，只看你感兴趣的部分。例如，只关注错误的系统调用：
strace ls 2>&1 | grep -i error