调试器基本原理
前言
调试器(debugger),是一种用于控制其他程序执行流程、监控和修改其他程序状态的软件工具。
调试器通过实时分析程序的执行状态,协助开发者定位代码错误、了解程序工作原理、性能调优及逆向工程等。
1. 调试器核心功能
1.1 控制程序执行流程
- 行断点(line breakpoint): 编译单元(源文件)+行列号断点,设置后在指定行暂停。
- 函数断点(function breakpoint): 设置后,程序在函数入口暂停。
- 条件断点(condition breakpoint):在行断点的基础上,执行一个条件,只有当满足条件时才暂停执行。
- 异常断点(exception breakpoint):当抛出异常时,程序暂停。
- 单步执行(stepping): 包括step over(单步跳过,不进入子函数)、step in(单步进入,进入子函数)、step out(单步跳出,跳出子函数)。可以逐行/逐指令运行和查看程序状态。
1.2 查看和修改程序状态
- 调用栈:可以显示完整的函数调用链
- 变量和寄存器:可以显示变量值和寄存器值,并支持动态修改
- 观察点(watch point): 设置后变量值变化时程序暂停。尤其在多线程修改同一个变量时比较方便。
2. 断点工作原理
断点机制是程序中断的核心,通过插入软件断点指令触发CPU中断。
软件中断:
- 调试器保存原指令,替换为软件断点指令(如x86的INT 3指令,对应机器码0xCC)
- 程序执行到断点指令时,CPU触发异常(如Windows的异常派发、Linux的SIGTRAP信号)
- 操作系统将控制权交给调试器,暂停程序执行
- 程序继续执行时,调试器先恢复保存的原指令,然后继续执行
3. 调试信息与机器指令地址的映射
在程序指定地址替换软件断点指令后,程序会暂停。那么,行断点是如何计算出具体的指令地址呢?
其实,编译单元+行号与地址的映射关系保存在调试信息中。
目标地址的计算方法:
目标物理地址 = 基地址(运行时操作系统分配的地址) + 偏移地址(DWARF中的地址)
未开启地址随机化(ASLR)时,基地址固定为0x555555554000。
下面以gcc生成的调试信息为例进行说明。
main.cpp
int main()
{
int a = 5; // line 3
return 0;
}
g++ 11.4编译带DWARF5调试信息的可执行文件
# -g 生成调试信息 -O0 禁用优化
g++ -g -O0 -o main main.cpp
- 从.debug_info查看函数入口偏移地址
函数入口偏移地址(main函数地址) 0x1129
物理地址 0x555555555129
$ readlef wi main
...
<0><c>:Abbrev Number:1 (DW_TAG_compile_unit)
<d> DW_AT_producer : GNU C++17 11.4.0
<11> DW_AT_language : 33 (C++14)
<12> DW_AT_name : main.cpp
<16> DW_AT_comp_dir : /home/dev/test
<1><2e>:Abbrev Number:2 (DW_TAG_subprogram)
<2f> DW_AT_name : main
<36> DW_AT_type : <0x5e>
<3a> DW_AT_low_pc : 0x1129 # 函数入口偏移地址
- 从.debug_line查看偏移地址和行号的关系
int a = 5; 的偏移地址为0x1131
物理地址 0x555555555131
readelf -wl main
其中的行号语句包含了行号和偏移地址的映射关系
Line Number Statements:
[0x00000036] 将列设定为 1
[0x00000038] 扩充操作码 2: 设置地址为 0x1129
[0x00000043] Special opcode 6: advance Address by 0 to 0x1129 and Line by 1 to 2
[0x00000044] 将列设定为 9
[0x00000046] Special opcode 118: advance Address by 8 to 0x1131 and Line by 1 to 3
[0x00000047] 将列设定为 12
[0x00000049] Special opcode 104: advance Address by 7 to 0x1138 and Line by 1 to 4
[0x0000004a] 将列设定为 1
[0x0000004c] Special opcode 76: advance Address by 5 to 0x113d and Line by 1 to 5
[0x0000004d] Advance PC by 2 to 0x113f
[0x0000004f] 扩充操作码 1: 序列结束
行号与偏移地址的对应关系:
0x1131 → 对应行号 2 (int a = 5;)
0x1138 → 对应行号 3 (return 0;)
反向汇编验证
$ objdump -d -S main
...
0000000000001129 <main>:
int main()
{
1129: f3 0f 1e fa endbr64
112d: 55 push %rbp
112e: 48 89 e5 mov %rsp,%rbp
int a = 5;
1131: c7 45 fc 05 00 00 00 movl $0x5,-0x4(%rbp)
return 0;
1138: b8 00 00 00 00 mov $0x0,%eax
113d: 5d pop %rbp
113e: c3 ret
addr2line根据偏移地址定位源码行号验证
$ addr2line -e main 0x1131
/home/dev/test/main.cpp:3
3. 通过gdb手动给程序设置断点并恢复
$ gdb main
...
(gdb) disassemble main # 程序运行前的反汇编
Dump of assembler code for function main():
0x0000000000001129 <+0>: endbr64
0x000000000000112d <+4>: push %rbp
0x000000000000112e <+5>: mov %rsp,%rbp
0x0000000000001131 <+8>: movl $0x5,-0x4(%rbp)
0x0000000000001138 <+15>: mov $0x0,%eax
0x000000000000113d <+20>: pop %rbp
0x000000000000113e <+21>: ret
End of assembler dump.
(gdb) start
Temporary breakpoint 1 at 0x1131: file main.cpp, line 3.
Starting program: /home/dev/test/main
Temporary breakpoint 1, main () at main.cpp:3
3 int a = 5;
(gdb) disassemble main # 程序启动后暂停在main函数的反汇编
Dump of assembler code for function main():
0x0000555555555129 <+0>: endbr64
0x000055555555512d <+4>: push %rbp
0x000055555555512e <+5>: mov %rsp,%rbp
=> 0x0000555555555131 <+8>: movl $0x5,-0x4(%rbp)
0x0000555555555138 <+15>: mov $0x0,%eax
0x000055555555513d <+20>: pop %rbp
0x000055555555513e <+21>: ret
End of assembler dump.
(gdb) x /1xb 0x0000555555555138 # 查看main.cpp:4的数据
0x555555555138 <main()+15>: 0xb8
(gdb) set *(unsigned char*)0x0000555555555138 = 0xCC # 在main.cpp:4设置断点
(gdb) disassemble main # 设置断点后的反汇编(0x0000555555555138 int3)
Dump of assembler code for function main():
0x0000555555555129 <+0>: endbr64
0x000055555555512d <+4>: push %rbp
0x000055555555512e <+5>: mov %rsp,%rbp
=> 0x0000555555555131 <+8>: movl $0x5,-0x4(%rbp)
0x0000555555555138 <+15>: int3
0x0000555555555139 <+16>: add %al,(%rax)
0x000055555555513b <+18>: add %al,(%rax)
0x000055555555513d <+20>: pop %rbp
0x000055555555513e <+21>: ret
End of assembler dump.
(gdb) continue # 继续执行,命中main.cpp:4断点
Continuing.
Program received signal SIGTRAP, Trace/breakpoint trap.
0x0000555555555139 in main () at main.cpp:4
4 return 0;
(gdb) disassemble main # 命中断点后的反汇编
Dump of assembler code for function main():
0x0000555555555129 <+0>: endbr64
0x000055555555512d <+4>: push %rbp
0x000055555555512e <+5>: mov %rsp,%rbp
0x0000555555555131 <+8>: movl $0x5,-0x4(%rbp)
0x0000555555555138 <+15>: int3
=> 0x0000555555555139 <+16>: add %al,(%rax)
0x000055555555513b <+18>: add %al,(%rax)
0x000055555555513d <+20>: pop %rbp
0x000055555555513e <+21>: ret
End of assembler dump.
(gdb) set *(unsigned char*)0x0000555555555138 = 0xb8 # 恢复原指令
(gdb) set $rip = $rip - 1 # 回退 RIP 寄存器
(gdb) disassemble main # 恢复后的反汇编
Dump of assembler code for function main():
0x0000555555555129 <+0>: endbr64
0x000055555555512d <+4>: push %rbp
0x000055555555512e <+5>: mov %rsp,%rbp
0x0000555555555131 <+8>: movl $0x5,-0x4(%rbp)
=> 0x0000555555555138 <+15>: mov $0x0,%eax
0x000055555555513d <+20>: pop %rbp
0x000055555555513e <+21>: ret
End of assembler dump.
(gdb) continue # 继续执行,程序正常结束
Continuing.
[Inferior 1 (process 4293) exited normally]
Reference:
- https://zh.wikipedia.org/wiki/%E8%B0%83%E8%AF%95%E5%B7%A5%E5%85%B7
