一个可调试的可执行文件。我个人觉得里面的内容可以分为3个部分。
1,机器码。C/C++ 转成的机器码
2,符号表信息(symbols)
3,调试信息(debug info)
无论是 Linux 的GDB,还是 Windows 的 WinDbg 跟 VsDebug,都是根据上面这些信息来进行调试的。
用前面 ubuntu18 + clion 编译出来的 ffmpeg_g 文件来讲解一下调试器的工作过程。ffmpeg_g 是一个 ELF 文件,用 xelfviewer 打开,如下:
上图是是 ffmpeg_g 里面的符号表,init_options 是里面的一个符号,一个函数就是一个符号。
上图中圈出来的 init_options 是 ffmpeg_opt.c 里面的一个函数。我编译 ffmpeg_g 的时候 开启了最大的调试信息,所以 symbols 跟 debug info 都有。
下面用 gdb 来调试一下 这个 ffmpeg_g 程序,如下:
gdb ./ffmpeg_g
set args -i walking-dead.mp4 walking-dead.flv -y
b init_options
layout src
r
上图里面,b init_options 就是针对 init_options 这个符号打断点 ,elf 里面必须有符号表才能根据 符号打断点,如果把符号表删了就无法指定符号断点。
然后,这个符号对应的源代码行数,是在 ELF 里面的 debug_xxx 的段表里面的,这是按照 DWAF (Debug With Arbitrary Record Format)标准存储的,如下:
可以使用 nl -l ffmpeg_g 打印符号对应的源代码行数。
ELF 文件生成的时候,符号 跟 源代码的对应关系已经写死了。
例如 init_options 符号就是在 /home/ubuntu/Documents/FFmpeg-n4.4.1/fftools/ffmpeg_opt.c:223 的位置,如果你把源文件目录改了位置,GDB 查询 ELF 的 debug_xxx 段表的时候就会找不到源文件。
因此,文章刚开始提及的 符号表信息(symbols)就是变量名,函数名之类的,调试信息(debug info)是 函数对应的源代码信息。
现在做个测试,我们把 debug info 信息删掉,只保留 symbols ,GDB 调试的时候会有什么特别。
执行以下命令 删除 调试信息:
strip --strip-debug ffmpeg_g
从上图可以看到,删除调试信息之后,文件小了44M。再用 xelfviewer 打开 删除了 debug info 的 ffmpeg_g 文件,可以发现 之前的 debug_info,debug_line 这些段表全都不见了,如下:
现在再次执行以下 gdb 命令调试。
gdb ./ffmpeg_g
set args -i walking-dead.mp4 walking-dead.flv -y
b init_options
layout src
r
从上图可以看到 b init_options 还是可以断点成功,因为我们只是删了调试信息,符号信号还存在,只是 gdb 的提示有变化,只是提示这个函数的地址,之前有调试信息的时候,gdb 会直接提示 ffmpeg_opt.c:223。
这是因为我们把调试信息删了,gdb 找不到这个 init_options 符号对应的源代码信息。
因此,layout src 也会失败,提示没有 源信息,如下:
因此,只能使用汇编调试,执行 layout asm ,切换到汇编界面。
有符号信息的汇编调试,跟无符号信息的汇编调试有什么区别?请看下图:
有调试符号的好处就是,call 那些地址,gdb 都会显示一个函数名给你看,然后 执行 bt 栈回溯的时候,也能显示出来函数名称。
虽然看不到源码,但是能看到函数名,微软经常提供这种符号信息给别人调试,但是不开放debug info 信息跟源码。
现在我再把 符号表也删掉,命令如下:
strip --strip-all ffmpeg_g
从上图可以看出,符号表信息相对较少,只有1M。现在再用 gdb 调试一下 ffmpeg_g,命令如下:
gdb ./ffmpeg_g
set args -i walking-dead.mp4 walking-dead.flv -y
从上图可以看出,init_options 符号已经删掉了,无法根据这个符号进行断点。只保留了一个 main 让你能从入口断一下。使用 bt 回溯的时候,也只能看到一串地址,没有函数名,这时候的 ffmpeg_g 只能看汇编调试,犹如天书。
讲到这里,ffmpeg_g 软件的运行 其实只需要 机器码,符号表信息(symbols)跟 调试信息(debug info)都只是调试需要。
因此我个人把 symbols 看成是初级的调试信息, debug info 是高级调试信息。
因为 debug info 要结合源码来用,所以即使你有debug info,如果没有源码,用处不是很大,但是对于逆向分析,有 debug info 总比没有好。
本文讲的是 Linux 的ELF 调试情况,Windows 的PE 也是类似的。 PE 跟 ELF 事实上同根同源,他们都是由 COFF (Common Object File Format) 格式发展来的。两者都是基于 段的结构。
ELF 相关知识可以看博客文章 《ELF格式简介》
参考资料:
1,《软件调试》- 张银奎
2,《Linker and Loader》- John R. Levine
3,《程序员的自我修养 - 链接、装载与库》- 俞甲子,石凡,潘爱民
标签:info,ffmpeg,符号,基础知识,调试信息,debug,原理,调试 From: https://blog.51cto.com/u_15655186/6038803