C++ 我是否使用仪器例程(pin)得到了错误的ebp,或者我在这里遗漏了什么?
这就是交易。我正在使用pin工具和我所附加到的进程中的dwarf信息处理调试器。Pin是一个框架,允许您为已经运行的进程创建检测工具,我附加到该进程,然后从中解析DWARF信息 显然,pin让我在连接到程序的精确时刻获取寄存器。我能够获得C++ 我是否使用仪器例程(pin)得到了错误的ebp,或者我在这里遗漏了什么?,c++,debugging,elf,instrumentation,dwarf,C++,Debugging,Elf,Instrumentation,Dwarf,这就是交易。我正在使用pin工具和我所附加到的进程中的dwarf信息处理调试器。Pin是一个框架,允许您为已经运行的进程创建检测工具,我附加到该进程,然后从中解析DWARF信息 显然,pin让我在连接到程序的精确时刻获取寄存器。我能够获得ebp、esp和eip。但是堆栈中的信息与DWARF信息中的信息不匹配 例如: Pin告诉我ebp是:bfe0abe8我假设这是寄存器的实际地址,而不是寄存器中的值 如果我进入堆栈,我有以下内容: bfe0abb5 -> 00000020 \\this
ebp
、esp
和eip
。但是堆栈中的信息与DWARF信息中的信息不匹配
例如:
Pin告诉我ebp
是:bfe0abe8
我假设这是寄存器的实际地址,而不是寄存器中的值
如果我进入堆栈,我有以下内容:
bfe0abb5 -> 00000020 \\this is esp
bfe0abb6 -> 0804855d
bfe0abb7 -> 08048720
bfe0abb8 -> 0000000a
bfe0abb9 -> bfe0abe8 \\this is what I think is ebp, but according to pin is not
bfe0abba -> 0015711f
bfe0abbb -> bfe0ac28
bfe0abbc -> 4236b852 \\this is a local float variable named jos
bfe0abbd -> 42c0947b \\this is a local float variable named tib
bfe0abbe -> 0000000a
bfe0abbf -> 08048724
bfe0abc0 -> bfe0abf8
bfe0abc1 -> bfe0ac28
bfe0abc2 -> 08048612
bfe0abc3 -> 00000000
bfe0abc4 -> 0000000a
bfe0abc5 -> 00006680
bfe0abc6 -> 08048689
bfe0abc7 -> 00266324
bfe0abc8 -> 00265ff4
bfe0abc9 -> 936498a8
bfe0abca -> 4072464d
bfe0abcb -> 0013f4a5
bfe0abcc -> 424ab852 \\this is another local variable
bfe0abcd -> 42bc947b \\this is another local variable
bfe0abce -> 0000000a
bfe0abcf -> 08048670
bfe0abd0 -> 00000000
bfe0abd1 -> bfe0aca8
还有很多,我不知道堆栈的底部到底是什么,所以我只展示了其中的一部分
如果我转到DWARF信息,这是堆栈顶部当前所在的函数,ebp应该指向该函数:
<1>< 962> DW_TAG_subprogram
DW_AT_external yes(1)
DW_AT_name add
DW_AT_decl_line 36
DW_AT_prototyped yes(1)
DW_AT_low_pc 0x8048513
DW_AT_high_pc 0x804855f
DW_AT_frame_base <loclist with 3 entries follows>
[ 0]<lowpc=0x2f><highpc=0x30>DW_OP_breg4+4
[ 1]<lowpc=0x30><highpc=0x32>DW_OP_breg4+8
[ 2]<lowpc=0x32><highpc=0x7b>DW_OP_breg5+8
<962>DW\u TAG\u子程序
DW_在_外部是(1)
DW_AT_name add
德克卢36号线的德瓦卢
DW_AT_原型是(1)
DW_在_低_pc 0x8048513
DW_在_高_pc 0x804855f
框架底部的DW_
[0]DW_OP_breg4+4
[1]DW_OP_breg4+8
[2]DW_OP_breg5+8
我知道这一点,因为我在堆栈上看到的局部变量在这个函数中。这些局部变量是:
<2>< 1029> DW_TAG_variable
DW_AT_name tib
DW_AT_decl_line 38
DW_AT_type <837>
DW_AT_location DW_OP_fbreg -24
<2>< 1043> DW_TAG_variable
DW_AT_name jos
DW_AT_decl_line 39
DW_AT_type <837>
DW_AT_location DW_OP_fbreg -28
<1029>DW_标记_变量
DW_AT_name tib
德克卢线38处的德瓦卢
DW_AT_类型
DW_位置DW_OP_fbreg-24
<1043>DW_标记_变量
DW_AT_name jos
德克卢第39线的德瓦卢
DW_AT_类型
DW_位置DW_OP_fbreg-28
我知道根据DWARF(和这个:),这个函数中的ebp应该是当前的ebp+8(因为我正在使用DWORD,所以应该是+2)。然后我将-24减去8,使之成为ebp-16(实际上是ebp-4)。从理论上讲,这应该是可行的,但当我进入堆栈时,我遇到了很多问题:
- 我甚至没有在堆栈顶部附近看到pin返回给我的当前ebp的地址
- 假设
是当前ebp,并且该引脚实际上返回寄存器的值,而不是地址,如果我从寄存器中减去4,我将不会得到tib的值,因为根据我对堆栈的理解,我将向上而不是向下。即使我在试图得到jos时会倒下(bfe0abb9
),我也肯定不会得到jos,而是ebp-28+8=ebp-20=ebp-5
000000a
有什么建议吗?我将忽略堆栈转储,因为我不确定您想在那里显示什么 您引用的侏儒函数表示,函数的帧基最初是
$esp+4
,然后变为$esp+8
,然后变为$ebp+8
。这是打开大多数i386函数的标准“push$ebp;mov$esp,$ebp
”指令序列。在函数输入上,帧基是esp
加4的值。在堆栈上保存调用方的ebp
寄存器后,帧基现在是esp
加8,因为esp
由于推送而发生了变化。最后,esp
中的值被复制到ebp
中,该值在函数的其余部分将保持不变(而esp
通常会进一步调整)
您在这里看到的“帧基”在debug_frame部分中也被称为规范帧地址或CFA。CFA是堆栈上的一个地址,在函数的整个期间都是相同的。在i386上,CFA地址是调用方在执行调用您正在查看的函数的call
指令之前的esp
值
侏儒说变量tib
位于帧底-24处。函数的帧基是ebp+8
,因此是的,ebp
寄存器的值减去16是堆栈上的地址。变量存储在该地址
我经常发现,如果DWARF不清楚,那么阅读函数的实际汇编代码会很有帮助,前提是您对汇编语言有合理的理解。您还可以单步执行程序,在执行过程中检查寄存器和堆栈地址。少量的实际代码实验几乎总能回答任何问题。这很奇怪,因为它不像堆栈寻址,bfe0abb5
,bfe0abb6
,bfe0abb7
,bfe0abb8
,bfe0abbf9
,bfe0abba
,…
在32位机器中,它应该是4字节对齐的。根据您提供的堆栈地址,即使您提供了正确的DWARF信息,我也无法计算实际地址。我认为您遗漏了什么(或者我完全误解了您)。寄存器没有地址——它们包含值(可能是地址)。每个地址实际上只涉及一个字节——当我们谈到地址X处的32位字时,实际上是指X、X+1、X+2和X+3处的字节组合成一个字。因此,您对上面堆栈的转储毫无意义……但我的理解是,每个寄存器在bf…
空间中也有一个地址,通过对该地址的解引用,我将得到寄存器@ChrisDoddHey内的实际值