问题描述
我正在尝试了解对main()中对__libc_start_main()的呼叫。我知道__libc_start_main()的参数之一是main()的地址。但是,由于没有操作码__libc_start_main()或CALL,因此我无法弄清楚在JMP内部如何调用main()。在执行跳转到main()之前,我看到了以下反汇编。
0x7ffff7ded08b <__libc_start_main+203>: lea rax,[rsp+0x20]
0x7ffff7ded090 <__libc_start_main+208>: mov QWORD PTR fs:0x300,rax
=> 0x7ffff7ded099 <__libc_start_main+217>: mov rax,QWORD PTR [rip+0x1c3e10] # 0x7ffff7fb0eb0
我用C语言编写了一个简单的"Hello,World!!"。在上面的程序集中:
解决方法
当然,这些指令不是导致调用main的指令。我不确定您如何逐步执行这些说明,但是如果您使用的是GDB,则应使用stepi而不是nexti。
我不知道为什么会发生这种情况(有些奇怪的GDB或x86怪癖?),所以我只是从个人经验谈起,但是当对ELF二进制文件进行反向工程时,我偶尔会发现nexti命令执行了几个打破之前的指示。对于您而言,它在实际的mov之前没有错过几个call rax来呼叫main()。
您可以采取的补救措施是使用stepi,或者转储更多代码,然后明确告诉GDB设置断点:
(gdb) x/20i
0x7ffff7ded08b <__libc_start_main+203>: lea rax,[rsp+0x20]
0x7ffff7ded090 <__libc_start_main+208>: mov QWORD PTR fs:0x300,rax
=> 0x7ffff7ded099 <__libc_start_main+217>: mov rax,QWORD PTR [rip+0x1c3e10] # 0x7ffff7fb0eb0
... more lines ...
... find call rax ...
(gdb) b *0x7ffff7dedXXX <= replace this
(gdb) continue
这是我系统上的__libc_start_main()调用main()的作用:
21b6f: 48 8d 44 24 20 lea rax,[rsp+0x20] ; start preparing args
21b74: 64 48 89 04 25 00 03 mov QWORD PTR fs:0x300,rax
21b7b: 00 00
21b7d: 48 8b 05 24 93 3c 00 mov rax,QWORD PTR [rip+0x3c9324]
21b84: 48 8b 74 24 08 mov rsi,QWORD PTR [rsp+0x8]
21b89: 8b 7c 24 14 mov edi,DWORD PTR [rsp+0x14]
21b8d: 48 8b 10 mov rdx,QWORD PTR [rax]
21b90: 48 8b 44 24 18 mov rax,QWORD PTR [rsp+0x18] ; get address of main
21b95: ff d0 call rax ; actual call to main()
21b97: 89 c7 mov edi,eax
21b99: e8 32 16 02 00 call 431d0 <exit@@GLIBC_2.2.5> ; exit(result of main)
前三个说明与您显示的相同。在call rax时刻,rax将包含main的地址。调用main之后,结果被移到edi(第一个参数)中,并且调用exit(result)。
查看glibc's source code中的__libc_start_main(),我们可以看到确实是这样:
/* ... */
#ifdef HAVE_CLEANUP_JMP_BUF
int not_first_call;
not_first_call = setjmp ((struct __jmp_buf_tag *) unwind_buf.cancel_jmp_buf);
if (__glibc_likely (! not_first_call))
{
/* ... a bunch of stuff ... */
/* Run the program. */
result = main (argc,argv,__environ MAIN_AUXVEC_PARAM);
}
else
{
/* ... a bunch of stuff ... */
}
#else
/* Nothing fancy,just call the function. */
result = main (argc,__environ MAIN_AUXVEC_PARAM);
#endif
exit (result);
}
就我而言,从反汇编中可以看到HAVE_CLEANUP_JMP_BUF是在编译我的glibc时定义的,因此对main()的实际调用是if内部的调用。我也怀疑您的glibc就是这种情况。