objdump 是 GNU Binutils 工具集中的一个强大工具,用于显示各种目标文件的信息。它不仅可以用来查看符号表、重定位信息和头文件信息,还可以对二进制文件进行反汇编。通过 objdump 的反汇编功能,开发者可以深入了解程序的底层实现细节。
反汇编是指将机器代码转换为人类可读的汇编语言代码的过程。反汇编器(如 objdump)能够将二进制文件中的机器指令翻译成汇编语言,从而帮助开发者分析程序的行为、调试问题或研究未知程序。
objdump 反汇编二进制文件objdump [选项] 文件名
常用的选项包括:
-d 或 --disassemble:反汇编指定的文件中的所有可执行部分。-D 或 --disassemble-all:反汇编文件中的所有部分,包括数据段。-M 或 --disassembler-options=选项:传递特定的选项给反汇编器,例如指定架构或语法。-S 或 --source:在反汇编输出中混合源代码(需要调试信息)。-j 或 --section=名称:仅反汇编指定的部分。首先编写一个简单的 C 程序 example.c:
#include <stdio.h>
int main() {
printf("Hello, World!\n");
return 0;
}
使用 GCC 编译程序,并保留调试信息:
gcc -g example.c -o example
objdump 反汇编运行以下命令对生成的二进制文件进行反汇编:
objdump -d example
以下是反汇编后的部分内容:
Disassembly of section .text:
0000000000401126 <main>:
401126: 55 push %rbp
401127: 48 89 e5 mov %rsp,%rbp
40112a: bf 00 00 00 00 mov $0x0,%edi
40112f: e8 d0 fe ff ff callq 401004 <printf@plt>
401134: b8 00 00 00 00 mov $0x0,%eax
401139: 5d pop %rbp
40113a: c3 retq
push %rbp 和 mov %rsp,%rbp:设置栈帧。mov $0x0,%edi:将参数传递给 printf 函数。callq 401004 <printf@plt>:调用 printf 函数。mov $0x0,%eax:设置返回值为 0。pop %rbp 和 retq:恢复栈帧并返回。如果希望看到源代码与汇编代码的对应关系,可以使用 -S 选项:
objdump -S example
如果只想反汇编某个部分(如 .text),可以使用 -j 选项:
objdump -d -j .text example
objdump 支持多种架构的反汇编,可以通过 -m 选项指定目标架构。例如:
objdump -m arm -d example
当使用 -S 选项时,objdump 需要依赖调试信息(如 DWARF)。如果没有调试信息,反汇编输出将无法显示源代码行号。
除了 objdump,还有其他反汇编工具,如:
gdb:可以在调试模式下逐步反汇编。radare2:一个功能强大的逆向工程框架。IDA Pro:商业化的高级反汇编工具。