我正在使用FASM汇编语言编写程序,希望能够查看所有宏展开后生成的代码。通常可以使用objdump -d来反汇编二进制文件,但对于由fasm生成的二进制文件,它只会输出以下内容:
$ cat true.fasm
format ELF64 executable
sys_exit = 60
entry $
mov eax, sys_exit
xor edi, edi
syscall
$ fasm true.fasm
$ objdum -d ./true
out/true: file format elf64-x86-64
我能做的是将二进制文件加载到gdb中,并使用starti启动它,然后使用x/10i $rip解码指令,但这种方法并不是最佳选择。有没有可以实现相同功能的非交互式命令?
您可以轻松使用radare2,使用pdf命令即可实现反汇编:
% cat test.asm
format ELF64 executable
sys_exit = 60
entry $
mov rax, sys_exit
xor rdi, rdi
syscall
% ./fasm test.asm
flat assembler version 1.73.04 (16384 kilobytes memory) 1 passes, 132 bytes.
% file test
test: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, stripped
% r2 -AA test
[x] Analyze all flags starting with sym. and entry0 (aa)
[x] Analyze function calls (aac)
[x] Analyze len bytes of instructions for references (aar)
[x] Check for objc references
[x] Check for vtables
[x] Type matching analysis for all functions (aaft)
[x] Propagate noreturn information
[x] Use -AA or aaaa to perform additional experimental analysis.
[x] Finding function preludes
[x] Enable constraint types analysis for variables
-- In visual mode press 'c' to toggle the cursor mode. Use tab to navigate
[0x00400078]> pdf
;-- segment.LOAD0:
;-- rip:
┌ 12: entry0 ();
│ 0x00400078 48c7c03c0000. mov rax, 0x3c ; '<' ; 60 ; [00] -rwx segment size 12 named LOAD0
│ 0x0040007f 4831ff xor rdi, rdi
└ 0x00400082 0f05 syscall
[0x00400078]>
.text节),只有程序头,告诉操作系统如何映射到内存。我不知道一个好的方便的方法来反汇编它,除了把它当作一个平面二进制文件并对所有内容进行反汇编(例如ndisasm -b32)。然后自己找到实际指令的开始位置。 - Peter Cordes-D(大写 D,反汇编所有)选项,看看是否效果更好。 - Ross Ridge-Dresults in same output:file format elf64-x86-64- KAction