手把手调试用GDB和readelf拆解一个.so文件看PIC和GOT到底在玩什么花样在Linux开发中动态链接库.so文件的实现机制一直是系统程序员和安全研究人员关注的焦点。当我们编译一个带有-fPIC选项的动态库时编译器会生成所谓的位置无关代码Position Independent Code这种代码可以在内存任意地址加载执行。但很少有人真正用调试工具去验证过这些理论概念在二进制层面究竟如何体现全局偏移表GOT在运行时又是如何被填充的本文将带您用readelf和GDB这两个经典工具像侦探一样解剖一个真实的.so文件。我们会从ELF文件结构分析开始逐步追踪到运行时内存状态最终揭示PIC和GOT背后的精妙设计。整个过程不需要任何特殊硬件只需要一台Linux电脑和基本的开发工具链。1. 实验环境准备与示例代码1.1 准备测试用例我们先创建一个简单的C语言示例包含全局变量和函数调用// libdemo.c int global_var 42; int add_numbers(int a, int b) { return global_var a b; }编译为动态库gcc -shared -fPIC -o libdemo.so libdemo.c1.2 工具链检查确保已安装必要的分析工具which gdb readelf objdump如果缺少任何工具在Ubuntu/Debian上可以通过以下命令安装sudo apt install binutils gdb2. 静态分析用readelf窥探ELF内部结构2.1 查看段头表(Section Headers)readelf -S libdemo.so关键输出示例Section Headers: [Nr] Name Type Address Offset Size EntSize Flags Link Info Align ... [20] .got PROGBITS 0000000000003fd8 00002fd8 0000000000000028 0000000000000008 WA 0 0 8 [21] .got.plt PROGBITS 0000000000004000 00003000 0000000000000020 0000000000000008 WA 0 0 8 [22] .data PROGBITS 0000000000004020 00003020 0000000000000004 0000000000000004 WA 0 0 4这里可以看到.got段位于0x3fd8大小0x28.got.plt段紧随其后用于函数调用.data段包含我们的global_var2.2 分析重定位表readelf -r libdemo.so输出示例Relocation section .rela.dyn at offset 0x518 contains 3 entries: Offset Info Type Sym. Value Sym. Name Addend 000000003fd8 000000000008 R_X86_64_RELATIVE 1140 000000003fe0 000200000006 R_X86_64_GLOB_DAT 0000000000004020 global_var 0 000000004020 000000000008 R_X86_64_RELATIVE 4020关键信息global_var在GOT中的偏移是0x3fe0重定位类型为R_X86_64_GLOB_DAT表示需要动态链接器填充3. 动态分析用GDB观察运行时行为3.1 创建测试程序// main.c extern int add_numbers(int, int); int main() { return add_numbers(1, 2); }编译并链接gcc main.c -L. -ldemo -o demo export LD_LIBRARY_PATH.:$LD_LIBRARY_PATH3.2 GDB调试会话启动调试gdb ./demo在GDB中设置断点并运行(gdb) break add_numbers (gdb) run查看反汇编(gdb) set disassembly-flavor intel (gdb) disassemble add_numbers典型输出Dump of assembler code for function add_numbers: 0x00007ffff7fc5100 0: endbr64 0x00007ffff7fc5104 4: push rbp 0x00007ffff7fc5105 5: mov rbp,rsp 0x00007ffff7fc5108 8: mov DWORD PTR [rbp-0x4],edi 0x00007ffff7fc510b 11: mov DWORD PTR [rbp-0x8],esi 0x00007ffff7fc510e 14: mov rax,QWORD PTR [rip0x2ecb] # 0x7ffff7fc7fe0 0x00007ffff7fc5115 21: mov eax,DWORD PTR [rax] ...关键点rip0x2ecb指向GOT条目0x7ffff7fc510e 0x2ecb 0x7ffff7fc7fe0该地址存储着global_var的实际地址验证GOT内容(gdb) x/gx 0x7ffff7fc7fe0 0x7ffff7fc7fe0: 0x00007ffff7fc8020 (gdb) print global_var $1 (int *) 0x7ffff7fc8020两者匹配证明GOT确实正确指向了全局变量。4. PIC实现机制深度解析4.1 数据访问的间接寻址PIC通过三级跳转实现数据访问代码通过rip相对寻址访问GOTGOT存储变量的绝对地址最终通过GOT中的指针访问实际数据这种设计的优势代码段完全位置无关只需rip相对偏移重定位仅需修改数据段的GOT代码段可保持只读提高安全性4.2 函数调用的PLT/GOT机制函数调用采用类似的间接机制objdump -d -Mintel libdemo.so观察函数调用0000000000001050 add_numbersplt: 1050: ff 25 ca 2f 00 00 jmp QWORD PTR [rip0x2fca] # 4020 add_numbersGLIBC_2.2.5 1056: 68 00 00 00 00 push 0x0 105b: e9 e0 ff ff ff jmp 1040 .plt调用流程首次调用跳转到PLT桩代码PLT通过GOT进行懒绑定后续调用直接通过GOT跳转4.3 地址计算实战让我们手动计算一个GOT条目地址从反汇编中找到指令地址0x7ffff7fc510e指令中的偏移量0x2ecb计算GOT地址0x7ffff7fc510e 0x2ecb 0x7ffff7fc7fd9对齐修正0x7ffff7fc7fd9 ~0x7 0x7ffff7fc7fd8验证(gdb) x/4gx 0x7ffff7fc7fd8 0x7ffff7fc7fd8: 0x00007ffff7fc1140 0x00007ffff7fc8020这正是我们之前看到的GOT内容。5. 高级调试技巧与异常分析5.1 观察动态链接过程设置LD_DEBUG环境变量查看动态链接细节LD_DEBUGall ./demo关键输出示例binding file ./libdemo.so [0] to /lib64/ld-linux-x86-64.so.2 [0]: normal symbol _rtld_global relocation processing: /lib/x86_64-linux-gnu/libc.so.6 (lazy) relocating: symbolglobal_var file./libdemo.so [0]5.2 处理常见问题问题1GOT条目未初始化症状访问全局变量导致段错误调试方法检查readelf -r中的重定位条目确认动态链接器是否成功运行问题2PLT未正确绑定症状函数调用进入无限循环调试方法单步执行PLT桩代码检查.got.plt段内容5.3 安全考量现代系统对GOT/PLT的保护机制RELRO重定位只读保护部分RELROGOT可写完全RELRO所有重定位完成后GOT变为只读检查保护级别readelf -l demo | grep GNU_RELRO6. 扩展实验修改GOT实现运行时拦截6.1 定位GOT条目通过之前的分析我们已经知道global_var的GOT地址0x7ffff7fc7fe0当前值0x00007ffff7fc80206.2 修改GOT内容在GDB中(gdb) set {long}0x7ffff7fc7fe0 0x7ffff7fc8024 (gdb) print global_var $2 42 (gdb) set {int}0x7ffff7fc8024 100 (gdb) print global_var $3 100这个实验证明修改GOT可以重定向全局变量访问原始变量仍然存在于原地址6.3 实际应用场景这种技术可用于热补丁hot patching内存分析工具高级调试技巧但需要注意完全RELRO会阻止这种修改可能破坏程序稳定性7. 性能分析与优化建议7.1 PIC的性能开销主要开销来源额外的间接寻址多一次内存访问GOT/PLT带来的缓存压力懒绑定的首次调用成本测量方法perf stat -e cycles,instructions,cache-misses ./demo7.2 优化策略减少全局变量使用改用函数参数传递使用线程局部存储(TLS)链接时优化gcc -flto -fPIC -shared -o libdemo.so libdemo.c预绑定优化LD_BIND_NOW1 ./demo8. 多架构对比分析8.1 ARM架构实现关键区别使用-fPIC时生成不同的指令模式GOT通过.got段和R_ARM_GLOB_DAT重定位实现函数调用使用PLT和R_ARM_JUMP_SLOT查看ARM重定位readelf -r arm-libdemo.so8.2 RISC-V架构特点独特机制auipc指令用于PC相对寻址GOT访问模式不同重定位类型为R_RISCV_JUMP_SLOT9. 工具链进阶用法9.1 objdump高级技巧查看重定位后的代码objdump -d -Mintel --disassemble-all demo显示符号表objdump -tT libdemo.so9.2 readelf深度使用查看动态段readelf -d libdemo.so显示符号版本readelf --symbols --version-info libdemo.so9.3 GDB脚本自动化创建调试脚本debug.gdbset disassembly-flavor intel break add_numbers run disassemble x/gx $rip0x2ecb执行gdb -x debug.gdb ./demo10. 真实案例分析系统库以分析libc为例readelf -S /lib/x86_64-linux-gnu/libc.so.6比较系统库与我们的示例GOT/PLT结构相同但规模更大使用更多高级重定位类型包含复杂的符号版本控制11. 从二进制逆向理解PIC11.1 识别PIC特征在逆向工程中PIC代码的识别特征频繁使用rip相对寻址存在明显的GOT访问模式函数调用通过PLT跳转11.2 手动重建GOT在没有符号表的情况下定位.got段地址分析交叉引用重建符号-GOT偏移映射12. 编译器选项深度探讨12.1 PIC相关选项对比选项作用范围典型用途性能影响-fPIC编译阶段共享库中等-fPIE编译阶段位置无关可执行文件较小-pie链接阶段可执行文件最小-fno-pic编译阶段禁用位置无关代码无12.2 现代编译最佳实践推荐组合共享库-fPIC -O2可执行文件-fPIE -pie -O2性能关键代码评估PIC开销13. 调试技巧总结13.1 核心检查点编译阶段确认-fPIC选项生效检查警告信息静态分析.got/.got.plt段存在重定位表包含预期符号动态调试GOT条目正确初始化PLT绑定按预期工作13.2 常见问题排查表症状可能原因调试方法段错误访问全局变量GOT未正确初始化检查LD_DEBUG输出函数调用死循环PLT绑定失败单步执行PLT桩代码变量值不正确GOT被意外修改检查GOT内存内容性能低下PIC间接访问开销使用perf测量缓存命中率14. 延伸思考PIC与现代系统设计14.1 ASLR与PIC的关系地址空间布局随机化(ASLR)依赖PIC代码段可加载到任意地址数据段随机偏移通过GOT解析增强系统安全性14.2 容器环境的影响在容器中库加载地址更随机PIC性能开销更明显完全RELRO更常见14.3 未来演进方向新技术趋势更高效的PC相对寻址硬件辅助的GOT访问静态PIE的普及
手把手调试:用GDB和readelf拆解一个.so文件,看PIC和GOT到底在玩什么花样
发布时间:2026/5/19 11:47:23
手把手调试用GDB和readelf拆解一个.so文件看PIC和GOT到底在玩什么花样在Linux开发中动态链接库.so文件的实现机制一直是系统程序员和安全研究人员关注的焦点。当我们编译一个带有-fPIC选项的动态库时编译器会生成所谓的位置无关代码Position Independent Code这种代码可以在内存任意地址加载执行。但很少有人真正用调试工具去验证过这些理论概念在二进制层面究竟如何体现全局偏移表GOT在运行时又是如何被填充的本文将带您用readelf和GDB这两个经典工具像侦探一样解剖一个真实的.so文件。我们会从ELF文件结构分析开始逐步追踪到运行时内存状态最终揭示PIC和GOT背后的精妙设计。整个过程不需要任何特殊硬件只需要一台Linux电脑和基本的开发工具链。1. 实验环境准备与示例代码1.1 准备测试用例我们先创建一个简单的C语言示例包含全局变量和函数调用// libdemo.c int global_var 42; int add_numbers(int a, int b) { return global_var a b; }编译为动态库gcc -shared -fPIC -o libdemo.so libdemo.c1.2 工具链检查确保已安装必要的分析工具which gdb readelf objdump如果缺少任何工具在Ubuntu/Debian上可以通过以下命令安装sudo apt install binutils gdb2. 静态分析用readelf窥探ELF内部结构2.1 查看段头表(Section Headers)readelf -S libdemo.so关键输出示例Section Headers: [Nr] Name Type Address Offset Size EntSize Flags Link Info Align ... [20] .got PROGBITS 0000000000003fd8 00002fd8 0000000000000028 0000000000000008 WA 0 0 8 [21] .got.plt PROGBITS 0000000000004000 00003000 0000000000000020 0000000000000008 WA 0 0 8 [22] .data PROGBITS 0000000000004020 00003020 0000000000000004 0000000000000004 WA 0 0 4这里可以看到.got段位于0x3fd8大小0x28.got.plt段紧随其后用于函数调用.data段包含我们的global_var2.2 分析重定位表readelf -r libdemo.so输出示例Relocation section .rela.dyn at offset 0x518 contains 3 entries: Offset Info Type Sym. Value Sym. Name Addend 000000003fd8 000000000008 R_X86_64_RELATIVE 1140 000000003fe0 000200000006 R_X86_64_GLOB_DAT 0000000000004020 global_var 0 000000004020 000000000008 R_X86_64_RELATIVE 4020关键信息global_var在GOT中的偏移是0x3fe0重定位类型为R_X86_64_GLOB_DAT表示需要动态链接器填充3. 动态分析用GDB观察运行时行为3.1 创建测试程序// main.c extern int add_numbers(int, int); int main() { return add_numbers(1, 2); }编译并链接gcc main.c -L. -ldemo -o demo export LD_LIBRARY_PATH.:$LD_LIBRARY_PATH3.2 GDB调试会话启动调试gdb ./demo在GDB中设置断点并运行(gdb) break add_numbers (gdb) run查看反汇编(gdb) set disassembly-flavor intel (gdb) disassemble add_numbers典型输出Dump of assembler code for function add_numbers: 0x00007ffff7fc5100 0: endbr64 0x00007ffff7fc5104 4: push rbp 0x00007ffff7fc5105 5: mov rbp,rsp 0x00007ffff7fc5108 8: mov DWORD PTR [rbp-0x4],edi 0x00007ffff7fc510b 11: mov DWORD PTR [rbp-0x8],esi 0x00007ffff7fc510e 14: mov rax,QWORD PTR [rip0x2ecb] # 0x7ffff7fc7fe0 0x00007ffff7fc5115 21: mov eax,DWORD PTR [rax] ...关键点rip0x2ecb指向GOT条目0x7ffff7fc510e 0x2ecb 0x7ffff7fc7fe0该地址存储着global_var的实际地址验证GOT内容(gdb) x/gx 0x7ffff7fc7fe0 0x7ffff7fc7fe0: 0x00007ffff7fc8020 (gdb) print global_var $1 (int *) 0x7ffff7fc8020两者匹配证明GOT确实正确指向了全局变量。4. PIC实现机制深度解析4.1 数据访问的间接寻址PIC通过三级跳转实现数据访问代码通过rip相对寻址访问GOTGOT存储变量的绝对地址最终通过GOT中的指针访问实际数据这种设计的优势代码段完全位置无关只需rip相对偏移重定位仅需修改数据段的GOT代码段可保持只读提高安全性4.2 函数调用的PLT/GOT机制函数调用采用类似的间接机制objdump -d -Mintel libdemo.so观察函数调用0000000000001050 add_numbersplt: 1050: ff 25 ca 2f 00 00 jmp QWORD PTR [rip0x2fca] # 4020 add_numbersGLIBC_2.2.5 1056: 68 00 00 00 00 push 0x0 105b: e9 e0 ff ff ff jmp 1040 .plt调用流程首次调用跳转到PLT桩代码PLT通过GOT进行懒绑定后续调用直接通过GOT跳转4.3 地址计算实战让我们手动计算一个GOT条目地址从反汇编中找到指令地址0x7ffff7fc510e指令中的偏移量0x2ecb计算GOT地址0x7ffff7fc510e 0x2ecb 0x7ffff7fc7fd9对齐修正0x7ffff7fc7fd9 ~0x7 0x7ffff7fc7fd8验证(gdb) x/4gx 0x7ffff7fc7fd8 0x7ffff7fc7fd8: 0x00007ffff7fc1140 0x00007ffff7fc8020这正是我们之前看到的GOT内容。5. 高级调试技巧与异常分析5.1 观察动态链接过程设置LD_DEBUG环境变量查看动态链接细节LD_DEBUGall ./demo关键输出示例binding file ./libdemo.so [0] to /lib64/ld-linux-x86-64.so.2 [0]: normal symbol _rtld_global relocation processing: /lib/x86_64-linux-gnu/libc.so.6 (lazy) relocating: symbolglobal_var file./libdemo.so [0]5.2 处理常见问题问题1GOT条目未初始化症状访问全局变量导致段错误调试方法检查readelf -r中的重定位条目确认动态链接器是否成功运行问题2PLT未正确绑定症状函数调用进入无限循环调试方法单步执行PLT桩代码检查.got.plt段内容5.3 安全考量现代系统对GOT/PLT的保护机制RELRO重定位只读保护部分RELROGOT可写完全RELRO所有重定位完成后GOT变为只读检查保护级别readelf -l demo | grep GNU_RELRO6. 扩展实验修改GOT实现运行时拦截6.1 定位GOT条目通过之前的分析我们已经知道global_var的GOT地址0x7ffff7fc7fe0当前值0x00007ffff7fc80206.2 修改GOT内容在GDB中(gdb) set {long}0x7ffff7fc7fe0 0x7ffff7fc8024 (gdb) print global_var $2 42 (gdb) set {int}0x7ffff7fc8024 100 (gdb) print global_var $3 100这个实验证明修改GOT可以重定向全局变量访问原始变量仍然存在于原地址6.3 实际应用场景这种技术可用于热补丁hot patching内存分析工具高级调试技巧但需要注意完全RELRO会阻止这种修改可能破坏程序稳定性7. 性能分析与优化建议7.1 PIC的性能开销主要开销来源额外的间接寻址多一次内存访问GOT/PLT带来的缓存压力懒绑定的首次调用成本测量方法perf stat -e cycles,instructions,cache-misses ./demo7.2 优化策略减少全局变量使用改用函数参数传递使用线程局部存储(TLS)链接时优化gcc -flto -fPIC -shared -o libdemo.so libdemo.c预绑定优化LD_BIND_NOW1 ./demo8. 多架构对比分析8.1 ARM架构实现关键区别使用-fPIC时生成不同的指令模式GOT通过.got段和R_ARM_GLOB_DAT重定位实现函数调用使用PLT和R_ARM_JUMP_SLOT查看ARM重定位readelf -r arm-libdemo.so8.2 RISC-V架构特点独特机制auipc指令用于PC相对寻址GOT访问模式不同重定位类型为R_RISCV_JUMP_SLOT9. 工具链进阶用法9.1 objdump高级技巧查看重定位后的代码objdump -d -Mintel --disassemble-all demo显示符号表objdump -tT libdemo.so9.2 readelf深度使用查看动态段readelf -d libdemo.so显示符号版本readelf --symbols --version-info libdemo.so9.3 GDB脚本自动化创建调试脚本debug.gdbset disassembly-flavor intel break add_numbers run disassemble x/gx $rip0x2ecb执行gdb -x debug.gdb ./demo10. 真实案例分析系统库以分析libc为例readelf -S /lib/x86_64-linux-gnu/libc.so.6比较系统库与我们的示例GOT/PLT结构相同但规模更大使用更多高级重定位类型包含复杂的符号版本控制11. 从二进制逆向理解PIC11.1 识别PIC特征在逆向工程中PIC代码的识别特征频繁使用rip相对寻址存在明显的GOT访问模式函数调用通过PLT跳转11.2 手动重建GOT在没有符号表的情况下定位.got段地址分析交叉引用重建符号-GOT偏移映射12. 编译器选项深度探讨12.1 PIC相关选项对比选项作用范围典型用途性能影响-fPIC编译阶段共享库中等-fPIE编译阶段位置无关可执行文件较小-pie链接阶段可执行文件最小-fno-pic编译阶段禁用位置无关代码无12.2 现代编译最佳实践推荐组合共享库-fPIC -O2可执行文件-fPIE -pie -O2性能关键代码评估PIC开销13. 调试技巧总结13.1 核心检查点编译阶段确认-fPIC选项生效检查警告信息静态分析.got/.got.plt段存在重定位表包含预期符号动态调试GOT条目正确初始化PLT绑定按预期工作13.2 常见问题排查表症状可能原因调试方法段错误访问全局变量GOT未正确初始化检查LD_DEBUG输出函数调用死循环PLT绑定失败单步执行PLT桩代码变量值不正确GOT被意外修改检查GOT内存内容性能低下PIC间接访问开销使用perf测量缓存命中率14. 延伸思考PIC与现代系统设计14.1 ASLR与PIC的关系地址空间布局随机化(ASLR)依赖PIC代码段可加载到任意地址数据段随机偏移通过GOT解析增强系统安全性14.2 容器环境的影响在容器中库加载地址更随机PIC性能开销更明显完全RELRO更常见14.3 未来演进方向新技术趋势更高效的PC相对寻址硬件辅助的GOT访问静态PIE的普及
)
)
