[[189018]]

這是調(diào)試器工作原理系列文章的第一篇，我不確定這個(gè)系列會有多少篇文章，會涉及多少話題，但我仍會從這篇基礎(chǔ)開始。

這一篇會講什么

我將為大家展示 Linux 中調(diào)試器的主要構(gòu)成模塊 - ptrace 系統(tǒng)調(diào)用。這篇文章所有代碼都是基于 32 位 Ubuntu 操作系統(tǒng)。值得注意的是，盡管這些代碼是平臺相關(guān)的，將它們移植到其它平臺應(yīng)該并不困難。

緣由

為了理解我們要做什么，讓我們先考慮下調(diào)試器為了完成調(diào)試都需要什么資源。調(diào)試器可以開始一個(gè)進(jìn)程并調(diào)試這個(gè)進(jìn)程，又或者將自己同某個(gè)已經(jīng)存在的進(jìn)程關(guān)聯(lián)起來。調(diào)試器能夠單步執(zhí)行代碼，設(shè)定斷點(diǎn)并且將程序執(zhí)行到斷點(diǎn)，檢查變量的值并追蹤堆棧。許多調(diào)試器有著更高級的特性，例如在調(diào)試器的地址空間內(nèi)執(zhí)行表達(dá)式或者調(diào)用函數(shù)，甚至可以在進(jìn)程執(zhí)行過程中改變代碼并觀察效果。

盡管現(xiàn)代的調(diào)試器都十分的復(fù)雜(我沒有檢查，但我確信 gdb 的代碼行數(shù)至少有六位數(shù))，但它們的工作的原理卻是十分的簡單。調(diào)試器的基礎(chǔ)是操作系統(tǒng)與編譯器 / 鏈接器提供的一些基礎(chǔ)服務(wù)，其余的部分只是簡單的編程而已。

Linux 的調(diào)試 - ptrace

Linux 調(diào)試器中的瑞士軍刀便是 ptrace 系統(tǒng)調(diào)用(使用 man 2 ptrace 命令可以了解更多)。這是一種復(fù)雜卻強(qiáng)大的工具，可以允許一個(gè)進(jìn)程控制另外一個(gè)進(jìn)程并從內(nèi)部替換Peek and poke被控制進(jìn)程的內(nèi)核鏡像的值(Peek and poke 在系統(tǒng)編程中是很知名的叫法，指的是直接讀寫內(nèi)存內(nèi)容)。

接下來會深入分析。

執(zhí)行進(jìn)程的代碼

我將編寫一個(gè)示例，實(shí)現(xiàn)一個(gè)在“跟蹤”模式下運(yùn)行的進(jìn)程。在這個(gè)模式下，我們將單步執(zhí)行進(jìn)程的代碼，就像機(jī)器碼(匯編代碼)被 CPU 執(zhí)行時(shí)一樣。我將分段展示、講解示例代碼，在文章的末尾也有完整 c 文件的下載鏈接，你可以編譯、執(zhí)行或者隨心所欲的更改。

更進(jìn)一步的計(jì)劃是實(shí)現(xiàn)一段代碼，這段代碼可以創(chuàng)建可執(zhí)行用戶自定義命令的子進(jìn)程，同時(shí)父進(jìn)程可以跟蹤子進(jìn)程。首先是主函數(shù)：

int main(int argc, char** argv) 
{ 
    pid_t child_pid; 
    if (argc < 2) { 
        fprintf(stderr, "Expected a program name as argument\n"); 
        return -1; 
    } 
    child_pid = fork(); 
    if (child_pid == 0) 
        run_target(argv[1]); 
    else if (child_pid > 0) 
        run_debugger(child_pid); 
    else { 
        perror("fork"); 
        return -1; 
    } 
    return 0; 
} 

看起來相當(dāng)?shù)暮唵危何覀冇?fork 創(chuàng)建了一個(gè)新的子進(jìn)程(這篇文章假定讀者有一定的 Unix/Linux 編程經(jīng)驗(yàn)。我假定你知道或至少了解 fork、exec 族函數(shù)與 Unix 信號)。if 語句的分支執(zhí)行子進(jìn)程(這里稱之為 “target”)，else if 的分支執(zhí)行父進(jìn)程(這里稱之為 “debugger”)。

下面是 target 進(jìn)程的代碼：

void run_target(const char* programname) 
{ 
    procmsg("target started. will run '%s'\n", programname); 
    /* Allow tracing of this process */ 
    if (ptrace(PTRACE_TRACEME, 0, 0, 0) < 0) { 
        perror("ptrace"); 
        return; 
    } 
    /* Replace this process's image with the given program */ 
    execl(programname, programname, 0); 
} 

這段代碼中最值得注意的是 ptrace 調(diào)用。在 sys/ptrace.h 中，ptrace 是如下定義的：

long ptrace(enum __ptrace_request request, pid_t pid, 
                 void *addr, void *data); 

第一個(gè)參數(shù)是 _request_，這是許多預(yù)定義的 PTRACE_* 常量中的一個(gè)。第二個(gè)參數(shù)為請求分配進(jìn)程 ID。第三個(gè)與第四個(gè)參數(shù)是地址與數(shù)據(jù)指針，用于操作內(nèi)存。上面代碼段中的 ptrace 調(diào)用發(fā)起了 PTRACE_TRACEME 請求，這意味著該子進(jìn)程請求系統(tǒng)內(nèi)核讓其父進(jìn)程跟蹤自己。幫助頁面上對于 request 的描述很清楚：

意味著該進(jìn)程被其父進(jìn)程跟蹤。任何傳遞給該進(jìn)程的信號(除了 SIGKILL)都將通過 wait() 方法阻塞該進(jìn)程并通知其父進(jìn)程。此外，該進(jìn)程的之后所有調(diào)用 exec() 動作都將導(dǎo)致 SIGTRAP 信號發(fā)送到此進(jìn)程上，使得父進(jìn)程在新的程序執(zhí)行前得到取得控制權(quán)的機(jī)會。如果一個(gè)進(jìn)程并不需要它的的父進(jìn)程跟蹤它，那么這個(gè)進(jìn)程不應(yīng)該發(fā)送這個(gè)請求。(pid、addr 與 data 暫且不提)

我高亮了這個(gè)例子中我們需要注意的部分。在 ptrace 調(diào)用后，run_target 接下來要做的就是通過 execl 傳參并調(diào)用。如同高亮部分所說明，這將導(dǎo)致系統(tǒng)內(nèi)核在 execl 創(chuàng)建進(jìn)程前暫時(shí)停止，并向父進(jìn)程發(fā)送信號。

是時(shí)候看看父進(jìn)程做什么了。

void run_debugger(pid_t child_pid) 
{ 
    int wait_status; 
    unsigned icounter = 0; 
    procmsg("debugger started\n"); 
    /* Wait for child to stop on its first instruction */ 
    wait(&wait_status); 
    while (WIFSTOPPED(wait_status)) { 
        icounter++; 
        /* Make the child execute another instruction */ 
        if (ptrace(PTRACE_SINGLESTEP, child_pid, 0, 0) < 0) { 
            perror("ptrace"); 
            return; 
        } 
        /* Wait for child to stop on its next instruction */ 
        wait(&wait_status); 
    } 
    procmsg("the child executed %u instructions\n", icounter); 
} 

如前文所述，一旦子進(jìn)程調(diào)用了 exec，子進(jìn)程會停止并被發(fā)送 SIGTRAP 信號。父進(jìn)程會等待該過程的發(fā)生并在第一個(gè) wait() 處等待。一旦上述事件發(fā)生了，wait() 便會返回，由于子進(jìn)程停止了父進(jìn)程便會收到信號(如果子進(jìn)程由于信號的發(fā)送停止了，WIFSTOPPED 就會返回 true)。

父進(jìn)程接下來的動作就是整篇文章最需要關(guān)注的部分了。父進(jìn)程會將 PTRACE_SINGLESTEP 與子進(jìn)程 ID 作為參數(shù)調(diào)用 ptrace 方法。這就會告訴操作系統(tǒng)，“請恢復(fù)子進(jìn)程，但在它執(zhí)行下一條指令前阻塞”。周而復(fù)始地，父進(jìn)程等待子進(jìn)程阻塞，循環(huán)繼續(xù)。當(dāng) wait() 中傳出的信號不再是子進(jìn)程的停止信號時(shí)，循環(huán)終止。在跟蹤器(父進(jìn)程)運(yùn)行期間，這將會是被跟蹤進(jìn)程(子進(jìn)程)傳遞給跟蹤器的終止信號(如果子進(jìn)程終止 WIFEXITED 將返回 true)。

icounter 存儲了子進(jìn)程執(zhí)行指令的次數(shù)。這么看來我們小小的例子也完成了些有用的事情 - 在命令行中指定程序，它將執(zhí)行該程序并記錄它從開始到結(jié)束所需要的 cpu 指令數(shù)量。接下來就讓我們這么做吧。

測試

我編譯了下面這個(gè)簡單的程序并利用跟蹤器運(yùn)行它：

#include <stdio.h> 
int main() 
{ 
    printf("Hello, world!\n"); 
    return 0; 
} 

令我驚訝的是，跟蹤器花了相當(dāng)長的時(shí)間，并報(bào)告整個(gè)執(zhí)行過程共有超過 100,000 條指令執(zhí)行。僅僅是一條輸出語句?什么造成了這種情況?答案很有趣(至少你同我一樣癡迷與機(jī)器/匯編語言)。Linux 的 gcc 默認(rèn)會動態(tài)的將程序與 c 的運(yùn)行時(shí)庫動態(tài)地鏈接。這就意味著任何程序運(yùn)行前的第一件事是需要動態(tài)庫加載器去查找程序運(yùn)行所需要的共享庫。這些代碼的數(shù)量很大 - 別忘了我們的跟蹤器要跟蹤每一條指令，不僅僅是主函數(shù)的，而是“整個(gè)進(jìn)程中的指令”。

所以當(dāng)我將測試程序使用靜態(tài)編譯時(shí)(通過比較，可執(zhí)行文件會多出 500 KB 左右的大小，這部分是 C 運(yùn)行時(shí)庫的靜態(tài)鏈接)，跟蹤器提示只有大概 7000 條指令被執(zhí)行。這個(gè)數(shù)目仍然不小，但是考慮到在主函數(shù)執(zhí)行前 libc 的初始化以及主函數(shù)執(zhí)行后的清除代碼，這個(gè)數(shù)目已經(jīng)是相當(dāng)不錯(cuò)了。此外，printf 也是一個(gè)復(fù)雜的函數(shù)。

仍然不滿意的話，我需要的是“可以測試”的東西 - 例如可以完整記錄每一個(gè)指令運(yùn)行的程序執(zhí)行過程。這當(dāng)然可以通過匯編代碼完成。所以我找到了這個(gè)版本的 “Hello, world!” 并編譯了它。

section    .text 
    ; The _start symbol must be declared for the linker (ld) 
    global _start 
_start: 
    ; Prepare arguments for the sys_write system call: 
    ;   - eax: system call number (sys_write) 
    ;   - ebx: file descriptor (stdout) 
    ;   - ecx: pointer to string 
    ;   - edx: string length 
    mov    edx, len 
    mov    ecx, msg 
    mov    ebx, 1 
    mov    eax, 4 
    ; Execute the sys_write system call 
    int    0x80 
    ; Execute sys_exit 
    mov    eax, 1 
    int    0x80 
section   .data 
msg db    'Hello, world!', 0xa 
len equ    $ - msg 

當(dāng)然，現(xiàn)在跟蹤器提示 7 條指令被執(zhí)行了，這樣一來很容易區(qū)分它們。

深入指令流

上面那個(gè)匯編語言編寫的程序使得我可以向你介紹 ptrace 的另外一個(gè)強(qiáng)大的用途 - 詳細(xì)顯示被跟蹤進(jìn)程的狀態(tài)。下面是 run_debugger 函數(shù)的另一個(gè)版本：

void run_debugger(pid_t child_pid) 
{ 
    int wait_status; 
    unsigned icounter = 0; 
    procmsg("debugger started\n"); 
    /* Wait for child to stop on its first instruction */ 
    wait(&wait_status); 
    while (WIFSTOPPED(wait_status)) { 
        icounter++; 
        struct user_regs_struct regs; 
        ptrace(PTRACE_GETREGS, child_pid, 0, &regs); 
        unsigned instr = ptrace(PTRACE_PEEKTEXT, child_pid, regs.eip, 0); 
        procmsg("icounter = %u.  EIP = 0x%08x.  instr = 0x%08x\n", 
                    icounter, regs.eip, instr); 
        /* Make the child execute another instruction */ 
        if (ptrace(PTRACE_SINGLESTEP, child_pid, 0, 0) < 0) { 
            perror("ptrace"); 
            return; 
        } 
        /* Wait for child to stop on its next instruction */ 
        wait(&wait_status); 
    } 
    procmsg("the child executed %u instructions\n", icounter); 
} 

不同僅僅存在于 while 循環(huán)的開始幾行。這個(gè)版本里增加了兩個(gè)新的 ptrace 調(diào)用。第一條將進(jìn)程的寄存器值讀取進(jìn)了一個(gè)結(jié)構(gòu)體中。 sys/user.h 定義有 user_regs_struct。如果你查看頭文件，頭部的注釋這么寫到：

/* 這個(gè)文件只為了 GDB 而創(chuàng)建 
   不用詳細(xì)的閱讀.如果你不知道你在干嘛， 
   不要在除了 GDB 以外的任何地方使用此文件  */ 

不知道你做何感想，但這讓我覺得我們找對地方了。回到例子中，一旦我們在 regs 變量中取得了寄存器的值，我們就可以通過將 PTRACE_PEEKTEXT 作為參數(shù)、 regs.eip(x86 上的擴(kuò)展指令指針)作為地址，調(diào)用 ptrace ，讀取當(dāng)前進(jìn)程的當(dāng)前指令(警告：如同我上面所說，文章很大程度上是平臺相關(guān)的。我簡化了一些設(shè)定 - 例如，x86 指令集不需要調(diào)整到 4 字節(jié)，我的32位 Ubuntu unsigned int 是 4 字節(jié)。事實(shí)上，許多平臺都不需要。從內(nèi)存中讀取指令需要預(yù)先安裝完整的反匯編器。我們這里沒有，但實(shí)際的調(diào)試器是有的)。下面是新跟蹤器所展示出的調(diào)試效果：

$ simple_tracer traced_helloworld 
[5700] debugger started 
[5701] target started. will run 'traced_helloworld' 
[5700] icounter = 1\.  EIP = 0x08048080\.  instr = 0x00000eba 
[5700] icounter = 2\.  EIP = 0x08048085\.  instr = 0x0490a0b9 
[5700] icounter = 3\.  EIP = 0x0804808a.  instr = 0x000001bb 
[5700] icounter = 4\.  EIP = 0x0804808f.  instr = 0x000004b8 
[5700] icounter = 5\.  EIP = 0x08048094\.  instr = 0x01b880cd 
Hello, world! 
[5700] icounter = 6\.  EIP = 0x08048096\.  instr = 0x000001b8 
[5700] icounter = 7\.  EIP = 0x0804809b.  instr = 0x000080cd 
[5700] the child executed 7 instructions 

現(xiàn)在，除了 icounter，我們也可以觀察到指令指針與它每一步所指向的指令。怎么來判斷這個(gè)結(jié)果對不對呢?使用 objdump -d 處理可執(zhí)行文件：

$ objdump -d traced_helloworld 
traced_helloworld:     file format elf32-i386 
Disassembly of section .text: 
08048080 <.text>: 
 8048080:     ba 0e 00 00 00          mov    $0xe,%edx 
 8048085:     b9 a0 90 04 08          mov    $0x80490a0,%ecx 
 804808a:     bb 01 00 00 00          mov    $0x1,%ebx 
 804808f:     b8 04 00 00 00          mov    $0x4,%eax 
 8048094:     cd 80                   int    $0x80 
 8048096:     b8 01 00 00 00          mov    $0x1,%eax 
 804809b:     cd 80                   int    $0x80 

這個(gè)結(jié)果和我們跟蹤器的結(jié)果就很容易比較了。

將跟蹤器關(guān)聯(lián)到正在運(yùn)行的進(jìn)程

如你所知，調(diào)試器也能關(guān)聯(lián)到已經(jīng)運(yùn)行的進(jìn)程?，F(xiàn)在你應(yīng)該不會驚訝，ptrace 通過以 PTRACE_ATTACH 為參數(shù)調(diào)用也可以完成這個(gè)過程。這里我不會展示示例代碼，通過上文的示例代碼應(yīng)該很容易實(shí)現(xiàn)這個(gè)過程。出于學(xué)習(xí)目的，這里使用的方法更簡便(因?yàn)槲覀冊谧舆M(jìn)程剛開始就可以讓它停止)。

代碼

上文中的簡單的跟蹤器(更高級的，可以打印指令的版本)的完整c源代碼可以在這里找到。它是通過 4.4 版本的 gcc 以 -Wall -pedantic --std=c99 編譯的。

結(jié)論與計(jì)劃

誠然，這篇文章并沒有涉及很多內(nèi)容 - 我們距離親手完成一個(gè)實(shí)際的調(diào)試器還有很長的路要走。但我希望這篇文章至少可以使得調(diào)試這件事少一些神秘感。ptrace 是功能多樣的系統(tǒng)調(diào)用，我們目前只展示了其中的一小部分。

單步調(diào)試代碼很有用，但也只是在一定程度上有用。上面我通過 C 的 “Hello World!” 做了示例。為了執(zhí)行主函數(shù)，可能需要上萬行代碼來初始化 C 的運(yùn)行環(huán)境。這并不是很方便。最理想的是在 main 函數(shù)入口處放置斷點(diǎn)并從斷點(diǎn)處開始分步執(zhí)行。為此，在這個(gè)系列的下一篇，我打算展示怎么實(shí)現(xiàn)斷點(diǎn)。

參考

撰寫此文時(shí)參考了如下文章：

• Playing with ptrace, Part I
• How debugger works