objdump
ELF
フォーマット ファイル ( など) を認識します/proc/kcore
。実行可能でないコンテンツ (セクションなど) を無視して、ファイルの実行可能セクションを抽出できます.note
。
次の例のように、フラグELF
を使用して実行可能ファイルの構造を確認できます。-h
# objdump -h /proc/kcore
/proc/kcore: file format elf64-x86-64
Sections:
Idx Name Size VMA LMA File off Algn
0 note0 00001944 0000000000000000 0000000000000000 000002a8 2**0
CONTENTS, READONLY
1 .reg/0 000000d8 0000000000000000 0000000000000000 0000032c 2**2
CONTENTS
2 .reg 000000d8 0000000000000000 0000000000000000 0000032c 2**2
CONTENTS
3 load1 00800000 ffffffffff600000 0000000000000000 7fffff602000 2**12
CONTENTS, ALLOC, LOAD, CODE
(...)
udcli
のツールはおそらくファイルの先頭から逆アセンブルを開始するように見えudis86
ます。これは、出力がおそらく無関係な出力の束で始まることを示唆しており、実行の開始場所を把握するのはあなた次第です。
アップデート
では検証です。この回答を使用して、次load
のように /proc/kcore から最初のセクションを抽出します。
# dd if=/proc/kcore of=mysection bs=1 skip=$[0x7fffff602000] count=$[0x00800000]
そして今、それを次のように表示するとudcli
:
# udcli mysection
0000000000000000 48 dec eax
0000000000000001 c7c060000000 mov eax, 0x60
0000000000000007 0f05 syscall
0000000000000009 c3 ret
000000000000000a cc int3
000000000000000b cc int3
の出力とほぼ同じに見えることがわかりますobjdump -d /proc/kcore
。
# objdump -d /proc/kcore
/proc/kcore: file format elf64-x86-64
Disassembly of section load1:
ffffffffff600000 <load1>:
ffffffffff600000: 48 c7 c0 60 00 00 00 mov $0x60,%rax
ffffffffff600007: 0f 05 syscall
ffffffffff600009: c3 retq
ffffffffff60000a: cc int3
ffffffffff60000b: cc int3