dwarf 栈解析格式小结

最新推荐文章于 2025-09-26 18:08:02 发布
原创 最新推荐文章于 2025-09-26 18:08:02 发布 · 4.1k 阅读 · 11
本文深入解析了EH_FRAME节中的CIE和FDE结构,详细阐述了DWARF格式下CFA(Common Frame Address)的计算方法,以及如何通过CFA恢复函数调用前的寄存器状态,对于理解程序栈帧和异常处理机制有重要价值。

eh_frame

所有的dwarf都在eh_frame的节当中,具体格式如下:
在这里插入图片描述
一般一个cie对应多个fde,一个fde对应相应函数的寄存器恢复信息,不仅仅是栈信息。
当我们拿到eh_frame后,就需要解析cie和fde.
(http://dwarfstd.org/doc/DWARF4.pdf) 官方文档有很详细的东西,不适合入门感觉。根据结尾的例子来分别讲解cie和fde.

common information entry encoding

R0 =0;
R1 保存返回地址
R2-R3  临时寄存器
R4-R6 保存在栈上
R7  栈顶指针  (rsp)


table D.41.R8 是返回地址
2.s 表示一样的值
3.u标识undefined rule
4.rN  寄存器规则
5.cN  偏移规则
6 a 架构规则

cie : common information entry encoding

在这里插入图片描述
cie length 如果是0xffffffff,则会有extend length 字段,标识为64位dwarf,但我看到的一般是32位dwarf,这里的位数和可执行文件的位数不对应。长度后面是结束cie的全部36长度的内容。
augmentation 用来表示cie
这里有详细解释。
https://refspecs.linuxfoundation.org/LSB_3.0.0/LSB-Core-generic/LSB-Core-generic/ehframechpt.html
readelf -wF

Contents of the .eh_frame section:

00000000 00000014 00000000 CIE "zR" cf=1 df=-8 ra=16
   LOC           CFA      ra      
0000000000000000 rsp+8    c-8   

00000018 0000001c 0000001c FDE cie=00000000 pc=35fb01ea60..35fb01ea88
   LOC           CFA      rbx   ra      
00000035fb01ea60 rsp+8    u     c-8   
00000035fb01ea68 rsp+16   c-16  c-8   
00000035fb01ea87 rsp+8    c-16  c-8

readelf -wf

Contents of the .eh_frame section:

00000000 00000014 00000000 CIE
  Version:               1
  Augmentation:          "zR"
  Code alignment factor: 1
  Data alignment factor: -8
  Return address column: 16
  Augmentation data:     1b

  DW_CFA_def_cfa: r7 (rsp) ofs 8
  DW_CFA_offset: r16 (rip) at cfa-8
  DW_CFA_nop
  DW_CFA_nop

00000018 0000001c 0000001c FDE cie=00000000 pc=35fb01ea60..35fb01ea88
  DW_CFA_advance_loc: 8 to 35fb01ea68
  DW_CFA_def_cfa_offset: 16
  DW_CFA_offset: r3 (rbx) at cfa-16
  DW_CFA_advance_loc: 31 to 35fb01ea87
  DW_CFA_def_cfa_offset: 8
  DW_CFA_nop
  DW_CFA_nop
  DW_CFA_nop
  DW_CFA_nop
  DW_CFA_nop
  DW_CFA_nop
  DW_CFA_nop

通过对比得知, cfa = rsp + DW_CFA_def_cfa_offset; rbx = cfa - DW_CFA_offset;

frame description entry encoding

在这里插入图片描述

argument_data_length     该字段仅在CIE扩展字符串以“ z”开头的情况下出现。对应一个无符号LEB128,这是FDE扩展数据的总大小。这可用于跳过与无法识别的扩展字符关联的数据。
argumnet_data     如果CIE未将LSDA编码设置为DW_EH_PE_omit,则Augmentation Data中包含指向LSDA的指针,该指针由CIE指定编码(LSDA encoding)

这里显示的没有扩展字符z的fde。

在这里插入图片描述
在这里插入图片描述
之后就是对instruction进行解码,然后状态恢复。

instruction Description
DW_CFA_advance_loc Location += (delta * code_alignment_factor)
DW_CFA_advance_loc1 Location += (delta * code_alignment_factor) DW_CFA_advance_loc1指令采用一个表示常量增量的单个ubyte操作数。除了增量操作数的编码和大小外,该指令与DW_CFA_advance_loc相同。
DW_CFA_def_cfa register = new register num; offset = new offset; CFA = register + offset
DW_CFA_def_cfa_offset offset = new offset ; CFA = old register + offset ;DW_CFA_def_cfa_offset指令采用单个无符号LEB128操作数表示一个(未分解的)偏移量。 所需的操作是定义当前的CFA规则以使用提供的偏移量(但保留旧寄存器)。仅当当前CFA规则定义为使用寄存器和偏移量时,此操作才有效。
DW_CFA_offset offset(N) offset = (factored offset * data_alignment_factor); reg num = *(CFA + offset) ;DW_CFA_offset指令采用两个操作数:一个寄存器号(用操作码编码)和一个无符号的LEB128常量,表示因数偏移量。 所需的操作是将由寄存器编号指示的寄存器的规则更改为offset(N)规则,其中N的值是fac→redoffset⋅dataalignmentfac→r 
00000000 00000014 00000000 CIE "zR" cf=1 df=-8 ra=16
   LOC           CFA      ra      
0000000000000000 rsp+8    c-8   

   LOC           CFA      rbx   ra      
00000035fb01ea60 rsp+8    u     c-8   
00000035fb01ea68 rsp+16   c-16  c-8   
00000035fb01ea87 rsp+8    c-16  c-8   

  DW_CFA_def_cfa: r7 (rsp) ofs 8
  DW_CFA_offset: r16 (rip) at cfa-8


  DW_CFA_advance_loc: 8 to 35fb01ea68
  DW_CFA_def_cfa_offset: 16
  DW_CFA_offset: r3 (rbx) at cfa-16
  DW_CFA_advance_loc: 31 to 35fb01ea87
  DW_CFA_def_cfa_offset: 8

R8 是返回地址
R7 栈顶指针 (rsp)

代码实现

对比了gcc gdb 和readelf,其中gcc的代码较友好。
gcc 4.8.5


static _Unwind_Reason_Code
uw_frame_state_for (struct _Unwind_Context *context, _Unwind_FrameState *fs)
{
   
   
  const struct dwarf_fde *fde;
  const struct dwarf_cie *cie;
  const unsigned char *aug, *insn, *end;

  memset (fs, 0, sizeof (*fs));
  context->args_size = 0;
  context->lsda = 0;

  if (context->ra == 0)
    return _URC_END_OF_STACK;

  fde = _Unwind_Find_FDE (context->ra + _Unwind_IsSignalFrame (context) - 1,
			  &context->bases);
  if (fde == NULL)
    {
   
   
#ifdef MD_FALLBACK_FRAME_STATE_FOR
      /* Couldn't find frame unwind info for this function.  Try a
	 target-specific fallback mechanism.  This will necessarily
	 not provide a personality routine or LSDA.  */
      return MD_FALLBACK_FRAME_STATE_FOR (context, fs);
#else
      return _URC_END_OF_STACK;
#endif
    }

  fs->pc = context->bases.func;

  cie = get_cie (fde);
  insn = extract_cie_info (cie, context, fs);
  if (insn == NULL)
    /* CIE contained unknown augmentation.  */
    return _URC_FATAL_PHASE1_ERROR;

  /* First decode all the insns in the CIE.  */
  end = (const unsigned char *) next_fde ((const struct dwarf_fde *) cie)
最低0.47元/天 解锁文章
DWARF格式资料(超详细)
10-12
超级详细的DWARF格式资料,不但包含了DWARF2.0/3.0的文档还有两篇中文文档,另外还有libdwarf的从04-10的源码,绝对物超所值!
调试信息(debugging information)——解析DWARF文件
热门推荐
Dong_HFUT的博客
01-21 1万+
gdb调试信息和dwarf文件简单解析
DWARF调试格式
qq_42001367的博客
08-12 2337
文章目录DWARF调试格式调试信息节点.debug_info和.debug_abbrev节区Compile Unit的划分 前一段时间了解了一下ELF文件和DWARF格式,用到了ELF文件中以DWARF格式存储的信息,在此总结记录一下。 DWARF调试格式 ELF全称Excutable Linkable Format,即可执行和可链接格式DWARF全称Debugging With Attributed Record Formats,即带格式的调试信息属性。 我理解的DWARF调试格式和ELF格式的关系是
gdb对dwarf调试信息的解析和使用
JS072110的专栏
03-09 9501
gdb的对dwarf的调试信息的解析到使用的过程分析
探秘DWARF文件
SOHU_TECH的博客
02-22 1606
本文字数:1865字预计阅读时间:10分钟01简介DWARF全名是Debugging With Attribute Record Formats,是一种调试信息的存放格式DWARF是一种通用的标准格式,很多编译器对其都有支持,并且DWARF支持C、OC、go等多种语言。DWARF的作用是对机器码和代码之间进行一个映射关系,用来为调试器DEBUG提供调试信息,告诉调试器代码和二进制如何关联,在代码...
Linux- DWARF调试文件格式
青衫客36的博客
10-12 2724
DWARF是一个用于在可执行程序和其源代码之间进行关联的调试文件格式。当开发者使用调试编译选项(例如,使用gcc时的-g标志)编译程序时,编译器会生成这种格式的调试信息。这些信息在后续的调试过程中非常有用,例如,使用gdb(GNU调试器)。以下是DWARFDWARF起初是为了满足UNIX系统上的高效、紧凑和跨平台的调试需求而设计的。自那时起,它已经经历了多个版本,每个版本都增加了新的特性。:从DWARF 1到DWARF 5,每个版本都引入了新的特性和改进,以支持新的编程语言特性、编译器优化等。DWARF
深入解析ELF的.debug_info调试节
最新发布
本博客聚焦游戏开发技巧、创业实战心得及大学热门课程干货。这里既有技术深度,也有思维广度,无论你是开发者、创业者还是高校学子,都能在这里找到适合自己的成长之路!
09-26 1247
摘要:本文深入解析ELF文件中的.debug_info调试信息节,通过生动比喻和详尽技术剖析揭示其结构与作用。.debug_info作为DWARF格式的核心组件,存储了函数、变量、作用域等关键调试数据,以树形DIE条目组织。文章详细讲解其生成过程、编码机制及调试器如何利用这些信息实现源码级调试,并提供了实用工具技巧和优化建议。从编译单元头到属性编码,帮助开发者全面掌握调试信息的底层原理,提升调试效率。
结构体变量在elf文件中找不到,没法更新a2l中相应变量的地址,如何解决?
**My Coding Family**
06-09 953
🏆 本文收录于《全Bug调优(实战版)》专栏,致力于分享我在项目实战过程中遇到的各类Bug及其原因,并提供切实有效的解决方案。无论你是初学者还是经验丰富的开发者,本文将为你指引出一条更高效的Bug修复之路,助你早日登顶,迈向财富自由的梦想🚀!同时,欢迎大家关注、收藏、订阅本专栏,更多精彩内容正在持续更新中。让我们一起进步,Up!Up!Up!    备注: 部分问题/难题源自互联网,经过精心筛选和整理,结合数位十多年大厂实战经验资深大佬经验总结所得,数条可行方案供所需之人参考。
strip(1) command
Doublelv 的博客专栏。
03-06 2516
strip 是中的一员,用于剥掉目标文件中一些符号信息和调试信息,使文件变小。
DWARF简析
vertor11的博客
04-04 2720
怎样通过elf文件获取c语言的structure的布局等。
DWARF
11-13 578
‌‌是一种用于在可执行程序和其源代码之间进行关联的调试信息存放格式DWARF全名是Debugging With Attribute Record Formats,它支持多种编程语言,如C、OC、Go等‌12。
(二)链接、装载与库 | 静态链接:目标文件
Skies_的博客
05-06 1697
链接、装载与库 | 静态链接:目标文件
Linux .eh_frame section以及libunwind
小立仔
05-17 4370
Linux .eh_frame section的描述以及libunwind库的使用。
C++异常处理源码与安全性分析
ashimida
12-10 5978
C++异常处理需要DWARF的支持,其业界实际标准是 IA-64 C++ABI[1],本文主要描述整个异常处理的流程以及在libgcc中的实现.关于基于DWARF回溯可参考 [2], 关于C++异常处理其他分析可参考[3-8]。 一、异常处理代码举例 先以一个简单的C++程序为例: 1 #include <stdio.h> 2 #include <stdlib.h> 3 4 class x { 5 public: 6 x(voi...
DWARF, 说不定你也需要它哦
chenyijun的专栏
12-27 8780
https://www.jianshu.com/p/20dfe4fe1b3f DWARF 是一种调试信息格式,通常用于源码级别调试 相关资料比较琐碎, 整理给大家, 希望大家可以用得上 如没有特殊说明, 命令执行环境为 OS X 什么是 DWARF ? DWARF 第一版发布于 1992 年, 主要是为UNIX下的调试器提供必要的调试信息,例如PC地址对应的文件名及行号等信息,以方...
debugger(三):dwarf 文件
luyoung0001@gmail.com的博客
06-10 1935
在讨论 DWARF 格式的调试信息时,编译单元(Compilation Unit, CU)和行表(Line Table)是两个核心概念。这些信息极大地促进了源码级调试,使调试器能够有效地将执行的机器代码映射回源代码。
ELF文件——DWARF源码解析
qq_35018427的博客
12-21 4494
前言 此前LEF文件——回溯中只描述了通过exidx进行回溯的过程,本文将描述根据eh_frame进行回溯的原理及过程。 原理说明 dwarf的核心是一张表格,该表格根据函数的压过程获取,以一个函数的汇编代码为例: 0000000000023c80 <_dl_start>: _dl_start(): /usr/src/debug/glibc/2.31+gitAUTOINC+f84949f1c4-r0/git/csu/init-first.c:96 23c80: a9bf7bfd
GDB 与调试信息格式DWARF)的深度解析
底层软件设计内幕
11-24 2986
DWARF 是现代调试工具的基础,它通过精确描述源代码与机器代码的映射,为调试工具提供了分析和操作的可能。DWARF 是调试工具的基石,它提供了从源代码到机器代码的映射,使调试变得高效而精准。通过理解 DWARF 的结构和信息,我们可以更深刻地掌握调试工具的工作原理,从而更好地解决复杂程序中的问题。DWARF 的信息通常嵌入在程序的可执行文件或符号文件(如 ELF 格式)中,供调试器(如 GDB)使用。了解 DWARF,如同掌握了一本程序调试的“词典”,让你能更深入理解调试工具的工作原理。
DWARF调试格式的简介(续完)
wuhui_gdnt的专栏
02-22 1万+
数组 数组类型由一个DIE描述,它定义了该数据是以列为主序(就像在Fortan里),还是以行为主序(就像在C或C++里)。该数组的索引由一个subrange类型表示,这个类型给出了每个维度的上下限。这允许DWARF描述C形式的、总是以0作为最小索引的数组;以及在Pascal或Ada中,可以任意值作为上下限的数组。 结构体,类,联合,及接口 大多数语言允许程序员把数据集中到结构体(在C及C++
dwarf简介
helloworlddm的博客
08-06 7883
原文链接:http://blog.csdn.net/wuhui_gdnt/article/details/7283483/ 如果我们可以编写确保能正确工作且永远不需要调试的程序,这将非常美妙。在梦想成真之前,通常的编程周期还将是包括:编写一个程序,编译它,执行它,然后可怕的、灾难般的调试。然后重复以上步骤,直到程序如期工作。 通过插入打印各种感兴趣变量的值的代码来调试程序是可能的。事
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值