C、学習アセンブラーが理解できます

デビッドアルバート- アセンブリを学習することでCを理解します。



前回、Allan O'DonnellがGDBを使用してCを学習する方法について話しました。 今日は、GDBの使用がアセンブラーの理解にどのように役立つかを示したいと思います。



抽象レベルは、物を作成するための優れたツールですが、学習の障壁になる場合があります。 この投稿の目的は、Cをしっかり理解するには、コンパイラが生成するアセンブラコードも理解する必要があることを納得させることです。 GDBを使用して単純なCプログラムを逆アセンブルおよび解析する例を使用してこれを行います。その後、GDBと取得したアセンブラーの知識を使用して、Cでの静的ローカル変数の構造を調べます。



著者注：この記事のコードはすべて、最適化を無効にしたClang 4.0（ -O0 ）を使用して、Mac OS X 10.8.1のx86_64プロセッサーでコンパイルされました。

GDBを使用した学習アセンブラー

GDBを使用してプログラムを逆アセンブルすることから始めて、出力の読み方を学びましょう。 次のプログラムテキストを入力し、 simple.cファイルに保存します。

int main(void) { int a = 5; int b = a + 6; return 0; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

デバッグモードで最適化を無効にしてコンパイルし、GDBを実行します。

 $ CFLAGS="-g -O0" make simple cc -g -O0 simple.c -o simple $ gdb simple
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

main関数にブレークポイントを設定し、 returnステートメントに到達するまで実行を続けます。 次のステートメントの後に2を入力して、2回実行することを示します。

 (gdb) break main (gdb) run (gdb) next 2
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次に、 逆アセンブルコマンドを使用して、現在の関数のアセンブラー命令を出力します。 関数名を逆アセンブルコマンドに渡して、調べる別の関数を示すこともできます。

 (gdb) disassemble Dump of assembler code for function main: 0x0000000100000f50 <main+0>: push %rbp 0x0000000100000f51 <main+1>: mov %rsp,%rbp 0x0000000100000f54 <main+4>: mov $0x0,%eax 0x0000000100000f59 <main+9>: movl $0x0,-0x4(%rbp) 0x0000000100000f60 <main+16>: movl $0x5,-0x8(%rbp) 0x0000000100000f67 <main+23>: mov -0x8(%rbp),%ecx 0x0000000100000f6a <main+26>: add $0x6,%ecx 0x0000000100000f70 <main+32>: mov %ecx,-0xc(%rbp) 0x0000000100000f73 <main+35>: pop %rbp 0x0000000100000f74 <main+36>: retq End of assembler dump.
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

デフォルトでは、 逆アセンブルコマンドは、GNUアセンブラーで使用される構文と一致するAT＆T構文で命令を出力します。 構文AT＆Tの形式は、 ニーモニック source 、 destinationです。 ニーモニックは人間が読める命令名です。 また、 ソースとデスティネーションはオペランドであり、直接値、レジスタ、メモリアドレス、またはラベルにすることができます。 同様に、即値は定数であり、接頭辞$が付いています。 たとえば、 $ 0x5は16進数表現の5に対応します。 レジスタ名の先頭には％が付きます。

登録

レジスタを調べるのに時間を費やす価値があります。 レジスタは、中央処理装置に直接配置されるデータストレージの場所です。 いくつかの例外を除き、プロセッサレジスタのサイズまたは幅によってアーキテクチャが決まります。 したがって、64ビットCPUを使用している場合、そのレジスタの幅は64ビットになります。 同じことが32ビットおよび16ビットプロセッサなどにも当てはまります。レジスタへのアクセス速度は非常に高速であり、そのため、算術演算および論理演算のオペランドがレジスタに格納されることがよくあります。



x86ファミリのプロセッサには、多数の特殊レジスタと汎用レジスタがあります。 汎用レジスタはあらゆる操作に使用でき、そこに保存されたデータはプロセッサにとって特別な意味を持ちません。 一方、プロセッサは作業中に特殊レジスタに依存しており、プロセッサに格納されているデータは特定のレジスタに応じて特定の値を持ちます。 この例では、 ％eaxと％ecxは汎用レジスターであり、 ％rbpと％rspは特殊レジスターです。 ％rbpレジスタは、現在のスタックフレームのベースを指すベースポインターです。 ％rspは、現在のスタックフレームの最上部を指すスタックポインターです。 スタックは常により高いメモリアドレスから開始し、より低いアドレスに向かって成長するため、 ％rbpレジスタは％rspよりも常に重要です。 「コールスタック」の概念に慣れていない場合は、Wikipediaで適切な説明を見つけることができます。



x86ファミリプロセッサの特徴は、8086 16ビットプロセッサとの完全な互換性を維持していることです。x86アーキテクチャの16ビットから32ビットへの移行中、最終的に64ビットへの移行中、レジスタは拡張され、以前のプロセッサ用に作成されたコードとの互換性を維持するため。



16ビット幅の汎用レジスターAXを使用します。 上位バイトへのアクセスはAHという名前で、下位バイトへのアクセスはALという名前で実行されます。 32ビット80386が登場すると、拡張（拡張）AXまたはEAXは32ビットレジスターになり、AXは16ビットのままで、EAXレジスターの最も若い半分になりました。 同様に、x86_64が登場したとき、「R」プレフィックスが使用され、EAXは64ビットRAXレジスタの最年少の半分になりました。 以下は、上記の関係を説明するためのウィキペディアの記事に基づく図です。

 |__64__|__56__|__48__|__40__|__32__|__24__|__16__|__8___| |__________________________RAX__________________________| |xxxxxxxxxxxxxxxxxxxxxxxxxxx|____________EAX____________| |xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx|_____AX______| |xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx|__AH__|__AL__|
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

コードに戻る

逆アセンブルされたプログラムの解析に進むには、これで十分です。

 0x0000000100000f50 <main+0>: push %rbp 0x0000000100000f51 <main+1>: mov %rsp,%rbp
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

最初の2つの命令は、関数プロローグまたはプリアンブルと呼ばれます。 まず、古いベースポインターをスタックに書き込んで、将来のために保存します。 次に、スタックポインターの値をベースポインターにコピーします。 その後、 ％rbpは、 メイン関数のスタックフレームのベースセグメントを指します。

 0x0000000100000f54 <main+4>: mov $0x0,%eax
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

この命令は、0を％eaxにコピーします。 x86アーキテクチャの呼び出し規約では、関数によって返される値は％eaxレジスタに保存されるため、上記のステートメントは関数の最後に0を返すように指示しています。

 0x0000000100000f59 <main+9>: movl $0x0,-0x4(%rbp)
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ここでは、以前に会ったことのないものがあります： -0x4（％rbp） 。 括弧は、これがメモリアドレスであることを示しています。 このフラグメントでは、 ％rbp 、いわゆるベースレジスタ、および-0x4 、これはオフセットです。 これは、 ％rbp + -0x4を記述するのと同じです。 スタックが大きくなると、ベーススタックフレームから4を引くと、ローカル変数が格納されている現在のフレーム自体に移動します。 これは、この命令がアドレス％rbp-4に 0を格納することを意味します。 この行の目的を理解するのにしばらく時間がかかり、Clangがメイン関数から暗黙的に返される値に隠しローカル変数を割り当てるように思えます。



また、 ニーモニックの接尾辞はlであることに気付くかもしれません。 これは、オペランドのタイプがl ong （整数の場合は32ビット）であることを意味します。 その他の可能な接尾辞は、 b yte 、 s hort 、 w ord 、 q uad 、およびt enです。 接尾辞のない命令に出くわした場合、そのような命令のサイズはソースレジスタまたはデスティネーションレジスタのサイズから暗示されます。 たとえば、前の行では、 ％eaxは32ビット幅であるため、 mov命令は実際にはmovlです。

 0x0000000100000f60 <main+16>: movl $0x5,-0x8(%rbp)
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

今、私たちはテストプログラムの中核に移行しています。 アセンブラー行はメイン関数の最初のC行であり、数値5を次に使用可能なローカル変数スロット（ ％rbp-0x8 ）、以前のローカル変数の4バイト下に置きます。 これは変数aの場所です。 GDBを使用してこれを確認できます。

 (gdb) x &a 0x7fff5fbff768: 0x00000005 (gdb) x $rbp - 8 0x7fff5fbff768: 0x00000005
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

メモリアドレスは同じであることに注意してください。 また、GDBはレジスタに変数を設定します。したがって、GDBのすべての変数と同様に、その名前には接頭辞$が付けられ、 ％接頭辞はAT＆Tのアセンブラで使用されます。

 0x0000000100000f67 <main+23>: mov -0x8(%rbp),%ecx 0x0000000100000f6a <main+26>: add $0x6,%ecx 0x0000000100000f70 <main+32>: mov %ecx,-0xc(%rbp)
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次に、変数aを汎用レジスターの1つである％ecxに入れ、それに数値6を追加して、結果を％rbp-0xcに保存します。 これは、 メイン関数の2行目です。 アドレス％rbp-0xcが変数bに一致することをすでに推測しているかもしれません。これはGDBでも確認できます。

 (gdb) x &b 0x7fff5fbff764: 0x0000000b (gdb) x $rbp - 0xc 0x7fff5fbff764: 0x0000000b
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

残りの主な機能は単なるクリーニングプロセスであり、エピローグとも呼ばれます。

 0x0000000100000f73 <main+35>: pop %rbp 0x0000000100000f74 <main+36>: retq
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

古いベースポインターを取り出して％rbpに戻すと、 retq命令がリターンアドレスにスローされ、このリターンアドレスもスタックフレームに格納されます。



その瞬間まで、GDBを使用して小さなCプログラムを逆アセンブルし、AT＆Tからアセンブラー構文を読み取り、レジスタの主題とメモリアドレスのオペランドを調査しました。 また、GDBを使用して、ローカル変数の格納場所を％rbpに対してチェックしました 。 ここで、取得した知識を使用して、静的ローカル変数の動作原理を説明します。

静的ローカル変数について

静的ローカル変数は、Cの非常に優れた機能です。簡単に言えば、これらは一度初期化され、宣言された関数の呼び出し間で値を保持するローカル変数です。 静的ローカル変数の簡単な使用例は、Pythonスタイルのジェネレーターです。 INT_MAXまでのすべての自然数を生成するものを次に示します。

 /* static.c */ #include <stdio.h> int natural_generator() { int a = 1; static int b = -1; b += 1; return a + b; } int main() { printf("%d\n", natural_generator()); printf("%d\n", natural_generator()); printf("%d\n", natural_generator()); return 0; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

このプログラムをコンパイルして実行すると、最初の3つの自然数が出力されます。

 $ CFLAGS="-g -O0" make static cc -g -O0 static.c -o static $ ./static 1 2 3
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

しかし、それはどのように機能しますか？ 調べるために、GDBにアクセスしてアセンブラコードを見てみましょう。 GDBが逆アセンブラーの出力に追加するアドレス情報を削除すると、すべてが画面に収まりました。

 $ gdb static (gdb) break natural_generator (gdb) run (gdb) disassemble Dump of assembler code for function natural_generator: push %rbp mov %rsp,%rbp movl $0x1,-0x4(%rbp) mov 0x177(%rip),%eax # 0x100001018 <natural_generator.b> add $0x1,%eax mov %eax,0x16c(%rip) # 0x100001018 <natural_generator.b> mov -0x4(%rbp),%eax add 0x163(%rip),%eax # 0x100001018 <natural_generator.b> pop %rbp retq End of assembler dump.
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

最初に行う必要があるのは、現在の指示を確認することです。 これを行うには、指示ポインターまたはチームカウンターを調べます。 命令ポインタは、次の命令のアドレスを格納するレジスタです。 x86_64アーキテクチャでは、このレジスタは％ripと呼ばれます 。 $ rip変数を使用して命令ポインタにアクセスできます。または、代わりに、アーキテクチャ的に独立した$ pc変数を使用できます。

 (gdb) x/i $pc 0x100000e94 <natural_generator+4>: movl $0x1,-0x4(%rbp)
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

命令ポインタには、実行する次の命令へのポインタが含まれています。これは、3番目の命令がまだ実行されていないが、実行されることを意味します。



次の命令を知ることは非常に役立つので、プログラムが停止するたびにGDBに次の命令を表示させます。 GDB 7.0以降では、 set disassemble-next-line onコマンドを実行するだけで、次のコード行で実行されるすべての命令が表示されます。 しかし、GDB 6.3に付属のMac OS Xを使用しているため、 displayコマンドを使用する必要があります 。 このコマンドはxに似ていますが、プログラムが停止するたびに式の値を表示する点が異なります。

 (gdb) display/i $pc 1: x/i $pc 0x100000e94 <natural_generator+4>: movl $0x1,-0x4(%rbp)
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

GDBは、出力前に常に次のステートメントを表示するように構成されました。



前に調べた関数のプロローグは既に完了しているため、3番目の命令からすぐに始めます。 コードの最初の行に対応し、変数aに 1を割り当てます。 次のコード行に移動する次のコマンドの代わりに、次のアセンブラー命令に移動するnextiを使用します。 ここで、アドレス％rbp-0x4を調べて、変数aがここに格納されているという仮説をテストします。

 (gdb) nexti 7 b += 1; 1: x/i $pc mov 0x177(%rip),%eax # 0x100001018 <natural_generator.b> (gdb) x $rbp - 0x4 0x7fff5fbff78c: 0x00000001 (gdb) x &a 0x7fff5fbff78c: 0x00000001
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

そして、予想どおり、アドレスが同じであることがわかります。 次の指示はより興味深いものです。

 mov 0x177(%rip),%eax # 0x100001018 <natural_generator.b>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ここでは、行命令の実行が静的int b = -1であると予想しました。 、しかし、以前に出会ったものとは大きく異なります。 一方では、スタック変数への参照はありません。スタック変数には、ローカル変数が表示されると予想されていました。 -0x1でもありません！ この代わりに、命令ポインターの後にあるアドレス0x100001018から％eaxレジスタに何かをロードする命令があります。 GDBは、メモリオペランドの計算結果に関する有用なコメントを提供します。これは、 natural_generator.bがこのアドレスにあることを示唆しています。 指示に従って、何が起こるか見てみましょう：

 (gdb) nexti (gdb) p $rax $3 = 4294967295 (gdb) p/x $rax $5 = 0xffffffff
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

逆アセンブラーがレシーバーとして％eaxレジスターを示しているという事実にもかかわらず、GDBはレジスターの全幅の変数を設定するため、 $ raxを出力します。



この状況では、変数には変数が符号付きか符号なしかを決定する型がありますが、これらの型のレジスターにはないため、GDBは％raxレジスターの値を符号なしとして表示します。 もう一度試して、％rax値を符号付き整数に変換します 。

 (gdb) p (int)$rax $11 = -1
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

bを見つけたようです。 xコマンドを使用して、これを再度確認できます。

 (gdb) x/d 0x100001018 0x100001018 <natural_generator.b>: -1 (gdb) x/d &b 0x100001018 <natural_generator.b>: -1
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

したがって、変数bは 、スタックの別のメモリに格納されるだけでなく、 natural_generator関数が呼び出される前でも-1に初期化されます。 実際、プログラム全体を逆アセンブルしても、 bを-1に設定するコードは見つかりません。 これはすべて、変数bの値がプログラムの実行可能ファイルの別のセクションに縫い付けられており、プロセスの開始時にオペレーティングシステムのブートローダーによってすべてのマシンコードと共にメモリにロードされるためです。



このアプローチにより、物事は意味を成し始めます。 bを％eaxに保存した後、次のコード行に進み 、 bをインクリメントします。 これは、次の指示に従います。

 add $0x1,%eax mov %eax,0x16c(%rip) # 0x100001018 <natural_generator.b>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ここで、 ％eaxに 1を追加し、結果をメモリに書き戻します。 これらの指示に従って結果を見てみましょう。

 (gdb) nexti 2 (gdb) x/d &b 0x100001018 <natural_generator.b>: 0 (gdb) p (int)$rax $15 = 0
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次の2つの命令は、結果a + bを返す責任があります。

 mov -0x4(%rbp),%eax add 0x163(%rip),%eax # 0x100001018 <natural_generator.b>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ここで、 ％aaxに変数aをロードし、 bを追加します。 この時点で、 ％eaxには値1 が格納されると予想されます。チェックしてみましょう。

 (gdb) nexti 2 (gdb) p $rax $16 = 1
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

％eaxレジスタは、 natural_generator関数によって返された値を格納するために使用され、スタックをクリアしてリターンを返すエピローグが必要です。

 pop %rbp retq
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

変数bの初期化方法を見つけました。 では、 natural_generator関数が繰り返し呼び出されたときに何が起こるか見てみましょう。

 (gdb) continue Continuing. 1 Breakpoint 1, natural_generator () at static.c:5 5 int a = 1; 1: x/i $pc 0x100000e94 <natural_generator+4>: movl $0x1,-0x4(%rbp) (gdb) x &b 0x100001018 <natural_generator.b>: 0
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

変数bは 、残りの変数とともにスタックに格納されないため、 natural_generatorが再度呼び出されたときはまだ0です。 ジェネレータが何回呼び出されるかは関係ありません。変数bは常に以前の値を保持します。 これはすべて、スタックから保存され、ローダーがプログラムをメモリに格納するときに初期化されるためであり、マシンコードに従ってではありません。

おわりに

アセンブラーの命令を解析することから始め、GDBを使用してプログラムを逆アセンブルする方法を学びました。 後で、静的ローカル変数がどのように機能するかを調べました。これは、実行可能ファイルを分解しないとできませんでした。

アセンブリ命令の読み取りと、GBDを使用した仮説のテストを交互に行うことに多くの時間を費やしました。 これは退屈に思えるかもしれませんが、次のアプローチには十分な理由があります：抽象的なものを学ぶ最良の方法は、それをより具体的にすることです。 これらのツールを習得する最良の方法は、あなたにとって当たり前になるまで、使用を強制することです。



翻訳者から：低レベルのプログラミングは私のプロファイルではないので、不正確な点があれば、LANでそれらについて知ってうれしいです。