如何使用Ubuntu进行反汇编

在 Ubuntu 上进行反汇编的常用方法与示例

一 准备与安装

• 更新软件源并安装常用工具：
  • 安装 binutils（含 objdump）：sudo apt-get update && sudo apt-get install binutils
  • 安装 gdb（交互式调试与反汇编）：sudo apt-get install gdb
  • 安装 radare2（逆向工程框架）：sudo apt-get install radare2
  • 安装 nasm（含 ndisasm，适合原始二进制/裸机镜像）：sudo apt-get install nasm
  • 如需 ARM 交叉反汇编：sudo apt-get install binutils-aarch64-linux-gnu（AArch64）或 binutils-arm-none-eabi（裸机 ARM）

二 使用 objdump 进行反汇编

• 基本用法
  • 反汇编可执行文件：objdump -d your_binary
  • 使用 Intel 语法：objdump -d -M intel your_binary
  • 仅反汇编 .text 段：objdump -d -j .text your_binary
  • 显示源码与汇编对照（需有调试信息）：objdump -S your_binary
  • 反汇编静态库（.a）：objdump -D your_lib.a
  • 查看文件头/符号表等元信息：objdump -x your_binary、objdump -t your_binary
• 按地址或函数范围
  • 指定起止地址：objdump -d --start-address=0x400000 --stop-address=0x400100 your_binary
  • 按函数名过滤（结合 grep）：objdump -d -j .text your_binary | grep -A 20 '<main>'
• 说明
  • 对于含调试信息的程序，-S 可将源码与汇编混合显示，便于定位

三 使用 gdb 交互式反汇编

• 启动与查看
  • 启动：gdb your_binary
  • 反汇编当前函数：(gdb) disassemble
  • 反汇编指定函数：(gdb) disassemble function_name
  • 反汇编一段地址：(gdb) disassemble 0x400526,0x400580
• 适用场景
  • 结合断点、寄存器与栈信息，动态观察执行流与指令影响

四 其他工具与进阶用法

• ndisasm（原始二进制/裸机镜像）
  • 32 位模式：ndisasm -b 32 your_binary
  • 64 位模式：ndisasm -b 64 your_binary
  • 指定加载偏移：ndisasm -b 32 -o 0x100 your_binary
• radare2（逆向框架）
  • 启动：r2 your_binary
  • 反汇编当前函数：[0x...]> pdf
  • 反汇编指定函数：[0x...]> pdf @ main
• 交叉架构
  • AArch64 Linux 程序：aarch64-linux-gnu-objdump -d your_arm64_binary
  • 裸机 ARM：arm-none-eabi-objdump -d your_arm_binary
• 编程方式
  • 使用 Capstone 引擎编写自定义反汇编器（C/Python 等），适合批量分析与自动化

五 实用建议与常见问题

• 语法选择
  • AT&T 与 Intel 语法差异较大；若习惯 Intel 风格，使用 objdump -M intel
• 地址与偏移
  • 静态分析用 objdump 的 --start-address/--stop-address；内核/引导代码或位置无关代码需设置正确偏移（如 -o 于 ndisasm）
• 源码级对照
  • 编译时加入 -g 生成调试信息，再用 objdump -S 或 gdb 查看源码+汇编
• 架构匹配
  • 交叉反汇编务必使用与目标一致的 objdump 变体（如 aarch64-linux-gnu-objdump、arm-none-eabi-objdump）
• 合法合规
  • 仅对你拥有或获授权的二进制进行分析，遵守许可证与法律法规