前言

這篇文章我們來聊聊大名鼎鼎的 GDB，它的豪門背景咱就不提了，和它的兄弟 GCC 一樣是含著金鑰匙出生的。相信每位嵌入式開發(fā)工程師都使用過 gdb 來調(diào)試程序，如果你說沒有用過，那只能說明你的開發(fā)經(jīng)歷還不夠坎坷，還需要繼續(xù)被 BUG 吊打。

我們都知道，在使用 GCC 編譯時，可以增加 -g 選項在可執(zhí)行文件中嵌入更多的調(diào)試信息，那么具體嵌入了哪些調(diào)試信息呢？這些調(diào)試信息是如何與二進制的指令之間進行相互交互的呢？在調(diào)試的時候，調(diào)試信息中是如何獲取函數(shù)調(diào)用棧中的上下文信息的呢？

針對上面這些疑惑，道哥用兩篇文章把這些底層最深處的問題徹底描述清楚，讓你一次看過癮。

第一篇文章，就是當(dāng)前這一篇，主要內(nèi)容是介紹 GDB 的底層調(diào)試原理，我們來看一下 GDB 是通過什么機制來控制指令集的執(zhí)行。

第二篇文章，我們選擇一個體積小巧、五臟俱全的 LUA 語言來進行剖析，從源代碼分析到函數(shù)調(diào)用棧，從指令集到調(diào)試庫的修改，一網(wǎng)打盡。

內(nèi)容比較多，看完本文需要的時間可能長一些，為了您的健康，不建議在處于蹲姿的時候閱讀這篇文章。

GDB調(diào)試模型

GDB 調(diào)試包括 2 個程序：gdb 程序和被調(diào)試程序。根據(jù)這 2 個程序是否運行在同一臺電腦中，可以把 GDB 的調(diào)試模型分為 2 種：本地調(diào)試和遠程調(diào)試。

本地調(diào)試：調(diào)試程序和被調(diào)試程序運行在同一臺電腦中。

遠程調(diào)試：調(diào)試程序運行在一臺電腦中，被調(diào)試程序運行在另一臺電腦中。

關(guān)于可視化調(diào)試程序并不是重點，它只是一個用來封裝 GDB 的外殼而已。我們既可以使用黑乎乎的終端窗口來調(diào)試程序；也可以使用集成開發(fā)環(huán)境(IDE)，這個IDE中已經(jīng)嵌入了調(diào)試器，這樣就可以單擊各種 button 來代替手動輸入調(diào)試命令了。

與本地調(diào)試相比，遠程調(diào)試中多了GdbServer，它和目標程序都是運行在目標機中，可能是一臺x86電腦或者是一個ARM板子。圖中的紅線表示 GDB 與 GdbServer 之間通過網(wǎng)絡(luò)或者串口進行通訊。既然是通訊，那么肯定需要一套通訊協(xié)議：RSP協(xié)議，全稱是：GDB Remote Serial Protocol(GDB遠程通信協(xié)議)。

關(guān)于通訊協(xié)議的具體格式和內(nèi)容，我們不需要關(guān)心，只需要知道：它們都是字符串，有固定的開始字符('$')和結(jié)束字符('#')，最后還有兩個十六進制的 ASCII 字符作為校驗和，了解這么多就足夠了。至于更多的細節(jié)，如果實在閑的XX可以瞄幾眼，其實這些協(xié)議，就像社會中各種奇葩的規(guī)定一樣，都是一幫磚家在廁所里想出來的。

在第二篇講解 LUA 的文章中，我們會實現(xiàn)一個類似的遠程調(diào)試原型。其中的通信協(xié)議也是字符串，直接把 HTTP 協(xié)議進行簡化之后就拿過來使用了，十分清晰、方便。

GDB調(diào)試指令

為了完整性，這里把部分 GDB 調(diào)試指令貼一下，有感性認識即可。這里沒有列舉所有的指令，列出的指令都是常用的，比較容易理解。在講解 LUA 的時候，我們會選擇其中的某些指令進行詳細的對比，包括底層的實現(xiàn)機制。

每一條具體的調(diào)試指令，使用的參數(shù)還有很多，例如斷點相關(guān)的就包括：設(shè)置斷點、刪除斷點、條件斷點、臨時停用啟用等等。這篇文章的重點是理解 gdb 底層的調(diào)試機制，所以應(yīng)用層的這些指令的使用方法就不再列出了，網(wǎng)絡(luò)上的資源很多。

GDB與被調(diào)試程序之間的關(guān)系

為了方便描述，先寫一個最最簡單的 C 程序：

編譯命令: $ gcc -g test.c -o test

我們對可執(zhí)行程序 test 進行調(diào)試，輸入命令：$ gdb ./test，輸出如下：

在最后一行可以看到光標在閃爍，這是 gdb 程序在等著我們給他下達調(diào)試命令呢。當(dāng)上面這個黑乎乎的終端窗口在執(zhí)行 gdb ./test 的時候，在操作系統(tǒng)里發(fā)生了很多復(fù)雜的事情。

操作系統(tǒng)首先會啟動 gdb 進程，這個進程會調(diào)用系統(tǒng)函數(shù) fork()，創(chuàng)建一個子進程，這個子進程做兩件事情：

(1) 調(diào)用系統(tǒng)函數(shù) ptrace(PTRACE_TRACEME，[其他參數(shù)])；

(2) 通過 execc 來加載、執(zhí)行可執(zhí)行程序 test，那么 test 程序就在這個子進程中開始執(zhí)行了。

補充一點：文中有時稱之程序，有時稱之進程?！俺绦颉泵枋龅氖且粋€靜態(tài)的概念，就是一堆數(shù)據(jù)躺著硬盤上，而“進程”描述的是動態(tài)的過程，是這個程序被讀取、加載到內(nèi)存上之后，在操作系統(tǒng)中有一個任務(wù)控制塊(一個數(shù)據(jù)結(jié)構(gòu))，專門用來管理這個進程的。

鋪墊了半天，終于輪到主角登場了，那就是系統(tǒng)調(diào)用函數(shù) ptrace（其中的參數(shù)后面會解釋），正是在它的幫助下，gdb 才擁有了強大的調(diào)試能力。函數(shù)原型是：

我們先來看一下 man 中對這個函數(shù)的簡介：

tracer 就是調(diào)試程序，可以理解為 gdb 程序；tracee 就是被調(diào)試程序，對應(yīng)于圖中的目標程序 test。老外一般喜歡用-er和-ee來表示主動和被動的關(guān)系，例如：employer 就是雇主(老板)，employee 就是苦逼的被雇傭者(打工人)。

ptrace 系統(tǒng)函數(shù)是 Linux 內(nèi)核提供的一個用于進程跟蹤的系統(tǒng)調(diào)用，通過它，一個進程(gdb)可以讀寫另外一個進程(test)的指令空間、數(shù)據(jù)空間、堆棧和寄存器的值。而且 gdb 進程接管了 test 進程的所有信號，也就是說系統(tǒng)向 test 進程發(fā)送的所有信號，都被 gdb 進程接收到，這樣一來，test 進程的執(zhí)行就被 gdb 控制了，從而達到調(diào)試的目的。

相當(dāng)于這樣一種情況：如果沒有 gdb 調(diào)試，操作系統(tǒng)與目標進程之間是直接交互的；如果用 gdb 來調(diào)試程序，那么操作系統(tǒng)發(fā)送給目標進程的信號就會被 gdb 截獲，gdb 根據(jù)信號的屬性來決定：在繼續(xù)運行目標程序時是否把當(dāng)前截獲的信號轉(zhuǎn)交給 test，被調(diào)試程序 test 就在 gdb 發(fā)來的信號指揮下進行相應(yīng)的動作。

GDB如何調(diào)試已經(jīng)執(zhí)行的服務(wù)進程

是否有小伙伴會提出這樣一個疑問：上面被調(diào)試的程序 test 是從頭開始執(zhí)行的，是否可以用 gdb 來調(diào)試一個已經(jīng)處于執(zhí)行中的服務(wù)進程呢？答曰：可以。這就涉及到 ptrace 系統(tǒng)函數(shù)的第一個參數(shù)了，這個參數(shù)是一個枚舉類型的值，其中重要的是2個：PTRACE_TRACEME，PTRACE_ATTACH。

在上面的講解中，子進程在調(diào)用 ptrace 系統(tǒng)函數(shù)時使用的參數(shù)是PTRACE_TRACEME，注意橙色文字：是子進程調(diào)用ptrace，相當(dāng)于子進程對操作系統(tǒng)說：gdb 進程是我的爸爸，以后你有任何想發(fā)給我的信號，請直接發(fā)給 gdb 進程吧！

如果想對一個已經(jīng)執(zhí)行的進程B進行調(diào)試，那么就要在 gdb 這個父進程中調(diào)用 ptrace(PTRACE_ATTACH, [其他參數(shù)])，此時，gdb 進程會 attach(綁定) 到已經(jīng)執(zhí)行的進程B，gdb 把進程B收養(yǎng)成為自己的子進程，而子進程B的行為等同于它進行了一次 PTRACE_TRACEME 操作。此時，gdb 進程會發(fā)送 SIGSTOP 信號給子進程B，子進程B接收到 SIGSTOP 信號后，就會暫停執(zhí)行進入 TASK_STOPED 狀態(tài)，表示自己準備好被調(diào)試了。

所以，不論是調(diào)試一個新程序，還是調(diào)試一個已經(jīng)執(zhí)行的服務(wù)程序，通過 ptrace 系統(tǒng)調(diào)用，最終的結(jié)果都是：gdb 程序是父進程，被調(diào)試程序是子進程，子進程的所有信號都被父進程 gdb 來接管，并且父進程 gdb 可查看、修改子進程的內(nèi)部信息，包括：堆棧、寄存器等。

關(guān)于綁定，有幾個限制需要了解一下：不予許自我綁定，不允許多次綁定到同一個進程，不允許綁定1號進程。

偷窺GDB如何實現(xiàn)斷點指令

大道理已經(jīng)講完了，這里我們通過設(shè)置斷點(break)這個調(diào)試指令，來偷窺一下 gdb 內(nèi)部的調(diào)試機制。

還是以上面的代碼為例子，這里再重新貼一下代碼：

來看一下編譯出來的反匯編代碼是什么樣的(編譯指令：gcc -S test.c; cat test.S)

這里只貼了一部分反匯編代碼，只要能說明底層的原理就達到我們的目的了。

上面說到，在執(zhí)行 gdb ./test 之后，gdb 就會 fork 出一個子進程，這個子進程首先調(diào)用 ptrace，然后執(zhí)行 test 程序，這樣 gdb 就稱為 test 的父進程了，從而可以接管 test 的所有信號。

我們把源碼和匯編代碼放在一起，方便理解：

現(xiàn)在我們輸入調(diào)試指令：在調(diào)試窗口輸入設(shè)置斷點指令 “break 5” ，此時gdb 做 2 件事情：

（1）對第 5 行源碼所對應(yīng)的匯編代碼存儲到斷點鏈表中。

（2）在匯編代碼的第 10 行，插入中斷指令 INT 3，也就是說：匯編代碼中的第10行被替換為INT3。

然后，在調(diào)試窗口繼續(xù)輸入執(zhí)行指令“run”(一直執(zhí)行，直到遇到斷點就暫停)，匯編代碼中的 PC 指針(一個內(nèi)部指針，指向即將執(zhí)行的那行代碼)執(zhí)行到第 10 行時，發(fā)現(xiàn)是 INT 3 指令，于是操作系統(tǒng)就發(fā)送一個 SIGTRAP 信號給 test 進程。

（此刻，第 10 行匯編代碼 INT3 就被執(zhí)行過了，PC指針就指向第11行了。）

上面已經(jīng)說過，操作系統(tǒng)發(fā)給 test 的任何信號，都被 gdb 接管了，也就是說 gdb 會首先接收到這個信號。gdb 發(fā)現(xiàn)當(dāng)前匯編代碼執(zhí)行的是第 10 行，于是到斷點鏈表中查找，發(fā)現(xiàn)有第 10 行的代碼，說明第 10 行被設(shè)置了斷點，此刻 gdb 又做了 3 個操作：

（1）把匯編代碼中的第 10 行 INT3 替換為斷點鏈表中原來的代碼。

（2）把 PC 指針回退一步，也即是設(shè)置為指向第 10 行。

（3）繼續(xù)等待用戶的調(diào)試指令。

此刻 test 程序就暫停下來了，PC 指針指向第 10 行，也就是源碼中的第 5 行。從我們調(diào)試者角度看，就是被調(diào)試程序在第 5 行斷點處暫停了下來，我們可以繼續(xù)輸入其他調(diào)試指令來 debug，比如：查看變量值、查看堆棧信息、修改局部變量的值等等。

偷窺GDB如何實現(xiàn)單步指令next

還是以剛才的源代碼和匯編代碼為例，假設(shè)此時程序停止在源碼的第 6 行，即匯編代碼的第 11 行：

在調(diào)試窗口輸入單步執(zhí)行指令“next”，我們的目的是執(zhí)行一行代碼，也就是把源碼中第 6 行代碼執(zhí)行完，然后停止在第7行。gdb 在接收到 “next” 執(zhí)行時，會計算出第 7 行源碼，應(yīng)該對應(yīng)到匯編代碼的第 14 行，于是 gdb 就控制匯編代碼中的 PC 指針一直執(zhí)行到第 13 行結(jié)束，也就是 PC 指向第 14 行時，就停止下來，然后繼續(xù)等待用戶輸入調(diào)試指令。

總結(jié)

通過 break 和 next 這2個調(diào)試指令，我們已經(jīng)明白了 gdb 中是如何處理調(diào)試指令的了。當(dāng)然，gdb 中的調(diào)試指令還有很多，包括更復(fù)雜的獲取堆棧信息、修改變量的值等等，有興趣的小伙伴可以繼續(xù)深入跟蹤。

后面我在寫 LUA 語言中的調(diào)試庫時，會更深入、詳細的討論這個問題，畢竟 LUA 語言更小巧、簡單。我也會把 LUA 代碼中如何設(shè)置 PC 指針的代碼部分給小伙伴演示一下，這樣我們對于一門編程語言的內(nèi)部實現(xiàn)就會有更好的理解和掌握，也有可能錄一個視頻，這樣就能更好的講解 LUA 語言中的內(nèi)部細節(jié)。