之前一直谈各种相对宏观的工具怎么使用，比如Flink、RabbitMQ等。最近想聊聊比较微观的技术，用各种“显微镜”去看看运行在系统层的二进制码是什么样子。当然二进制码比较难以记忆，于是我会从二进制码的助记符——汇编层面去分析程序运行的一些“套路”，进而展开我们平时会忽略的微观世界。
这系列文章，面向有一定计算机基础、对底层比较感兴趣的朋友。但是我也会尽量用比较简单的语言，把整个系列的知识点讲明白。
相较于之前，我比较多的分析Windows上程序的汇编码（比如《反汇编》这个系列）。本系列将着重分析Linux系统上的程序的汇编码。同时又不想引入太过复杂的各种设计，尽量简单明了地还原底层本来的面貌，于是我是用的是C语言去写代码，然后将编译结果通过静态分析工具和动态分析工具去反汇编。
工欲善其事必先利其器，这次系列我们将主要使用两个工具去分析：GDB和IDA。

GDB

GDB是一个非常常用的调试工具，我们可以使用它来追踪运行时的程序，主要用于动态分析。
以后面要分析的程序（simple_main）为例，可以使用下面的命令来做调试

 gdb bin/simple_main

然后我们给main函数下一个端点

b main

然后运行该程序

r

断点命中后，我们可以分析此时的寄存器信息

info registers

以及查看这些寄存器所指向区域的数据或者代码
比如我们要看栈上数据

x /-16xg $rbp

或者看RIP指向的代码

disassemble $rip

然后通过单步调试等方法，查看相关寄存器和内存的变化

GDB非常强大，但是需要记下很多命令，而且其交互所展现的信息量也比较有限。如果只是做代码查看性分析，而不需要其运行态的一些信息，则可以考虑使用下面介绍的静态分析工具IDA。

IDA

相较于GDB，IDA有着优秀的可视化界面，大大降低了大型工程分析的难度。
本系列我们将在Windows上使用IDA分析Linux上的程序。
针对上例， 我们把Linux上的程序simple_main拷贝到本地（我用的是Vscode远程连接Linux开发）。

然后在IDA中打开

在左侧Function name中可以看到一系列函数名称，右侧则是对应的函数的汇编。如上图是main函数的汇编。
我们可以双击main函数中call foo这行，会直接跳到foo函数的实现

如果觉得上面信息比较简单，可以使用Text view模式

然后可以看到连续的大段代码

如上图，我们看到foo函数和main函数在二进制码层面，是连续布局的。

总结

本文我们只是做一个简单的介绍，后续我们将使用这些工具以及其他更多的工具，来深入分析软件在系统上运行的情况，以期展现出计算机微观世界的精彩设计。

参考资料

• https://sourceware.org/gdb/
• https://hex-rays.com/ida-pro/