Como descobrir as cargas de arquivos executáveis ​​das bibliotecas dinâmicas quando executadas?

64

Eu quero descobrir a lista de bibliotecas dinâmicas que um binário carrega quando executado (com seus caminhos completos). Estou usando o CentOS 6.0. Como fazer isso?

Ciro Santilli adicionou uma nova foto
fonte

Respostas:

61

Você pode fazer isso com o lddcomando:

NAME
       ldd - print shared library dependencies

SYNOPSIS
       ldd [OPTION]...  FILE...

DESCRIPTION
       ldd  prints  the  shared  libraries  required by each program or shared
       library specified on the command line.
....

Exemplo:

$ ldd /bin/ls
    linux-vdso.so.1 =>  (0x00007fff87ffe000)
    libselinux.so.1 => /lib/x86_64-linux-gnu/libselinux.so.1 (0x00007ff0510c1000)
    librt.so.1 => /lib/x86_64-linux-gnu/librt.so.1 (0x00007ff050eb9000)
    libacl.so.1 => /lib/x86_64-linux-gnu/libacl.so.1 (0x00007ff050cb0000)
    libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007ff0508f0000)
    libdl.so.2 => /lib/x86_64-linux-gnu/libdl.so.2 (0x00007ff0506ec000)
    /lib64/ld-linux-x86-64.so.2 (0x00007ff0512f7000)
    libpthread.so.0 => /lib/x86_64-linux-gnu/libpthread.so.0 (0x00007ff0504ce000)
    libattr.so.1 => /lib/x86_64-linux-gnu/libattr.so.1 (0x00007ff0502c9000)
cuonglm
fonte
11
Alguma idéia do que seria um equivalente do macOS? lldParece que não em darwin, nem posso encontrá-lo via homebrew.
Mz2 # 23/16
7
No macOS:otool -L <path-to-binary>
Richard Viney
esteja ciente de que isso pode executar o binário. Portanto, se o binário não for confiável, pode ser melhor não usá-lo ldd. Veja a página de manual .
Paul Rooney
46

readelf -d $executable | grep 'NEEDED'

Pode ser usado se você não puder executar o executável, por exemplo, se ele foi compilado em cruz ou se você não confia nele:

No caso usual, o ldd chama o vinculador dinâmico padrão (consulte ld.so (8)) com a variável de ambiente LD_TRACE_LOADED_OBJECTS definida como 1, o que faz com que o vinculador exiba as dependências da biblioteca. No entanto, esteja ciente de que, em algumas circunstâncias, algumas versões do ldd podem tentar obter as informações de dependência executando diretamente o programa. Portanto, você nunca deve empregar ldd em um executável não confiável, pois isso pode resultar na execução de código arbitrário.

Exemplo:

readelf -d /bin/ls | grep 'NEEDED'

Saída da amostra:

 0x0000000000000001 (NEEDED)             Shared library: [libselinux.so.1]
 0x0000000000000001 (NEEDED)             Shared library: [libacl.so.1]
 0x0000000000000001 (NEEDED)             Shared library: [libc.so.6]

Observe que as bibliotecas podem depender de outras, então agora você precisa encontrar as dependências.

Uma abordagem ingênua que geralmente funciona é:

$ locate libselinux.so.1
/lib/i386-linux-gnu/libselinux.so.1
/lib/x86_64-linux-gnu/libselinux.so.1
/mnt/debootstrap/lib/x86_64-linux-gnu/libselinux.so.1

mas o método mais preciso é entender o lddcaminho / cache de pesquisa. Eu acho que ldconfigé o caminho a percorrer.

Escolha um e repita:

readelf -d /lib/x86_64-linux-gnu/libselinux.so.1 | grep 'NEEDED'

Saída de amostra:

0x0000000000000001 (NEEDED)             Shared library: [libpcre.so.3]
0x0000000000000001 (NEEDED)             Shared library: [libdl.so.2]
0x0000000000000001 (NEEDED)             Shared library: [libc.so.6]
0x0000000000000001 (NEEDED)             Shared library: [ld-linux-x86-64.so.2]

E assim por diante.

Veja também:

/proc/<pid>/maps para processos em execução

Mencionado pelo Basile , isso é útil para encontrar todas as bibliotecas atualmente sendo usadas pela execução de executáveis. Por exemplo:

sudo awk '/\.so/{print $6}' /proc/1/maps | sort -u

mostra todas as dependências dinâmicas atualmente carregadas de init(PID 1):

/lib/x86_64-linux-gnu/ld-2.23.so
/lib/x86_64-linux-gnu/libapparmor.so.1.4.0
/lib/x86_64-linux-gnu/libaudit.so.1.0.0
/lib/x86_64-linux-gnu/libblkid.so.1.1.0
/lib/x86_64-linux-gnu/libc-2.23.so
/lib/x86_64-linux-gnu/libcap.so.2.24
/lib/x86_64-linux-gnu/libdl-2.23.so
/lib/x86_64-linux-gnu/libkmod.so.2.3.0
/lib/x86_64-linux-gnu/libmount.so.1.1.0
/lib/x86_64-linux-gnu/libpam.so.0.83.1
/lib/x86_64-linux-gnu/libpcre.so.3.13.2
/lib/x86_64-linux-gnu/libpthread-2.23.so
/lib/x86_64-linux-gnu/librt-2.23.so
/lib/x86_64-linux-gnu/libseccomp.so.2.2.3
/lib/x86_64-linux-gnu/libselinux.so.1
/lib/x86_64-linux-gnu/libuuid.so.1.3.0

Este método também mostra as bibliotecas abertas com dlopen, testadas com esta configuração mínima hackeada com uma sleep(1000)no Ubuntu 18.04.

Consulte também: Como ver os objetos compartilhados atualmente carregados no Linux? | Superusuário

Ciro Santilli adicionou uma nova foto
fonte
11
A parte interessante do método readelf é que ele também funciona em binários cruzados (ex: armhf no amd64)
Ghostrider
13

ldd e lsof mostram as bibliotecas carregadas diretamente ou em um determinado momento . Eles não consideram bibliotecas carregadas via dlopen(ou descartadas pordlclose ). Você pode obter uma imagem melhor disso usando strace, por exemplo,

strace -e trace=open myprogram

(já que, em dlopenúltima análise, chama open- embora você possa ter um sistema usando nomes diferentes para abrir 64 bits ...).

Exemplo:

strace -e trace=open date

mostra-me isto:

open("/etc/ld.so.cache", O_RDONLY)      = 3
open("/lib/x86_64-linux-gnu/librt.so.1", O_RDONLY) = 3
open("/lib/x86_64-linux-gnu/libc.so.6", O_RDONLY) = 3
open("/lib/x86_64-linux-gnu/libpthread.so.0", O_RDONLY) = 3
open("/usr/lib/locale/locale-archive", O_RDONLY) = 3
open("/etc/localtime", O_RDONLY)        = 3
Wed Apr 12 04:56:32 EDT 2017

a partir do qual se pode receber os nomes ".so" para ver apenas objetos compartilhados.

Thomas Dickey
fonte
3
Uma melhoria:strace -e trace=open,openat myprogram
Cyker
Bom método. /proc/<pid>/mapstambém mostra dlopenlibs btw: a saída unix.stackexchange.com/questions/120015/… ltrace -S é ainda mais interessante, pois mostra chamadas de syscalls e de biblioteca como dlopen: unix.stackexchange.com/questions/226524/…
Ciro Santilli事件
7

lsof também pode mostrar quais bibliotecas estão sendo usadas para um processo específico.

ie

$ pidof nginx
6920 6919

$ lsof -p 6919|grep mem
nginx   6919 root  mem    REG               0,64    65960     43 /lib64/libnss_files-2.12.so
nginx   6919 root  mem    REG               0,64    19536     36 /lib64/libdl-2.12.so
nginx   6919 root  mem    REG               0,64    10312   1875 /lib64/libfreebl3.so
nginx   6919 root  mem    REG               0,64  1923352     38 /lib64/libc-2.12.so
nginx   6919 root  mem    REG               0,64    88600   1034 /lib64/libz.so.1.2.3
nginx   6919 root  mem    REG               0,64  1967392   1927 /usr/lib64/libcrypto.so.1.0.1e
nginx   6919 root  mem    REG               0,64   183080   1898 /lib64/libpcre.so.0.0.1
nginx   6919 root  mem    REG               0,64    40400   1217 /lib64/libcrypt-2.12.so
nginx   6919 root  mem    REG               0,64   142688     77 /lib64/libpthread-2.12.so
nginx   6919 root  mem    REG               0,64   154664     31 /lib64/ld-2.12.so
Gongora
fonte
2

Para um processo do pid 1234, você também pode ler o /proc/1234/mapspseudo-arquivo (textual) (leia proc (5) ...) ou use o pmap (1)

Isso fornece o espaço de endereço virtual desse processo, portanto, os arquivos (incluindo bibliotecas compartilhadas e até dlopen (3) -ed one) que são mapeados na memória

(é claro, use ps auxou pgrep (1) para encontrar os processos executando algum programa)

Basile Starynkevitch
fonte
1

Para consulta em massa:

  1. crie um pequeno script ( useslib) e insira no PATH (ou especifique um caminho completo no comando abaixo)

    #! /bin/bash
    ldd $1 | grep -q $2
    exit $?
    
  2. Use-o em um findcomando, por exemplo:

    find /usr/bin/ -executable -type f -exec useslib {} libgtk-x11-2.0 \; -print
    

(libgtk-x11-2.0 parece ser a lib gtk2)

xenoid
fonte
0

É possível usar pmap.

Por exemplo, inicie um processo: $ watch date

Obter pid: $ ps -ef | grep watch

Mostrar mapa de memória: $ pmap <pid>

Mostrar com o caminho completo: $ pmap <pid> -p

$ pmap 72770
72770:   watch date
00005613a32c9000     20K r-x-- watch
00005613a34cd000      4K r---- watch
00005613a34ce000      4K rw--- watch
00005613a4f6a000    264K rw---   [ anon ]
00007f2f3a7d5000 204616K r---- locale-archive
00007f2f46fa7000   1748K r-x-- libc-2.27.so
00007f2f4715c000   2048K ----- libc-2.27.so
00007f2f4735c000     16K r---- libc-2.27.so
00007f2f47360000      8K rw--- libc-2.27.so
00007f2f47362000     16K rw---   [ anon ]
00007f2f47366000     12K r-x-- libdl-2.27.so
00007f2f47369000   2044K ----- libdl-2.27.so
00007f2f47568000      4K r---- libdl-2.27.so
00007f2f47569000      4K rw--- libdl-2.27.so
00007f2f4756a000    160K r-x-- libtinfo.so.6.1
00007f2f47592000   2048K ----- libtinfo.so.6.1
00007f2f47792000     16K r---- libtinfo.so.6.1
00007f2f47796000      4K rw--- libtinfo.so.6.1
00007f2f47797000    232K r-x-- libncursesw.so.6.1
00007f2f477d1000   2048K ----- libncursesw.so.6.1
00007f2f479d1000      4K r---- libncursesw.so.6.1
00007f2f479d2000      4K rw--- libncursesw.so.6.1
00007f2f479d3000    148K r-x-- ld-2.27.so
00007f2f47bdb000     20K rw---   [ anon ]
00007f2f47bf1000     28K r--s- gconv-modules.cache
00007f2f47bf8000      4K r---- ld-2.27.so
00007f2f47bf9000      4K rw--- ld-2.27.so
00007f2f47bfa000      4K rw---   [ anon ]
00007ffd39404000    136K rw---   [ stack ]
00007ffd3959b000     12K r----   [ anon ]
00007ffd3959e000      8K r-x--   [ anon ]
ffffffffff600000      4K r-x--   [ anon ]
 total           215692K
$ pmap 72770 -p
72770:   watch date
00005613a32c9000     20K r-x-- /usr/bin/watch
00005613a34cd000      4K r---- /usr/bin/watch
00005613a34ce000      4K rw--- /usr/bin/watch
00005613a4f6a000    264K rw---   [ anon ]
00007f2f3a7d5000 204616K r---- /usr/lib/locale/locale-archive
00007f2f46fa7000   1748K r-x-- /usr/lib64/libc-2.27.so
00007f2f4715c000   2048K ----- /usr/lib64/libc-2.27.so
00007f2f4735c000     16K r---- /usr/lib64/libc-2.27.so
00007f2f47360000      8K rw--- /usr/lib64/libc-2.27.so
00007f2f47362000     16K rw---   [ anon ]
00007f2f47366000     12K r-x-- /usr/lib64/libdl-2.27.so
00007f2f47369000   2044K ----- /usr/lib64/libdl-2.27.so
00007f2f47568000      4K r---- /usr/lib64/libdl-2.27.so
00007f2f47569000      4K rw--- /usr/lib64/libdl-2.27.so
00007f2f4756a000    160K r-x-- /usr/lib64/libtinfo.so.6.1
00007f2f47592000   2048K ----- /usr/lib64/libtinfo.so.6.1
00007f2f47792000     16K r---- /usr/lib64/libtinfo.so.6.1
00007f2f47796000      4K rw--- /usr/lib64/libtinfo.so.6.1
00007f2f47797000    232K r-x-- /usr/lib64/libncursesw.so.6.1
00007f2f477d1000   2048K ----- /usr/lib64/libncursesw.so.6.1
00007f2f479d1000      4K r---- /usr/lib64/libncursesw.so.6.1
00007f2f479d2000      4K rw--- /usr/lib64/libncursesw.so.6.1
00007f2f479d3000    148K r-x-- /usr/lib64/ld-2.27.so
00007f2f47bdb000     20K rw---   [ anon ]
00007f2f47bf1000     28K r--s- /usr/lib64/gconv/gconv-modules.cache
00007f2f47bf8000      4K r---- /usr/lib64/ld-2.27.so
00007f2f47bf9000      4K rw--- /usr/lib64/ld-2.27.so
00007f2f47bfa000      4K rw---   [ anon ]
00007ffd39404000    136K rw---   [ stack ]
00007ffd3959b000     12K r----   [ anon ]
00007ffd3959e000      8K r-x--   [ anon ]
ffffffffff600000      4K r-x--   [ anon ]
 total           215692K
Lane Ouyang
fonte