edb-debugger中PLT符号地址偏移问题的分析与解决

问题背景

在使用edb-debugger调试工具时，Ubuntu 22.04 WSL2环境下的用户发现了一个关于PLT(Procedure Linkage Table)符号地址显示异常的问题。具体表现为所有PLT符号的地址都出现了一个固定的偏移量，导致调试时无法正确显示库函数名称，而只能显示原始地址。

问题现象

当用户使用edb-debugger调试程序时，发现：

1. 所有PLT符号的地址都偏移了一个固定值(如0x1e0或0x20)
2. 库函数调用显示为地址而非函数名
3. 本地跳转显示正常
4. 相同程序在GDB中显示正常

通过对比edb和GDB的显示结果可以明显看到差异，例如puts@plt在符号表中显示为0x3070，但实际调用地址却是0x3250。

问题根源

经过深入分析，发现问题与GCC的-fcf-protection编译选项有关。该选项用于启用控制流保护机制，会在函数入口处插入endbr指令作为控制流终结符。当启用此选项时，PLT的布局会发生变化，导致edb原有的符号解析逻辑出现偏差。

解决方案

edb-debugger的开发团队针对此问题进行了修复，主要改进包括：

1. 更新符号解析逻辑，使其能够正确处理带有控制流保护的PLT结构
2. 考虑不同编译选项下PLT布局的差异

由于edb会缓存生成的符号信息，用户在使用修复后的版本时需要清除缓存才能生效：

rm -rf ~/.cache/codef00.com/edb/symbols/

技术细节

控制流保护(Control Flow Enforcement, CET)是现代处理器提供的一种安全特性，旨在防御ROP/JOP等代码复用攻击。GCC通过-fcf-protection选项支持此特性，它会在函数入口处插入特殊的endbr指令。

当启用此选项时，PLT的结构会发生变化：

1. 每个PLT条目前会增加额外的指令
2. 符号的实际入口点与预期位置产生偏移
3. 传统的PLT解析方法不再适用

edb的修复方案通过检测这些变化并相应调整符号解析逻辑，确保在各种编译选项下都能正确显示符号信息。

总结

这个问题展示了调试工具在面对不断发展的编译器安全特性时面临的挑战。edb-debugger通过及时更新其符号解析逻辑，保持了对现代安全编译选项的兼容性。对于开发者而言，了解这类问题的根源有助于更好地使用调试工具，并在遇到类似问题时能够快速定位原因。