我注意到,无论我使用哪种编译器(gcc、llvm、clang、icc 等),如果我得到核心转储,我几乎总是可以将其放入 GDB(或者可能是其他调试器,但我结束了)大部分时间都条件反射地使用 GDB),而不用担心程序/库是如何编译的。为什么是这样?是否有通用格式来描述如何创建核心转储?是否有任何编译器/调试器组合不遵循此格式?
核心转储文件是由操作系统内核编写的,而不是由编译器或调试器编写的。这就是为什么例如每个 Linux 调试器都支持相同的格式。
elf_core_dump()
中fs/binfmt_elf.c
。
然而,像Crashpad这样的崩溃报告系统会写出自己的核心转储等效项以进行远程收集。这些转储要小得多,只能包含堆栈跟踪地址列表,并在不同操作系统上使用自己的自定义格式。不过,您需要将它们显式集成为应用程序中的库。
核心转储格式特定于每个操作系统默认值,最常见的格式是 ELF。
用户空间核心文件有很多段/程序头。
核心文件中转储两种类型的程序/段头
PT_NOTE 段由一个或多个 Elf_Note 条目组成。
程序头中的PT_LOAD条目描述了进程的VMA(虚拟内存区域)
Linux 和 FreeBSD 都将进程的大部分数据存储在 PT_NOTE 段中。
在 FreeBSD 上,您可以从核心文件中读取注释片段,如下所示
$ readelf --notes hello.core | grep -v "description data:"
Displaying notes found at file offset 0x00000200 with length 0x00001d04:
Owner Data size Description
FreeBSD 0x00000078 NT_PRPSINFO (prpsinfo structure)
FreeBSD 0x000000e0 NT_PRSTATUS (prstatus structure)
FreeBSD 0x00000200 NT_FPREGSET (floating point registers)
FreeBSD 0x00000018 NT_THRMISC (thrmisc structure)
FreeBSD 0x00000444 NT_PROCSTAT_PROC (proc data)
FreeBSD 0x00000aec NT_PROCSTAT_FILES (files data)
FreeBSD 0x00000724 NT_PROCSTAT_VMMAP (vmmap data)
FreeBSD 0x00000038 NT_PROCSTAT_GROUPS (groups data)
FreeBSD 0x00000006 NT_PROCSTAT_UMASK (umask data)
FreeBSD 0x000000d4 NT_PROCSTAT_RLIMIT (rlimit data)
FreeBSD 0x00000008 NT_PROCSTAT_OSREL (osreldate data)
FreeBSD 0x0000000c NT_PROCSTAT_PSSTRINGS (ps_strings data)
FreeBSD 0x00000114 NT_PROCSTAT_AUXV (auxv data)
NT_PRPSINFO - "struct prpsinfo" is dumped
NT_PRSTATUS - "struct prstatus" & "struct __reg64" is dumped
NT_FPREGSET - "struct __fpreg64" is dumped
NT_THRMISC - "struct thrmisc" is dumped
NT_PROCSTAT_* - Refer this for proc stat data see libprocstat
下面的论文有更多有关 FreeBSD 支持的核心转储的详细信息