ubuntu下哪些工具支持反汇编

Ubuntu下常用的反汇编工具与用法

一 常用工具清单

• objdump（binutils）：命令行反汇编与二进制信息查看，适合快速查看 .text 段代码与函数边界。支持多种架构与输出控制。
• gdb：调试器内置反汇编，可在断点处或指定地址/函数反汇编，便于结合运行时状态分析。
• radare2：开源逆向框架，集反汇编、分析、调试于一体，支持多架构与脚本化工作流。
• Ghidra：NSA 开源的逆向工程套件，图形化界面与反汇编/反编译一体化，适合大型程序分析。
• IDA Pro：商业级逆向平台，反汇编与反编译能力强，适合专业逆向与团队协作。
• ndisasm（NASM 附带）：面向 x86/x86-64 的流式反汇编器，适合裸二进制或 shellcode。
• Capstone：多平台、多架构反汇编框架，适合二次开发与工具集成（Python/C API 等）。

二 快速上手示例

• objdump

  • 安装：sudo apt update && sudo apt install binutils
  • 基本反汇编：objdump -d /path/to/app
  • 指定段与地址范围：objdump -d -j .text --start-address=0x401000 --stop-address=0x401100 /path/to/app
  • 语法选择：objdump -d -M intel /path/to/app（Intel 语法）

• gdb

  • 安装：sudo apt install gdb
  • 启动：gdb /path/to/app
  • 反汇编函数：(gdb) disassemble function_name
  • 反汇编地址范围：(gdb) disassemble 0x401000,0x401100

• radare2

  • 安装：sudo apt install radare2
  • 启动：r2 /path/to/app
  • 常用命令：
    • 分析函数：aaa
    • 反汇编当前函数：pdf
    • 反汇编指定函数：pdf function_name
    • 反汇编指定地址：pdf @ 0x401000

• ndisasm（x86/x86-64 裸二进制）

  • 安装：sudo apt-get install nasm
  • 32 位：ndisasm -b 32 shellcode.bin
  • 64 位：ndisasm -b 64 shellcode.bin

• Capstone（Python 示例）

  • 安装：pip install capstone
  • 片段反汇编：
    • from capstone import *
    • md = Cs(CS_ARCH_X86, CS_MODE_32)
    • for i in md.disasm(b"\x55\x89\xe5\xb8\x90", 0x1000):
      • print("0x%x:\t%s\t%s" % (i.address, i.mnemonic, i.op_str))
  • 系统库开发包：sudo apt install libcapstone-dev

三 如何选择

• 需要快速命令行查看与脚本化处理：优先用 objdump；调试场景配合 gdb 更直观。
• 做逆向工程与多架构分析：选 radare2；图形化与团队协作、需要反编译时选 Ghidra；企业级深度分析可用 IDA Pro。
• 裸二进制或 shellcode：用 ndisasm；需要在自研工具中嵌入反汇编能力：用 Capstone。

四 合规与提示

• 请确保对目标二进制拥有合法授权，逆向工程涉及法律与合规风险。
• 反汇编结果会受编译器优化与调试信息影响，分析时结合符号与源码（如有）更准确。