ELF文件头读取修改

最新推荐文章于 2022-11-28 09:35:09 发布
最新推荐文章于 2022-11-28 09:35:09 发布
阅读量9.1k 收藏 4
点赞数
文章标签: linker header c 汇编 table object

ELF = Executable and Linkable Format,可执行连接格式,是UNIX系统实验室(USL)作为应用程序二进制接口(Application Binary Interface,ABI)而开发和发布的。扩展名为elf。

ELF 文件有三种类型:可重定位文件:也就是通常称的目标文件,后缀为.o。共享文件:也就是通常称的库文件,后缀为.so。可执行文件:本文主要讨论的文件格式,总的来说,可执行文件的格式与上述两种文件的格式之间的区别主要在于观察的角度不同:一种称为连接视图(Linking View),一种称为执行视图(Execution View)。
一个典型的ELF文件有两种描述视图:program header和section header.
program header:是对程序运行时所使用的段的描述.
section header: 是对所有二进制段的描述.
每一个ELF文件是由一个ELF 文件头(ELF header)和其余的文件数据构成.这些文件数据包括一下一些内容:
·Program header table 描述0个或是多个段(segments)
·Section header table, 描述0个或是多个节(sections)
·要写到上面两个表中的数据.
段(segments)包含的是程序运行是必要的信息
节(sections)包含的是链接和重定向时所需要的重要数据
同一时间整个文件中的每个beyt不会属于一个以上的段,但是也可以存在不属于任何段的字节.

linux下ELF文件分析工具:
readelfis: 是一个unix下的二进制工具,用来显示一个或多个ELF文件的信息. 
elfdump: 是一个Solaris命令,用来查看单个ELF文件的信息.
objdump:     可以查看ELF文件或是其它对象格式的更多信息.


关键词:Dynamic binding/ld.so/mdb/link map/Solaris

1. 基本概念

Link-Editor - 链接器:即ld(1),输入一个或多个输入文件(*.o/*.so/*.a),经过连接和解释数据,输出一个目标文件(*.o/*.so/*.a/可执行 文件)。ld通常作为编译环境的一部分来执行。

Runtime Linker - 动态链接器: 即ld.so.1(1), 在运行时刻处理动态的可执行程序和共享库,把可执行程序和共享库绑定在一起创建一个可执行的进程。

Shared objects - 共享对象: 也叫共享库,是动态链接系统的基础。共享对象类似与动态可执行文件,但共享对象没有被指定虚拟内存地址。 共享对象可以在系统中多个应用程序共同使用和共享。

Dynamic executables - 动态可执行文件:通常依赖于一个或者多个共享对象。 为了产生一个可以执行的进程,一个或者多个共享对象必须绑定在动态可执行文件上。

runtime linker主要负责以下几方面工作:


1.分析可执行文件中包含的动态信息部分(对ELF文件来说就是.dynamic section)来决定该文件运行所需的依赖库;2.定位和装载这些依赖库,分析这些依赖库所包含的动态信息部分,来决定是否需装载要任何附加的依赖库;3.对动态库进行必要的重定位,在进程的执行期间绑定这些对象;4.调用这些依赖库提供的初始化函数(ELF文件来说就是.init section,而且顺序是先执行依赖库的,再执行可执行文件的);5.把控制权转交给应用程序;6.在应用程序执行期间,能被再调用,来执行延后的函数绑定(即动态解析);7.在应用程序调用dlopen(3C)打开动态库和用dlsym(3C)绑定这些库的符号时,也要被调用;

2. 测试与验证


写一个最简的测试程序test.c:

#include <stdio.h>int main(int agrc, char *argv[]){     printf (\"hello world\\n\");     return 0;}

编译和链接后产生ELF文件:

# cc test.c -o test# file testtest:        ELF 32-bit LSB executable 80386 Version 1, dynamically linked, not stripped

用mdb反汇编main函数:

# mdb test> main::dismain:                  pushl  %ebpmain+1:                 movl  %esp,%ebpmain+3:                 subl  $0x10,%espmain+6:                 movl  %ebx,-0x8(%ebp)main+9:                 movl  %esi,-0xc(%ebp)main+0xc:                movl  %edi,-0x10(%ebp)main+0xf:                pushl  $0x80506ecmain+0x14:               call  -0x148  <LT:printf>main+0x19:               addl  $0x4,%espmain+0x1c:               movl  $0x0,-0x4(%ebp)main+0x23:               jmp   +0x5    <main+0x28>main+0x28:               movl  -0x4(%ebp),%eaxmain+0x2b:               movl  -0x8(%ebp),%ebxmain+0x2e:               movl  -0xc(%ebp),%esimain+0x31:               movl  -0x10(%ebp),%edimain+0x34:               leavemain+0x35:               ret

可以看到,main+0x14处调用了函数printf,调用前把传递的字符串参数压入栈:

> 0x80506ec/s0x80506ec:    hello world

“hello world”在ELF文件的.rodata1 section,处于test的代码段:

# /usr/ccs/bin/elfdump -c -N .rodata1 testSection Header[13]:  sh_name: .rodata1  sh_addr:    0x80506ec     sh_flags:  [ SHF_ALLOC ]  sh_size:    0xd         sh_type:   [ SHT_PROGBITS ]  sh_offset:   0x6ec        sh_entsize: 0  sh_link:    0          sh_info:   0  sh_addralign: 0x4

用mdb在main+0x14处设置断点,然后运行程序:

> main+0x14:b> :rmdb: stop at main+0x14mdb: target stopped at:main+0x14:    call  -0x148  <LT:printf>
程序在调用printf之前停止,我们计算一下printf的地址:

> main+0x14-0x148=X          8050544

验证一下,地址0x8050544是否正确:

# /usr/ccs/bin/elfdump -s -N .symtab test | grep printf    [38]  0x08050544 0x00000000  FUNC GLOB  D   0 UNDEF     printf# /usr/ccs/bin/elfdump -s -N .dynsym test | grep printf    [1]  0x08050544 0x00000000  FUNC GLOB  D   0 UNDEF     printf
在test文件的.symtab和.dynsym section都可以找到符号表中包含printf,符号表实际上是一个数组,数组元素定义如下:

typedef struct {  Elf32_Word st_name;  Elf32_Addr st_value;  Elf32_Word st_size;  unsigned char st_info;  unsigned char st_other;  Elf32_Half st_shndx;} Elf32_Sym;

printf的st_value就是0x08050544,在ELF的可执行文件中,这就是printf的虚存地址,而这恰好就是我们mdb中计算的地 址。

我们同样可以用nm(1)命令确认这一点:

# /usr/ccs/bin/nm -x test | grep printf[Index]  Value    Size   Type  Bind  Other Shndx  Name......[38]   |0x08050544|0x00000000|FUNC |GLOB |0   |UNDEF  |printf
printf的st_shndx的值是UNDEF,说明printf未在test中定义。既然程序可以链接通过,那么printf肯定存在于它依赖的共享 库中。

test依赖的共享库如下:

# ldd test     libc.so.1 =>    /lib/libc.so.1     libm.so.2 =>    /lib/libm.so.2
当一个程序有多个共享库依赖时,runtime linker是按照一定的顺序运行各个库的.init函数的,即前面提到的步骤4,查看顺序用ldd -i:

# ldd -i /usr/bin/cp     libcmdutils.so.1 =>    /lib/libcmdutils.so.1     libavl.so.1 =>  /lib/libavl.so.1     libsec.so.1 =>  /lib/libsec.so.1     libc.so.1 =>    /lib/libc.so.1     libm.so.2 =>    /lib/libm.so.2  init object=/lib/libc.so.1  init object=/lib/libavl.so.1  init object=/lib/libcmdutils.so.1  init object=/lib/libsec.so.1
test依赖的库只有libc(3LIB)和libm(3LIB),libm是数学库,因此printf一定在libc(3LIB)中。我们知道,在 libc(3LIB)库中,包含了System V, ANSI C, POSIX等多种标准的函数实现。

查看libc.so的符号表中的printf:

# /usr/ccs/bin/nm -x /usr/lib/libc.so | grep  \"|printf___FCKpd___13quot;[Index]  Value    Size   Type  Bind  Other Shndx  Name......[7653]  |0x00061f39|0x00000105|FUNC |GLOB |0   |11    |printf
libc.so中printf的st_value是0x00061f39,由于libc.so是一个共享库,因此这个地址只是printf在 libc.so中的偏移量,需要和libc.so的加载地址相加才可以得出真正的虚存地址,而这个地址才是真正的printf函数的代码入口。

libc.so中printf的st_shndx的值为11,当st_shndx是数值是,代表改函数所在的section header的索引号:

# /usr/ccs/bin/elfdump -c /usr/lib/libc.so | grep 11Section Header[11]:  sh_name: .text  sh_size:    0x110        sh_type:   [ SHT_SUNW_SIGNATURE ]
ELF文件test中的.symtab和.dynsym都包含了printf,而且st_value都相同,但是我们看到如果strip以后,nm命令没 有输出,这是因为test文件中的.symtab section被去除的原因:

# /usr/ccs/bin/strip test# /usr/ccs/bin/elfdump -s -N .symtab test | grep printf# /usr/ccs/bin/nm -x test1 | grep printf# /usr/ccs/bin/elfdump -s -N .dynsym test | grep printf    [1]  0x08050544 0x00000000  FUNC GLOB  D   0 UNDEF     printf

实际上只有.dynsym才被影射入内存,.dynsym是实现动态链接必须的信息,.symtab根本不会影射入内存。

在test创建的进程中,printf位于地址8050544,用mdb反汇编printf的代码:

> 8050544::disPLT:printf:              jmp   *0x8060714PLT:printf:              pushl  $0x18PLT:printf:              jmp   -0x4b   <0x8050504>LT:_get_exit_frame_monitor:   jmp   *0x8060718PLT:_get_exit_frame_monitor:   pushl  $0x20PLT:_get_exit_frame_monitor:   jmp   -0x5b   <0x8050504>................

可以看到,实际上,printf的代码只有3条指令,显然,这并不是真正printf的实现,而是叫做PLT的其中部分代码。


Global Offset Table - 全局偏移量表:GOT存在于可执行文件的数据段中,用于存放位置无关函数的绝对地址。GOT表中的绝对地址实际上是在运行阶段时,在位置无关函数首次被 runtime linker解析后才确定。在此之前,GOT中的初值主要是为了帮助PLT跳转到runtime linker,把控制权转交给它的动态绑定函数。

其实,.got的初值在test文件中已经定义:


# /usr/ccs/bin/elfdump -c -N .got testSection Header[14]:  sh_name: .got  sh_addr:    0x80606fc     sh_flags:  [ SHF_WRITE  SHF_ALLOC ]  sh_size:    0x20        sh_type:   [ SHT_PROGBITS ]  sh_offset:   0x6fc        sh_entsize: 0x4  sh_link:    0          sh_info:   0  sh_addralign: 0x4# /usr/ccs/bin/elfdump -G testGlobal Offset Table Section:  .got  (8 entries)ndx    addr    value   reloc          addend  symbol[00000]  080606fc  0806071c R_386_NONE      00000000[00001]  08060700  00000000 R_386_NONE      00000000[00002]  08060704  00000000 R_386_NONE      00000000[00003]  08060708  0805051a R_386_JMP_SLOT    00000000 atexit[00004]  0806070c  0805052a R_386_JMP_SLOT    00000000 __fpstart[00005]  08060710  0805053a R_386_JMP_SLOT    00000000 exit[00006]  08060714  0805054a R_386_JMP_SLOT    00000000 printf[00007]  08060718  0805055a R_386_JMP_SLOT    00000000 _get_exit_frame_monitor

可以看到,在ELF文件中的GOT共有8个表项:

   GOT[0]是保留项,被初始化为.dynamic section的起始地址。
   GOT[1]和GOT[2]初值为0,在装入内存后初始化。
   GOT[3]-GOT[7],被初始化成了对应符号的在PLT中第2条指令的地址。

GOT的结束地址也可以根据section header中的sh_size计算出来:

> 0x80606fc+20=X          806071c
而test运行到main+0x14断点处,查看GOT:


> 0x80606fc,9/naX0x80606fc:0x80606fc:    806071c0x8060700:    d17fd9000x8060704:    d17cb2600x8060708:    d17108140x806070c:    d1701e510x8060710:    805053a0x8060714:    805054a0x8060718:    805055a0x806071c:    1

可以看到,GOT的内容和ELF文件定义的初始值相比,有了一些变化:

> 0x80606fc,9/nap0x80606fc:0x80606fc:    0x806071c              --->未改变,.dynamic section的起始地址0x8060700:    0xd17fd900             --->改变,Rt_map首地址,也是link_map首地址0x8060704:    ld.so.1`elf_rtbndr        --->改变,Runtime linker的入口0x8060708:    libc.so.1`atexit         --->改变,已经被ld.so解析成绝对地址0x806070c:    libc.so.1`_fpstart        --->改变,已经被ld.so解析成绝对地址0x8060710:    PLT:exit              --->未改变,还未解析,指向PLT:exit的第2条指令0x8060714:    PLT:printf             --->未改变,还未解析,指向PLT:printf的第2条指令0x8060718:    PLT:_get_exit_frame_monitor  --->未改变,还未解析,指向PLT:_get_exit_frame_monitor的第2条指令0x806071c:    1


在此时,runtim linker把link map和自己的入口函数地址填入了GOT[1]和GOT[2]中,并且atexit和_fpstart已经被解析成绝对地址。这是因为每个可执行文件的实 际入口是_start例程,这个例程执行中会调用atexit和_fpstart,然后才调用main函数:


> _start::dis_start:                 pushl  $0x0_start+2:                pushl  $0x0_start+4:                movl  %esp,%ebp_start+6:                pushl  %edx_start+7:                movl  $0x806071c,%eax_start+0xc:              testl  %eax,%eax_start+0xe:              je    +0x7    <_start+0x15>_start+0x10:              call  -0x64   <LT:atexit>_start+0x15:              pushl  $0x80506cc_start+0x1a:              call  -0x6e   <LT:atexit>_start+0x1f:              leal  0x80607f4,%eax_start+0x25:              movl  (%eax),%eax_start+0x27:              testl  %eax,%eax_start+0x29:              je    +0x17   <_start+0x40>_start+0x2b:              leal  0x80607f8,%eax_start+0x31:              movl  (%eax),%eax_start+0x33:              testl  %eax,%eax_start+0x35:              je    +0xb    <_start+0x40>_start+0x37:              pushl  %eax_start+0x38:              call  -0x8c   <LT:atexit>_start+0x3d:              addl  $0x4,%esp_start+0x40:              movl  0x8(%ebp),%eax_start+0x43:              movl  0x80607d4,%edx_start+0x49:              testl  %edx,%edx_start+0x4b:              jne   +0xc    <_start+0x57>_start+0x4d:              leal  0x10(%ebp,%eax,4),%edx_start+0x51:              movl  %edx,0x80607d4_start+0x57:              andl  $0xfffffff0,%esp_start+0x5a:              pushl  %edx_start+0x5b:              leal  0xc(%ebp),%edx_start+0x5e:              movl  %edx,0x80607f0_start+0x64:              pushl  %edx_start+0x65:              pushl  %eax_start+0x66:              call  -0xaa   <LT:__fpstart>_start+0x6b:              call  +0x29   <__fsr>_start+0x70:              call  +0xd8   <_init>_start+0x75:              call  +0x9b   <main>_start+0x7a:              addl  $0xc,%esp_start+0x7d:              pushl  %eax_start+0x7e:              call  -0xb2   <LT:exit>_start+0x83:              pushl  $0x0_start+0x85:              movl  $0x1,%eax_start+0x8a:              lcall  $0x7,$0x0_start+0x91:              hlt

Procedure Linkage Table - 过程链接表:PLT存在于每个ELF可执行文件的代码段,它和可执行文件的数据段中的GOT来一起决定位置无关函数的绝对地址。首先,第一次调用位置无关 函数时,会进入相应函数的PLT入口,PLT的指令会从GOT中读出默认地址,该地址正好是PLT0的入口地址,PLT0会把控制权交给runtime linker,由runtime linker解析出该函数的绝对地址,然后将这个绝对地址存入GOT,然后,该函数将被调用。然后,当再次调用该函数时,由于GOT中已经存放了该函数入 口的绝对地址,因此PLT对应的指令会直接跳转到函数绝对地址,而不会再由runtime linker解析。

PLT的一般格式如下:

.PLT0:pushl got_plus_4
    jmp *got_plus_8
    nop; nop
    nop; nop
.PLT1:jmp *name1_in_GOT
    pushl $offset@PC
    jmp .PLT0@PC ...
.PLT2:jmp *name2_in_GOT
    push $offset
    jmp .PLT0@PC
.PLT2:jmp *name3_in_GOT
    push $offset
    jmp .PLT0@PC


可以通过elfdump来实际查看test文件验证一下:

# /usr/ccs/bin/elfdump -c -N .plt testSection Header[8]:  sh_name: .plt  sh_addr:    0x8050504     sh_flags:  [ SHF_ALLOC  SHF_EXECINSTR ]  sh_size:    0x60        sh_type:   [ SHT_PROGBITS ]  sh_offset:   0x504        sh_entsize: 0x10  sh_link:    0          sh_info:   0  sh_addralign: 0x4

这样,PLT的结束地址也可以计算出来:

> 0x8050504+0x60=X          8050564
根据.plt的起始和结束地址可以反汇编:


> 0x8050504::dis -a -n 138050504                 pushl  0x8060700         ---->pushl got_plus_4,指向Rt_map地址805050a                 jmp   *0x8060704        ---->jmp *got_plus_8,跳转到Runtime linker的入口8050510                 addb  %al,(%eax)8050512                 addb  %al,(%eax)8050514                 jmp   *0x8060708805051a                 pushl  $0x0805051f                 jmp   -0x1b   <0x8050504>8050524                 jmp   *0x806070c805052a                 pushl  $0x8805052f                 jmp   -0x2b   <0x8050504>8050534                 jmp   *0x8060710805053a                 pushl  $0x10805053f                 jmp   -0x3b   <0x8050504>8050544                 jmp   *0x8060714        ---->跳转到0x805054a,即下一条指令805054a                 pushl  $0x18805054f                 jmp   -0x4b   <0x8050504>8050554                 jmp   *0x8060718805055a                 pushl  $0x20805055f                 jmp   -0x5b   <0x8050504>8050564                 addb  %al,(%eax)

或者包含符号信息:


> 0x8050504::dis -n 130x8050504:               pushl  0x80607000x805050a:               jmp   *0x80607040x8050510:               addb  %al,(%eax)0x8050512:               addb  %al,(%eax)PLT=libc.so.1`atexit:        jmp   *0x8060708PLT=libc.so.1`atexit:        pushl  $0x0PLT=libc.so.1`atexit:        jmp   -0x1b   <0x8050504>LT=libc.so.1`_fpstart:      jmp   *0x806070cPLT=libc.so.1`_fpstart:      pushl  $0x8PLT=libc.so.1`_fpstart:      jmp   -0x2b   <0x8050504>LT:exit:                jmp   *0x8060710PLT:exit:                pushl  $0x10PLT:exit:                jmp   -0x3b   <0x8050504>PLT:printf:              jmp   *0x8060714PLT:printf:              pushl  $0x18PLT:printf:              jmp   -0x4b   <0x8050504>PLT:_get_exit_frame_monitor:   jmp   *0x8060718PLT:_get_exit_frame_monitor:   pushl  $0x20PLT:_get_exit_frame_monitor:   jmp   -0x5b   <0x8050504>0x8050564:               addb  %al,(%eax)


在main+0x14处,继续单步运行:

> :smdb: target stopped atLT:printf:    jmp   *0x8060714
查看0x8060714即printf在GOT中的内容,其实就是PLT:printf中下一条push指令:

> *0x8060714=X          805054a> *0x8060714::dis -n 1PLT:printf:              pushl  $0x18PLT:printf:              jmp   -0x4b   <0x8050504>

继续单部执行,马上就要把0x18压入栈,这个0x18就是printf在重定位表中的偏移量:


# /usr/ccs/bin/elfdump -c -N .rel.plt testSection Header[7]:  sh_name: .rel.plt  sh_addr:    0x80504dc     sh_flags:  [ SHF_ALLOC  SHF_INFO_LINK ]  sh_size:    0x28        sh_type:   [ SHT_REL ]  sh_offset:   0x4dc        sh_entsize: 0x8  sh_link:    3          sh_info:   8  sh_addralign: 0x4# /usr/ccs/bin/elfdump -d testDynamic Section:  .dynamic   index  tag          value    [0]  NEEDED        0x111         libc.so.1    [1]  INIT         0x80506b0    [2]  FINI         0x80506cc    [3]  HASH         0x80500e8    [4]  STRTAB        0x805036c    [5]  STRSZ        0x137    [6]  SYMTAB        0x80501cc    [7]  SYMENT        0x10    [8]  CHECKSUM      0x5a2b    [9]  VERNEED       0x80504a4    [10]  VERNEEDNUM     0x1    [11]  PLTRELSZ      0x28    [12]  PLTREL        0x11    [13]  JMPREL        0x80504dc  ---> 重定位表.rel.plt的基地址    [14]  REL          0x80504d4    [15]  RELSZ        0x30    [16]  RELENT        0x8    [17]  DEBUG        0    [18]  FEATURE_1      0x1          [ PARINIT ]    [19]  FLAGS        0            0    [20]  FLAGS_1       0            0    [21]  PLTGOT        0x80606fc


直接查看重定位表内容:

# /usr/ccs/bin/elfdump -r  testRelocation Section:  .rel.data     type                  offset         section      with respect to     R_386_32             0x80607f8         .rel.data    __1cG__CrunMdo_exit_code6F_v_Relocation Section:  .rel.plt     type                  offset         section      with respect to     R_386_JMP_SLOT         0x8060708         .rel.plt     atexit     R_386_JMP_SLOT         0x806070c         .rel.plt     __fpstart     R_386_JMP_SLOT         0x8060710         .rel.plt     exit     R_386_JMP_SLOT         0x8060714         .rel.plt     printf     R_386_JMP_SLOT         0x8060718         .rel.plt     _get_exit_frame_monitor

其中,printf是4项,而在32位x86平台上,重定位表的每项的长度为8字节,定义如下:

typedef struct {  Elf32_Addr r_offset;  Elf32_Word r_info;} Elf32_Rel;
因此,printf在重定位表中偏移量=(4-1)*8=24,即16进制的0x18。

用mdb查看实际内存中的重定位表:

> 0x80504dc,a/nap0x80504dc:0x80504dc:    0x80607080x80504e0:    0xf070x80504e4:    0x806070c0x80504e8:    0x10070x80504ec:    0x80607100x80504f0:    0x12070x80504f4:    0x80607140x80504f8:    0x1070x80504fc:    0x80607180x8050500:    0x1307

可以看到,printf的r_offset是0x8060714,r_info是0x107。对照前面的GOT各项的地址,可以发现,0x8060714 就是GOT[7]的地址。

> :smdb: target stopped atLT:printf:    pushl  $0x18
继续单步执行:

> :smdb: target stopped atLT:printf:    jmp   -0x4b   <0x8050504>
地址0x8050504就是PLT0的地址:

> :smdb: target stopped at:0x8050504:    pushl  0x8060700
0x8060700就是GOT[1],存储的就是Rt_map的首地址,相当于把Rt_map的首地址压栈:

> :smdb: target stopped at:0x805050a:    jmp   *0x8060704
0x8060704就是GOT[2],存储着runtime linker - ld.so的入口地址:

> :smdb: target stopped at:ld.so.1`elf_rtbndr:    pushl  %ebp
可以看到,这样控制权就由PLT这样转换到runtime linker了,显然,下面将进入runtime link editor来动态绑定了,我们查看目前栈的状态:

> <esp,10/nap0x804734c:0x804734c:    0xd17fd900 ----> Rt_map的首地址0x8047350:    0x18     ----> printf对应项重定位表中的偏移量0x8047354:    main+0x19  ----> printf返回后应跳转的地址0x8047358:    0x80506ec0x804735c:    0x80474600x8047360:    0x80473540x8047364:    0xd17fb8400x8047368:    0x80474600x804736c:    0x804738c0x8047370:    _start+0x7a0x8047374:    10x8047378:    0x80473980x804737c:    0x80473a00x8047380:    _start+0x1f0x8047384:    _fini0x8047388:    ld.so.1`atexit_fini

查看ld.so.1`elf_rtbndr函数的定义,这部分是平台相关的,我们只关心32bit x86部分的实现:

link:http://cvs.opensolaris.org/sourc ... tld/i386/boot_elf.s


  288 #if defined(lint)  289  290 extern unsigned long   elf_bndr(Rt_map *, unsigned long, caddr_t);  291  292 void  293 elf_rtbndr(Rt_map * lmp, unsigned long reloc, caddr_t pc)  294 {  295    (void) elf_bndr(lmp, reloc, pc);  296 }  297  298 #else  299    .globl   elf_bndr  300    .globl   elf_rtbndr  301    .weak   _elf_rtbndr  302    _elf_rtbndr = elf_rtbndr   / Make dbx happy  303    .type  elf_rtbndr,@function  304    .align   4  305  306 elf_rtbndr:  307    pushl   %ebp  308    movl   %esp, %ebp  309    pushl   %eax  310    pushl   %ecx  311    pushl   %edx  312    pushl   12(%ebp)      / push pc  313    pushl   8(%ebp)        / push reloc  314    pushl   4(%ebp)        / push *lmp  315    call   elf_bndr@PLT      / call the C binder code  316    addl   $12, %esp      / pop args  317    movl   %eax, 8(%ebp)      / store final destination  318    popl   %edx  319    popl   %ecx  320    popl   %eax  321    movl   %ebp, %esp  322    popl   %ebp  323    addl   $4,%esp        / pop args  324    ret           / invoke resolved function  325    .size    elf_rtbndr, .-elf_rtbndr  326 #endif

315行调用的elf_bndr是平台相关代码,函数原型如下:

  290 extern unsigned long   elf_bndr(Rt_map *, unsigned long, caddr_t);
因此在elf_rtbndr的312-314这几行,实际上是为调用elf_bndr做传递参数的准备:

  312    pushl   12(%ebp)      / push返回地址 main+0x19  313    pushl   8(%ebp)      / push重定位表的对应printf项的偏移量 0x18  314    pushl   4(%ebp)      / push Rt_map的首地址,0xd17fd900
根据32位x86的ABI,压栈顺序是从右到左,正好吻合elf_bndr的参数顺序和类型定义。

通过在elf_bndr函数调用前设置断点来验证一下:

> ld.so.1`elf_rtbndr::disld.so.1`elf_rtbndr:         pushl  %ebpld.so.1`elf_rtbndr+1:        movl  %esp,%ebpld.so.1`elf_rtbndr+3:        pushl  %eaxld.so.1`elf_rtbndr+4:        pushl  %ecxld.so.1`elf_rtbndr+5:        pushl  %edxld.so.1`elf_rtbndr+6:        pushl  0xc(%ebp)ld.so.1`elf_rtbndr+9:        pushl  0x8(%ebp)ld.so.1`elf_rtbndr+0xc:      pushl  0x4(%ebp)ld.so.1`elf_rtbndr+0xf:      call  +0x14c5d <ld.so.1`elf_bndr>ld.so.1`elf_rtbndr+0x14:      addl  $0xc,%espld.so.1`elf_rtbndr+0x17:      movl  %eax,0x8(%ebp)ld.so.1`elf_rtbndr+0x1a:      popl  %edxld.so.1`elf_rtbndr+0x1b:      popl  %ecxld.so.1`elf_rtbndr+0x1c:      popl  %eaxld.so.1`elf_rtbndr+0x1d:      movl  %ebp,%espld.so.1`elf_rtbndr+0x1f:      popl  %ebpld.so.1`elf_rtbndr+0x20:      addl  $0x4,%espld.so.1`elf_rtbndr+0x23:      ret> ld.so.1`elf_rtbndr+0xf:b> :cmdb: stop at ld.so.1`elf_rtbndr+0xfmdb: target stopped at:ld.so.1`elf_rtbndr+0xf: call  +0x14c5d <ld.so.1`elf_bndr>
下面检查ld.so.1`elf_bndr调用前栈的状况,可以看到,3个参数已经按顺序压入栈中:

> <esp,10/nap0x8047330:0x8047330:    0xd17fd9000x8047334:    0x180x8047338:    main+0x190x804733c:    30x8047340:    libc.so.1`_sse_hw0x8047344:    libc.so.1`__flt_rounds0x8047348:    0x804736c0x804734c:    0xd17fd9000x8047350:    0x180x8047354:    main+0x190x8047358:    0x80506ec0x804735c:    0x80474600x8047360:    0x80473540x8047364:    0xd17fb8400x8047368:    0x80474600x804736c:    0x804738c>
elf_rtbndr会返回我们需要的printf在libc.so中的绝对地址吗?

用mdb在ld.so.1`elf_rtbndr返回处设置断点,继续执行:


> ld.so.1`elf_rtbndr+0x14:b> :cmdb: stop at ld.so.1`elf_rtbndr+0x14mdb: target stopped at:ld.so.1`elf_rtbndr+0x14:addl  $0xc,%esp
检查一下函数返回值,它应该存在rax的寄存器中:

> <eax=X          d1741f39
显然,d1741f39就是printf的绝对地址,它处于libc.so中:

> d1741f39::dis -wlibc.so.1`printf:          pushl  %ebplibc.so.1`printf+1:         movl  %esp,%ebplibc.so.1`printf+3:         subl  $0x10,%esplibc.so.1`printf+6:         andl  $0xfffffff0,%esplibc.so.1`printf+9:         pushl  %ebxlibc.so.1`printf+0xa:        pushl  %esilibc.so.1`printf+0xb:        pushl  %edilibc.so.1`printf+0xc:        call  +0x5    <libc.so.1`printf+0x11>libc.so.1`printf+0x11:       popl  %ebxlibc.so.1`printf+0x12:       addl  $0x6d0b6,%ebxlibc.so.1`printf+0x18:       movl  0x244(%ebx),%esi

此时此刻,GOT中的printf的对应项GOT[7],即0x8060714地址处,已经被ld.so修改成printf的绝对地址:

> 0x80606fc,9/nap0x80606fc:0x80606fc:    0x806071c0x8060700:    0xd17fd9000x8060704:    ld.so.1`elf_rtbndr0x8060708:    libc.so.1`atexit0x806070c:    libc.so.1`_fpstart0x8060710:    PLT:exit0x8060714:    libc.so.1`printf0x8060718:    PLT:_get_exit_frame_monitor0x806071c:    1>
printf被成功解析后,ld.so修改了GOT[7],接着就应该把控制权转到libc的printf函数了。显然,在 ld.so.1`elf_rtbndr+0x17处的指令将会把eax寄存器中的printf的绝对函数地址存入栈中:

> ld.so.1`elf_rtbndr+0x17:b> :cmdb: stop at ld.so.1`elf_rtbndr+0x17mdb: target stopped at:ld.so.1`elf_rtbndr+0x17:movl  %eax,0x8(%ebp)
此时栈中还没有printf的地址:

> <esp,10/nap0x80473cc:0x80473cc:    30x80473d0:    libc.so.1`_sse_hw0x80473d4:    libc.so.1`__flt_rounds0x80473d8:    0x80473fc0x80473dc:    0xd17fd9000x80473e0:    0x180x80473e4:    main+0x190x80473e8:    0x80506ec0x80473ec:    0x80474f40x80473f0:    0x80473e80x80473f4:    0xd17fb8400x80473f8:    0x80474f40x80473fc:    0x80474200x8047400:    _start+0x7a0x8047404:    10x8047408:    0x804742c
单步执行后,再观察栈,会发现,printf已经存入栈:

> :smdb: target stopped at:ld.so.1`elf_rtbndr+0x1a:popl  %edx> <esp,10/nap0x80473cc:0x80473cc:    30x80473d0:    libc.so.1`_sse_hw0x80473d4:    libc.so.1`__flt_rounds0x80473d8:    0x80473fc0x80473dc:    0xd17fd9000x80473e0:    libc.so.1`printf0x80473e4:    main+0x190x80473e8:    0x80506ec0x80473ec:    0x80474f40x80473f0:    0x80473e80x80473f4:    0xd17fb8400x80473f8:    0x80474f40x80473fc:    0x80474200x8047400:    _start+0x7a0x8047404:    10x8047408:    0x804742c

在ld.so.1`elf_rtbndr返回的前一刻,printf恰好成为ld.so.1`elf_rtbndr的返回地址:

> :smdb: target stopped at:ld.so.1`elf_rtbndr+0x23:ret> <esp,10/nap0x8047350:0x8047350:    libc.so.1`printf0x8047354:    main+0x190x8047358:    0x80506ec0x804735c:    0x80474600x8047360:    0x80473540x8047364:    0xd17fb8400x8047368:    0x80474600x804736c:    0x804738c0x8047370:    _start+0x7a0x8047374:    10x8047378:    0x80473980x804737c:    0x80473a00x8047380:    _start+0x1f0x8047384:    _fini0x8047388:    ld.so.1`atexit_fini0x804738c:    0
这样,控制权就由ld.so到了我们要调用的函数 - printf:

> :smdb: target stopped at:libc.so.1`printf:     pushl  %ebp
至此,一个完整的动态绑定过程结束,此时可以再次反汇编我们的main函数:

> main::dismain:                  pushl  %ebpmain+1:                 movl  %esp,%ebpmain+3:                 subl  $0x10,%espmain+6:                 movl  %ebx,-0x8(%ebp)main+9:                 movl  %esi,-0xc(%ebp)main+0xc:                movl  %edi,-0x10(%ebp)main+0xf:                pushl  $0x80506ecmain+0x14:               call  -0x148  <PLT=libc.so.1`printf>main+0x19:               addl  $0x4,%espmain+0x1c:               movl  $0x0,-0x4(%ebp)main+0x23:               jmp   +0x5    <main+0x28>main+0x28:               movl  -0x4(%ebp),%eaxmain+0x2b:               movl  -0x8(%ebp),%ebxmain+0x2e:               movl  -0xc(%ebp),%esimain+0x31:               movl  -0x10(%ebp),%edimain+0x34:               leavemain+0x35:               ret>
可以看到,由于GOT[7]已经存储了printf的绝对地址,因此,反汇编结果发生了变化。

进程第一次调用printf的动态解析的过程如下:

  main   |   VPLT:printf的第1条指令<---GOT[7]指向的地址   |                 |   V                 |PLT:printf的第2条指令<---------+   |   VPLT:printf的第3条指令   |   VPLT0ld.so.1`elf_rtbndr   |   Vlibc.so.1`printf

如果该进程再次调用printf:

main  |  VPLT:printf的第1条指令<---GOT[7]指向的地址  |               |  V               |libc.so.1`printf<---------+


3. elf_bndr函数

elf_rtbndr在32bit x86平台的源代码的位置在:
link:http://cvs.opensolaris.org/sourc ... tld/i386/i386_elf.c

要实现动态绑定,elf_bndr应至少完成如下工作:

3.1 确定要绑定的符号

下面部分elf_bndr的代码就是根据重定位表来确定要绑定的符号:


  231    /*  232    * Use relocation entry to get symbol table entry and symbol name.  233    */  234    addr = (ulong_t)JMPREL(lmp);  235    rptr = (Rel *)(addr + reloff);  236    rsymndx = ELF_R_SYM(rptr->r_info);  237    sym = (Sym *)((ulong_t)SYMTAB(lmp) + (rsymndx * SYMENT(lmp)));  238    name = (char *)(STRTAB(lmp) + sym->st_name);  239

远有青山
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
windows中查看elf文件
05-10
查看elf文件的工具包,包含有readelf.exe,nm.exe,objdump.exe以及如果不能运行,确实libiconv-2.dll这个组件也包含在里面 除了上述命令行工具,还有一个可视化的FileViewPro
ELF文件格式分析.pdf
04-21
藤启明
读取elf文件的工具
10-18
elf文件通过objdump编译后将编译结果导入此exe即可生成cfg.csv 文件,有利于对程序的分析
链接过程概述&ELF目标文件格式
哈哈哈哈哈哈哈哈的博客
05-17 707
①可重定位目标文件(.o) 其代码和数据可和其他可重定位文件合并为可执行文件 每个.o文件由对应的.c文件生成 每个.o文件代码和数据地址都从0开始 ②可执行目标文件(Linux默认为a.out , Windows中的*.exe) 包含的代码和数据可以被直接复制到内存并被执行 代码和数据地址为虚拟地址空间中的地址 ③共享的目标文件(Linux中的*.so..
ELF文件与链接
TSZ0000的博客
06-22 1999
什么是ELF文件 ELF文件部格式 ELF在计算机科学中,是一种用于二进制文件、可执行文件、目标代码、共享库和核心转储格式文件。是UNIX系统实验室(USL)作为应用程序二进制接口(Application Binary Interface,ABI)而开发和发布的,也是Linux的主要可执行文件格式。 ELF文件种类 ELF文件组织格式 ELF文件由4部分组成...
ELF格式解读 Dynamic节
不会写代码的丝丽
05-01 2429
前言 首先抛出一个问题,假设程序A需要动态库中的函数funb,那你你怎么知道这个函数在哪个动态库中?以及我们加载器怎么知道我们是否启用延迟加载还是立即加载? 为了解决以上问题ELF推出了一个节名为.Dynamic,里面包含很多信息比如你需要的动态库,以及是否立即加载以及符号表等。在got表的第一项指像.Dynamic,并且延迟绑定那个的时候需要传入.Dynamic对象地址,因为里面包含解析函数地址的上下文。 实战 我们看看下main的例子 //main.c #include <stdio.h>
linux elf文件 破解,Linux系统编程练习 ELF文件读取修改
weixin_35802555的博客
04-30 444
ELF文件有三种类型:可重定位文件:也就是通常称的目标文件,后缀为.o。共享文件:也就是通常称的库文件,后缀为.so。可执行文件:本文主要讨论的文件格式,总的来说,可执行文件的格式与上述两种文件的格式之间的区别主要在于观察的角度不同:一种称为连接视图(LinkingView),一种称为执行视图(Execution View)。一个典型的ELF文件有两种描述视图:program header和sec...
计算机系统基础第四篇-6 elf文件的链接
AT的博客
05-16 1305
链接两步 elf文件链接分成两个步骤,第一步是符号解析,第二步是重定位。 1.1 符号解析 1.2 重定位 可重定位目标文件 linux平台下,可重定位目标文件elf文件elf由多个节构成。 3.可执行目标文件 ...
plt.plot(),plt.scatter(),plt.legend函数的用法介绍
热门推荐
qq_43186282的博客
11-24 3万+
plt.plot()函数 plt.plot(x, y, format_string, **kwargs) 参数 说明 x X轴数据,列表或数组,可选 y Y轴数据,列表或数组 format_string 控制曲线的格式字符串,可选 **kwargs 第二组或更多(x,y,format_string),可画多条曲线 format_string 由颜色字符、风格字符、标记字符组成 颜色字符 'b' 蓝色 'm' 洋红色 magenta 'g' 绿色 'y' 黄色 '
elf格式静态链接和动态链接
05-04 1019
一、程序编译/链接/加载/执行环节和工具 二、目标文件object,也就是.o文件)编译过程 预处理(CPP) --> 编译 --> 汇编 --> 得到.o文件 三、链接过程 1.将object文件和库文件(.o/.a)文件链接成可执行文件的过程 问:.o和.a库文件有什么区别? 答:由很多目标文件进行链接形成的是静态库(.a文件,各个目标之间有依赖关系),静态库也可以简单地看成是一组目标文件(.o)的集合,即很多目标文件经过压缩打包后形成的一个文件,如下图,..
读取Elf文件
02-18
经过源代码编译出来的文件,如果我们不纠结于里面细节的话,并不是太复杂,主要也就是是经过编译后的机器指令和数据。
ELF文件格式解析
云守护的专栏
06-23 6221
转自:http://zke1ev3n.me/2015/12/15/ELF%E6%96%87%E4%BB%B6%E6%A0%BC%E5%BC%8F%E8%A7%A3%E6%9E%90/ —本文基本的内容都是来源于《程序员的自我修养》,之所以摘录下来是为了方便查阅,还有一部分表格是来源于滕启明写的《ELF文件格式分析》。顺便安利一下这本书,是本程序员必读的好书,看了好几遍,每次看都有新收获。
ELF文件解析
icener的博客
01-12 4894
ELF文件解析近期进行Android的逆向,而且本人对逆向也有比较大的兴趣。自己写出好代码是一个方面,而破解别人的代码则会给人不一样的成就感。另外,Java层的Android开发是如此不安全,越来越多的公司把重要的东西写入Native层,逻辑处理均由Native层完成,而Java层只负责进行结果显示。这样便要求对Native层的so文件进行逆向解析,而so文件是linux系统下的ELF(Excuta
Linux修改ELF解决glibc兼容性问题
u014066037的博客
11-28 1170
相信有不少 Linux 用户都碰到过运行第三方(非系统自带软件源)发布的程序时的 glibc 兼容性问题,这一般是由于当前 Linux 系统上的 GNU C 库(glibc)版本比较老导致的,例如我在 CentOS 6 64 位系统上运行某第三方闭源软件时会报:1234567891011CentOS 6 自带的 glibc 还是很老的 2.12 版本,而下载的第三方程序依赖 glibc 2.17 版本,这种情况要么自己重新编译程序,要么只能升级系统的 glibc 版本。由于我使用的程序是第三方编写并且是闭源
linux srelf 加壳代码,浅谈被加壳ELF文件的DUMP修复
weixin_31232695的博客
05-12 478
前面的文章中,我已经介绍了如何调试被加壳的ELF,这里不在叙述,直接进入正题,以某加固为例,如何DUMP和修复被加壳的ELF,使其能调试加载我们先来看看被加壳ELF和Program Header首先我要让调试器停在入口点0x3860的位置开始DUMP修复之旅,我的第一次DUMP修复的方法,延续了PE的思路,结果失败了失败的原因并不是思路不对,而是细节上出现问题第一次DUMP的方法:1.废除不影...
ELF文件系列第六篇ELF文件运行视图相关结构
u011298001的博客
12-24 1576
介绍 这节首先描述程序的格式和运行程序相关的ELF文件结构,然后是程序的装载过程。程序可以算是程序结构的一个总纲,它指明了文件中各个段的位置,还包含一些用于创建内存镜像的必要内容。准备一个程序的内存镜像,可以大体上分为装载和连接两个步骤。前者把目标文件装载入内存,后者解析目标文件中的符号引用。一个已装载完成的进程空间会包含多个不同的“段(segment)”,比如代码段(text segmen...
ELF文件修改中)
weixin_45623841的博客
09-01 1196
ELF文件由4部分组成,分别是ELFELF header)、程序表(Program header table)、节(Section)和节表(Section header table)。实际上,一个文件中不一定包含全部内容,而且它们的位置也未必如同所示这样安排,只有ELF的位置是固定的,其余各部分的位置、大小等信息由ELF中的各项值来决定。 elf文件是对elf文件段的描述,是程序必须装载的。描述磁盘上可执行程序的内存布局以及如何映射到内存上,使用readelf -h命令查看elf.
c语言elf文件部表
最新发布
10-11
C语言中的ELF(Executable and Linkable Format)文件部表是用来描述ELF文件的各个段的信息的数据结构。ELF文件是一种可执行文件和可链接文件的标准格式,用于在Linux和其他Unix系统上执行和链接程序。 ELF文件部表位于ELF文件部,用于描述ELF文件的各个段(段是一组相关的数据或代码的有序集合),包括代码段、数据段、BSS段等等。每个段部表项都包含了段的一些重要信息,如起始地址、大小、访问权限等等。 段部表的作用是让操作系统或程序加载器能够正确地加载和执行ELF文件的各个段。通过读取部表,系统可以确定每个段应该被放置在内存的哪个位置,并且可以根据段的访问权限进行适当的内存保护。此外,段部表还包含其他一些元数据,如字符串表的偏移量、符号表的偏移量等,这些信息可以帮助调试器和其他工具分析和查找ELF文件的内容。 段部表是一个固定大小的数据结构,每个表项的大小是固定的,并且表项的数量也是固定的。ELF文件的第一个段部表项被保留用于描述ELF文件本身,其他表项则用于描述ELF文件中的各个段。程序员可以使用c语言中的结构体来表示段部表项,并通过读取ELF文件部来获取段部表的起始地址,从而遍历和分析整个段部表。 总之,C语言中的ELF文件部表是用来描述ELF文件的各个段的信息的数据结构,它能够帮助操作系统或程序加载器正确地加载和执行ELF文件,并提供了一些用于分析和查找ELF文件内容的元数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值