《浅析pc机上如何将vmlinuz- 2.6.31-14-generic解压出vmlinux》

最新推荐文章于 2023-01-12 11:52:00 发布
最新推荐文章于 2023-01-12 11:52:00 发布
阅读量1.1k 收藏
点赞数
分类专栏: Linux kernel 相关 文章标签: c vim file output unix linux

浅析pc机上如何将vmlinuz-2.6.31-14-generic解压出vmlinux

luther@gliethttp:~$ vim /boot/grub/grub.cfg
可以看到我们进入的系统的内核为
linux    /boot/vmlinuz-2.6.31-14-generic

查找1F 8B 08这是gzip的标志头
我找到的内容为
0000 366C: 1F 8B 08 00 8C 80 D8 4A  02 03 EC 3A 7F 74 53 55
0x0000366c等于13932
luther@gliethttp:~$ dd bs=1 skip=13932 if=/boot/vmlinuz-2.6.31-14-generic of=vmlinux.gz
luther@gliethttp:~$ file vmlinux.gz
vmlinux.gz: gzip compressed data, from Unix, last modified: Fri Oct 16 22:17:48 2009, max compression
luther@gliethttp:~$ gunzip vmlinux.gz
luther@gliethttp:~$ ll vmlinux
-rw-r--r-- 1 luther luther 7.9M 2010-05-16 12:06 vmlinux

luther@gliethttp:~$ vim linux-2.6.33.4/arch/x86/kernel/vmlinux_32.lds.S
// vim arch/x86/configs/i386_defconfig 我们获取的参数[luther.gliethttp]
// CONFIG_PAGE_OFFSET=0xC0000000
// CONFIG_PHYSICAL_START=0x100000
// #define __PAGE_OFFSET        _AC(CONFIG_PAGE_OFFSET, UL)

#define LOAD_OFFSET __PAGE_OFFSET 其值为0xC0000000
/* Physical address where kernel should be loaded. */
#define LOAD_PHYSICAL_ADDR ((CONFIG_PHYSICAL_START /
                + (CONFIG_PHYSICAL_ALIGN - 1)) /
                & ~(CONFIG_PHYSICAL_ALIGN - 1))
SECTIONS
{
  . = LOAD_OFFSET + LOAD_PHYSICAL_ADDR; // 0xC0000000 + 0x100000 = 0xc0100000是最终的地址
  phys_startup_32 = startup_32 - LOAD_OFFSET;


luther@gliethttp:~$ objdump -DS vmlinux |more
vmlinux:     file format elf32-i386


Disassembly of section .text.head:

c0100000 <.text.head>:
c0100000:    f6 86 11 02 00 00 40     testb  $0x40,0x211(%esi)
c0100007:    75 14                    jne    0xc010001d
c0100009:    0f 01 15 22 8e 74 00     lgdtl  0x748e22
c0100010:    b8 18 00 00 00           mov    $0x18,%eax
c0100015:    8e d8                    mov    %eax,%ds
c0100017:    8e c0                    mov    %eax,%es
c0100019:    8e e0                    mov    %eax,%fs
c010001b:    8e e8                    mov    %eax,%gs
c010001d:    fc                       cld   
c010001e:    31 c0                    xor    %eax,%eax
c0100020:    bf 00 a0 81 00           mov    $0x81a000,%edi

luther@gliethttp:~$ vbindiff vmlinux
0000 1000: F6 86 11 02 00 00 40 75  14 0F 01 15 22 8E 74 00  ......@u ....".t.  
0000 1010: B8 18 00 00 00 8E D8 8E  C0 8E E0 8E E8 FC 31 C0  ........ ......1.  
0000 1020: BF 00 A0 81 00 B9 A0 80  8A 00 29 F9 C1 E9 02 F3  ........ ..).....  
0000 1030: AB BF C0 56 7C 00 B9 00  04 00 00 FC F3 A5 8B 35  ...V|... .......5  
0000 1040: E8 58 7C 00 21 F6 74 0C  BF E0 2A 7C 00 B9 00 02  .X|.!.t. ..*|....  
0000 1050: 00 00 F3 A5 66 81 3D C6  58 7C 00 07 02 72 1C A1  ....f.=. X|...r..
0000 1060: FC 58 7C 00 3D 03 00 00  00 73 0E 8B 04 85 80 22  .X|.=... .s....."  
0000 1070: 7C 00 2D 00 00 00 C0 FF  E0 0F 0B BF 00 90 8A 00  |.-..... ........  
0000 1080: BA 00 A0 81 00 B8 03 00  00 00 8D 4F 67 89 0A 89  ........ ...Og...  
0000 1090: 8A 00 0C 00 00 83 C2 04  B9 00 04 00 00 AB 05 00  ........ ........  
0000 10A0: 10 00 00 E2 F8 BD 03 90  A4 00 39 E8 72 DC 81 C7  ........ ..9.r...  
0000 10B0: 00 00 00 C0 89 3D 80 A5  74 00 C1 E8 0C A3 84 F0  .....=.. t.......  
0000 10C0: 81 00 B8 67 B0 81 00 A3  FC AF 81 00 E9 6D 6B 46  ...g.... .....mkF  

而vmlinux的前0x1000字节为ELF标志头数据,真正的有效kernel数据从0x1000开始
luther@gliethttp:~$ vim linux-2.6.33.4/arch/x86/boot/compressed/vmlinux_32.lds
OUTPUT_FORMAT("elf32-i386", "elf32-i386", "elf32-i386")
OUTPUT_ARCH(i386)
ENTRY(startup_32)
SECTIONS
{
    /* Be careful parts of head_32.S assume startup_32 is at
     * address 0.
     */
    . = 0;
    .text.head : {
        _head = . ;
        *(.text.head) // 文件头信息
        _ehead = . ;
    }
    .rodata.compressed : {
        *(.rodata.compressed)
    }
    .text :    {
        _text = .;     /* Text */ // 从0x1000开始的kernel有效执行code机器码
        *(.text)
        *(.text.*)
        _etext = . ;
    }
    ......
}
让我们实际演练演练,我们读取释放到内存中的kernel代码
luther@gliethttp:~$ cat /proc/iomem |grep code
  00100000-00575553 : Kernel code

0x00100000等于1048576
0x00575553等于5723475

luther@gliethttp:~$ sudo dd bs=1 skip=1048576 count=208 if=/dev/mem 2>/dev/null | xxd -g 1
0000000: f6 86 11 02 00 00 40 75 14 0f 01 15 22 8e 74 00  ......@u....".t.
0000010: b8 18 00 00 00 8e d8 8e c0 8e e0 8e e8 fc 31 c0  ..............1.
0000020: bf 00 a0 81 00 b9 a0 80 8a 00 29 f9 c1 e9 02 f3  ..........).....
0000030: ab bf c0 56 7c 00 b9 00 04 00 00 fc f3 a5 8b 35  ...V|..........5
0000040: e8 58 7c 00 21 f6 74 0c bf e0 2a 7c 00 b9 00 02  .X|.!.t...*|....
0000050: 00 00 f3 a5 66 81 3d c6 58 7c 00 07 02 72 1c a1  ....f.=.X|...r..
0000060: fc 58 7c 00 3d 03 00 00 00 73 0e 8b 04 85 80 22  .X|.=....s....."
0000070: 7c 00 2d 00 00 00 c0 ff e0 0f 0b bf 00 90 8a 00  |.-.............
0000080: ba 00 a0 81 00 b8 03 00 00 00 8d 4f 67 89 0a 89  ...........Og...
0000090: 8a 00 0c 00 00 83 c2 04 b9 00 04 00 00 ab 05 00  ................
00000a0: 10 00 00 e2 f8 bd 03 90 a4 00 39 e8 72 dc 81 c7  ..........9.r...
00000b0: 00 00 00 c0 89 3d 80 a5 74 00 c1 e8 0c a3 84 f0  .....=..t.......
00000c0: 81 00 b8 67 b0 81 00 a3 fc af 81 00 e9 6d 6b 46  ...g.........mkF

lcw_202
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vmlinux-to-elf:通过提取内核符号表(kallsyms)从原始内核中恢复可完全分析的.ELF的工具
03-21
vmlinux-to-elf 该工具允许从vmlinux / vmlinuz / bzImage / zImage内核映像(原始二进制Blob或已存在但已剥离的.ELF文件)中获取具有可恢复功能和可变符号的完全可分析的.ELF文件。 为此,它将在内核中扫描内核符号表( ),这是几乎每个内核中都存在的压缩符号表,大多数情况下未。 因为相关的符号表最初是压缩的,所以它应该恢复原始二进制文件中不可见的字符串。 它会生成一个.ELF文件,您可以使用IDA Pro和Ghidra对其进行分析。因此,该工具对于嵌入式系统的逆向工程很有用。 用法: ./vmlinux-to-elf < input_kernel.bin > < output> 全系统安装: sudo apt install python3-pip sudo pip3 install --upgrade lz4
M1-Linux-SSH:具有SSH界面的Apple M1 Linux VM
04-14
M1-Linux-SSH 具有SSH界面的Apple M1 Linux VM 用法 主持人 下载Linux ARM发行版,例如focal-desktop-arm64.iso 按照以下步骤提取vmlinuz和initrd: sudo mkdir /Volumes/Ubuntu sudo hdiutil attach -nomount /path/to/your/downloaded.iso sudo mount -t cd9660 /dev/diskX /Volumes/Ubuntu (X是步骤2中的FDisk_partition_scheme open /Volumes/Ubuntu/casper 将vmlinuz和initrd复制到您自己的文件夹中 将vmlinuz重命名为vmlinuz.gz并取消存档 构建并调用服务传递路径到iso和提取的vmlinuz和initrd文件
解压vmlinux+linux如何进入内核+部分内联汇编+std缓冲区和fflush
weixin_45574485的博客
03-01 412
vmlinuz解压vmlinux并还原符号 测试用的是ubuntu 16.04的vmlinuz 1.将vmlinuz解压vmlinux dd if=/boot/vmlinuz-4.10.0-28-generic skip=`grep -a -b -o -m 1 -e $'\x1f\x8b\x08' /boot/vmlinuz-4.10.0-28-generic | cut -d: -f 1` bs=1 | zcat > /tmp/vmlinux # dd 读取vmlinuz的内容 # skip跳到
kernel:解压vmlinuz解压initrd[initramfs]
maze的专栏
05-13 2085
有时就算只得到一个Linux kernel的rpm包或者直接是编译后的vmlinuz和initrd的binary文件,也需要了解其中的一些细节,可能需要去查找这些binary有没有将我想要的patch编译进去。所以,就有了解压vmlinuz和initrd的需求,记录一下其方法吧。 1. 解压vmlinuzvmlinuz是采用 gzip 压缩的,但它不仅是一个压缩文件,而且在这两个文件的开头...
vmlinuz文件解压方法
rayylee
10-23 1535
[root@centos boot]# od -t x1 -A d vmlinuz | grep “1f 8b 08” 0013408 ff e0 1f 8b 08 00 ea 80 b9 52 02 03 ec 5b 7f 74 [root@centos boot]# dd if=vmlinuz bs=1 skip=0013410 | zcat > vmlinux gzip: stdin: decompression OK, trailing garbage ignored 记录了9195934+0
vmlinuz 文件解压缩(zImage|bzImage)
小单的博客专栏
10-17 3384
先简单说明下 vmlinuxvmlinuz 的关系 vmlinux是一个包含linux kernel的静态链接的可执行文件,文件类型是linux接受的可执行文件格式之一(ELF、COFF或a.out)。 vmlinuz是可引导的,压缩的linux内核,“vm”代表的“virtual memory”。vmlinuzvmlinux经过gzip和objcopy(*)制作来的压缩文件。vmlinuz不仅是一个压缩文件,而且在文件的开头部分内嵌有gzip解压缩代码。所以你不能用gunzip 或 gzip –
Linux 内核初始化过程
LIJIWEI0611的博客
07-23 1215
123
麒麟操作系统iso文件中的img文件的解压与压缩
fish332的博客
01-12 3524
麒麟操作系统iso文件中的img文件的解压与压缩
rootfs.ubuntu-base-12.04.5-core-amd64.vmlinuz-3.2.0-126-virtual-upstart.tgz
03-17
基于ubuntu 12.04.5的 jeos,最小的完整ubuntu系统。 直接解压tar包到ext3、ext4分区,添加grub4dos或grub2引导即可。 注意:可能需要修改解压后的/etc/fstab!
tinycore-kernel:TinyCore Linux内核和模块编译脚本。 在此处下载预构建的内核和模块:https:bintray.comon-premtinycore-kernelslinux
02-13
kernel-build 内核将被命名为vmlinuz64构建默认模块扩展默认模块扩展为all, base, filesystems, ipv6, mtd, netfilter, raid-dm, scsi, net-bridging 。 all扩展将包含所有模块。 base扩展将包含OS core.gz/corepure
my-minimal-linux:仅具有vmlinuz和initramfs的可运行linux(rootfs嵌入initramfs中)
04-03
我的最小Linux 仅具有vmlinuz和initramfs的可运行linux(rootfs嵌入initramfs中)如何克隆此存储库git clone --recurse-submodules https://github.com/NobodyXu/my-minimal-linux
vmlinuz还原成vmlinux
mounter625的专栏
02-26 1738
vmlinuz还原成vmlinux   1. od -A d -t x1 vmlinuz > temp   2. vi temp, 找到‘1f 8b 08 00'   3. 将此行最前面的数字加上,从第一个xx到1f的个数,得到一个值为START_CUR   4. dd if=vmlinuz bs=1 skip= START_CUR | zcat > vmlinux
1.实验:删除CentOS6下/boot/vmlinuz文件修复之
Soul_2016的博客
03-10 510
实验:删除centos6下/boot/vmlinuz文件修复之◼️开机现象第一步:备份vmlinuz-2.6.32-754.el6.x86_64(防止实验失败)第二步:删除vmlinuz文件第三步:挂载centos6光盘,进入救援模式第四步: df查看硬盘信息,光驱没挂载第五步:临时挂载第六步:把文件拷贝到/mnt/sysimage/boot下第七步:执行exit命令,退到如下界面,接着选择reboot Reboot这项重启系统第八步:进入/boot目录下可以看到新生成的vmlinuz-2.6.32-75
linuxvmlinuzvmlinux转换
chengziwang的博客
12-27 1535
1.vmlinuxvmlinuz的区别 vmlinux:是内核编译来的原始的内核文件未经压缩的。是ELF格式的,但是我们一般不用。 vmlinuz:是可引导的、压缩的内核。 2.vmlinuzvmlinux转换方法 (1)执行命令od -t x1 -A d vmlinuz-4.15.0-128-generic |grep "1f 8b 08 00"找到“1f 8b 08 00”这个数字,输结果如下: (2)执行命令dd if=vmlinuz-4.15.0-128-generic bs=1 ski
[更新问题]无法在安装新的版本前,为“./boot/vmlinuz-2.6.24-19-generic”做一个符号链接备份...
depravedAngel1833的专栏
07-17 361
关于更新中现的问题:我在升级的时候,现一个问题:E: /var/cache/apt/archives/linux-image-2.6.24-19-generic_2.6.24-19.43_i386.deb: 无法在安装新的版本前,为“./boot/vmlinuz-2.6.24-19-generic”做一个符号链接备份solution:终端输入命令: sudo rm -fv /boot/init...
错误:/boot/vmlinuz-5.2.18-generic has invalid signature
HERO_CJN的博客
08-08 3873
使用自己编译的内核现如下问题: 错误:/boot/vmlinuz-5.2.18-generic has invalid signature error: you need to load the kernel first 解决办法: 进入 BIOS,关闭 Secure Boot
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 8673
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)
北豼不太皮的博客
02-21 3054
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)一、学习目标二、了解单片机STM32F401RET6三、C语言基础 一、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据类型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常见的数据类型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
vm虚拟机无人值守安装linux
最新发布
08-30
VM虚拟机的无人值守安装Linux是通过制作无人值守iso镜像来实现的。首先,需要在live-server版本的Ubuntu系统上手动安装好虚拟机。然后,在已安装好的虚拟机上安装VM虚拟机的tool,这个工具可以帮助开启共享文件夹。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值