- Linux ELF格式解析
https://en.wikipedia.org/wiki/Executable_and_Linkable_Format
readelf -h (headers) readelf -l (segments program headers) readelf -S (sections) readelf -s (symbols)
一个ELF的文件结构如下
如何定位一个函数在ELF文件中偏移位置。
1)使用readelf -s [elffilename] 确定函数对应的symbol在挂载的地址,以及二进制代码的大小。
add对应的函数对应的VIRTADDR(虚拟地址)是400504(如果在C代码中打印add函数的函数指针也是这个值), 大小是15.
使用objdump -S [elffilename]获得信息也可验证这个信息的正确性。
2)根据函数对应的虚拟地址,找到对应的Section(使用readelf -S [elffilename]),然后确定函数起始地址数据在elf文件中偏移。
我们发现400504这个地址落在了.text Section中,这个Section 在文件中的偏移位置是0x420.
那么0x400504这个地址在文件中便宜位置就是0x504了。使用hexdump这个工具可验证这个结论的正确性(文件中add函数的源码内容跟objdump输出的一模一样)。
3)目前做了一个小工具用于寻找函数机器码在ELF文件中偏移以及大小, 项目地址:https://git.oschina.net/simaowei/hookelf.git
如何在Linux ELF格式的文件(可执行binary,以及so文件)中定位到对应的函数位置
最新推荐文章于 2024-02-15 15:22:10 发布