快速定位ELF的PLT节和GOT节

最新推荐文章于 2023-09-02 14:15:46 发布
最新推荐文章于 2023-09-02 14:15:46 发布
阅读量979 收藏 1
点赞数 1
分类专栏: Android--文件格式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/QuiZow/article/details/72629525
版权

在修复节表过程中,我们需要准确定位到PLT和GOT这样,可以快速让反编译器快速识别节;


以下内容,都测试过Android原生的libc、linker以及自己编译的ndk程序,没有测试obj;


在ELF的非obj文件中,PLT位于.rel.plt的(文件)屁股后面,紧挨着,定位.rel.plt的屁股用段表的DT_PLTRELSZ和DT_JMPREL即可;


而GOT节需要遍历.rel.dyn;

准确表达是.rel.dyn节的所有项的r_offset中(注意这个是内存偏移),大于.dynmanic节(内存)屁股的最小值(命名为GOT_ADDR);

这个GOT_ADDR就是GOT节的内存偏移;


至于上面提到的文件和内存偏移,有个简便方法就是头个内存加载段中的所有地址,内存偏移=文件偏移;

后面的内存加载段 内存偏移 = 文件偏移  “加上”  上一个加载段的段表中的 p_align


接着是关于长度问题;

GOT节的屁股通过段定位DT_PLTGOT,往后数3个int(都是0),然后遍历到前后不一致的特征那里就是屁股;

PLT节的屁股,通过拿OEP定位.text节头往低地址数到非零,那里就是屁股,注意如果是用GCC编译成可执行文件,.text的定位要往低地址减0x0C个字节,因为那里是生成的入口函数的退出地;


QuiZow
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
代码共享与Linux动态链接:探究PLTGOT与ld-linux.so.2
白马负金羁
07-08 3989
Shared Library是现代操作系统中不可或缺的一部分,但其背后的实现机制却并不容易理解。本文将就此话题展开讨论,并试图对程序的动态链接机制一探究竟。很多现代应用都是通过动态编译链接的,当一个需要动态链接的应用被操作系统加载时,系统必须要定位,然后加载它所需要的所有动态库文件。 在Linux环境下,这项工作是由ld-linux.so.2来负责完成的,为了支持动态链接机制,还需要深入理解一下GOTPLT
【Tool】ELF 和 AXF 文件分析详解
产品线负责人
03-13 5602
ELF(Executable and Linking Format)是一个定义了目标文件内部信息如何组成和组织的文件格式。 内核会根据这些信息加载可执行文件,内核根据这些信息可以知道从文件哪里获取代码,从哪里获取初始化数据,在哪里应该加载共享库等信息。 栈的地址是向下生长,堆的地址是向上生长: 1、ELF 文件类型 ELF 文件有下面三种类型: 1)目标文件 $ gcc -c ...
ELF(四)头表
ylcangel的专栏
01-11 4316
头表 以32位为例,头表通过数组实现,每个数组项包含一个的信息。各个构成了程序头表中定义的各段的内容。 数据结构 /* Section header.  */   typedef struct {   Elf32_Word  sh_name;                   /*Section name (string tbl index) */的名称。其值不是字符串本
ELF文件中的各个
ashimida
08-25 6639
ELF区信息概述: 区名 区说明 备注 .rodata1 和rodata类似,只存放只读数据 .comment 存放编译器版本信息,如字符串 "GCC:(GNU)4.2.0" .debug 存放调试信息 .shstrtab ..
【2】ELF格式:头部+头++程序头
最新发布
zitong0705的博客
09-02 1005
系统了解ELF格式及具体细
GOT表,PLT表,代码段重定位,数据段重定位--Linux动态连接原理
yaoyaowugui的专栏
07-19 3938
转载地址:http://blog.csdn.net/lmh12506/article/details/6801630  Linux动态连接原理 注意: 以下所用的连接器是指,ld, 而加载器是指ld-linux.so; 1,  GOT表; GOT(Global Offset Table)表中每一项都是本运行模块要引用的一个全局变量或函数的地址。可以用GOT表来间接引用全局变量、函数
elf文件的GOTPLT
0pt1mus
05-06 1488
转自个人博客0pt1mus 0x00 写在开始 首先,我是从PE文件开始学习的,之后接触到了Linux下的ELF文件,在本质上来说,无论是Windows下的PE文件,还是Linux下的elf文件,他们本质上都是一个可执行文件,所运行的平台不同,它们的文件格式也有不同,但究其本质,还是会有互通的地方。 0x01 基础知识 首先,elf文件也是由众多的构成的,可以通过objdump -h查看。 下...
elf格式详解
09-05
2. **动态链接**:在动态链接过程中,动态链接器(动态链接器是ELF的一个组件,如Linux上的ld-linux.so)使用ELF文件中的重定位表和符号表来解析程序外部引用的函数和变量,并修正相应的地址。 ### C库和动态结构 ...
ELF动态解析符号过程.rar_elf_hash_动态解析_符号
09-21
符号解析有两种方式:GOT(全局偏移量表)和PLT(程序链接表)。 elf_hash算法是在动态解析过程中用于查找符号的一种方法。它是一种简单的哈希算法,用于快速定位符号表中的特定条目。elf_hash算法接收一个字符串...
【Linux0.11代码分析】09 之 ELF可执行程序02 - Section Headers解析
|~~~热爱生活、努力学习的小伙汁~~~|
05-22 687
【Linux0.11代码分析】09 之 ELF可执行程序02 - Section Headers解析
ELF PLT Hook 原理简述
Knight-ZXW的博客
12-30 2725
【无线平台】ELF PLT Hook 原理简述 简述 Android 是基于Linux的操作系统,因此在Android开发平台上,ELF是原生支持的可执行文件格式;ELF文件格式除了作为可执行文件,还可以作为共享库格式,也就是我们常见的so文件, 以及 object文件 (.o)、core dumps文件等。 GOT/PLT HOOK 是ELF 文件函数hook的一种实现机制,GOT/PLT Hook 主要用于实现替换某个SO的外部调用,它的优点是非常稳定,因此在生产环境通常使用这种实现方案。 GOT/PL
基于Android的ELF PLT/GOT符号重定向过程
beyond702的专栏
03-17 1331
原帖地址: http://bbs.pediy.com/showthread.php?p=1326515 ----------------- #引言 写这篇技术文的原因,主要有两个: - 其一是发现网上大部分描述PLT/GOT符号重定向过程的文章都是针对x86的,比如[《Redirecting functions in shared ELF libraries》](http
全局偏移表(GOT)和过程链接表(PLT)
蓝旭晨枫╮
04-07 3245
1、全局偏移量表GOTELF 格式的共享库使用 PIC 技术使代码和数据的引用与地址无关,程序可以被加载到地址空间的任意位置。              PIC 在代码中的跳转和分支指令不使用绝对地址。       PIC 在 ELF 可执行映像的数据段中建立一个存放所有全局变量指针的全局偏移量表GOT表 2、对于模块外部引用的全局变量和全
PWNTOOLS的基本使用
weixin_62675330的博客
02-11 2101
pwntools的基本使用 首先需要 from pwn import * 把 pwntools 导入进来,它同时会把一些系统库给导入进来 本地打的话 p=process('./filename'),远程的话 p=remote('192.168.1.103',10001) p.close() 关闭 发送 payload p.send(payload) 发送 payload p.sendline(payload) 发送 payload,并进行换行(末尾\n) p.sendafter(some_string,
ELFPLTGOT工作机制简介-可还原
badman250的专栏
05-03 2343
以实际的Hello World小程序为例子,作为动态库的学习材料。 开章上个图,看完明白这个图。 1.编译过程 以最简单的 Hello world为例 #include <stdio.h> int main() { printf("hello, world\n"); return 0; } ...
再探pltgot表结构
u014377094的博客
04-24 915
再探pltgot表结构 1.为什么需要pltgot表 我们为什么需要pltgot表与动态链接有关。首先一个可以运行的文件被称为可执行文件,由源代码通过预处理、编译、汇编、链接四个步骤完成。可执行文件被载入内存后,经过系统处理,形成虚拟地址空间与物理地址的映射关系。在未开pie保护的情况下,可执行文件的虚拟地址是固定的。如果源文件中定义了一个a函数,那么调用函数a时,对应的汇编代码通常是绝对地址a的调用。这种重定位是在载入内存之前的链接阶段就完成了,而我们常用的stdio.h等的库调用,调用的是运行库,是
elf文件中的.plt .rel.dyn .rel.plt .got .got.plt的关系
weixin_30819163的博客
06-21 892
.plt的作用是一个跳板,保存了某个符号在重定位表中的偏移量(用来第一次查找某个符号)和对应的.got.plt的对应的地址 .rel.dyn重定向表,在程序启动时就需要重定位完成。 .rel.plt保存了重定位表的信息,可以使用lazy的连接方式 .got据说是保存了elf文件本身的各个符号的偏移量,即不要动态链接,未证明 .got.plt保存了重定位地址。 比如printf是一个重定位...
ELF动态链接时GOTPLT原理
sy4331的博客
09-24 1570
背景 我们知道linux为了降低可执行程序体积,提高空间利用效率,经常采用动态链接方式生成动态库或者可执行程序。在动态链接时,为了避免在加载时对代码段进行重定位导致动态库代码段无法实现共享,我们采用了位置无关代码PIC技术(Position-Independent Code)。针对模块外代码,为了实现PIC技术,我们需要借助全局偏移表(GOT,Gobal Offset Table)。 全局偏移表GOT 首先写一个小的测试程序进行说明。在SendMessage.c文件中实现了一个函数SendMessag
GOT(全局偏移表)和PLT(过程链接表)
09-22 9163
全局偏移表(GOT)和过程链接表(PLT)   ELF 格式的共享库使用 PIC 技术使代码和数据的引用与地址无关,程序可以被加载到地址空间的任意位置。PIC 在代码中的跳转和分支指令不使用绝对地址。PIC 在 ELF 可执行映像的数据段中建立一个存放所有全局变量指针
elf头表和程序头表的作用
03-31
ELF(Executable and Linkable Format)文件格式是一种可执行文件和可链接文件的标准格式,它由头表和程序头表组成。 头表(Section Header Table)记录了程序中所有的(Section)的信息,包括的名称、大小...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值