ELF解析03 - 加载段

已于 2024-01-12 09:43:47 修改
阅读量1k 收藏 16
点赞数 20
分类专栏: ELF 文章标签: java 前端 算法
于 2024-01-12 09:38:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a5right/article/details/135544491
版权
本文详细介绍了如何在Android8及以上系统中使用mmap函数加载ELF可加载段,涉及映射地址、长度、权限和固定映射的重要性,以及如何处理不同情况下的文件大小和内存映射问题。
摘要由CSDN通过智能技术生成

本文主要讨论 mmap 函数以及如何使用 mmap 函数来加载一个 ELF 的可加载段。

01纠错

Android 8 及以后是会读取 section header 的,但不是所有的 section 都会读取。

https://cs.android.com/android/platform/superproject/main/+/main:bionic/linker/linker_phdr.cpp;l=29?q=linker_phdr&sq=&ss=android

Android 8 应该是一个分水岭,可以看到会有很多版本检查逻辑:

mmap 函数

这个函数的参数在  man7 里面有非常详细的说明,建议看看:

https://man7.org/linux/man-pages/man2/mmap.2.html

看一个例子:

#include <stdio.h>
#include <sys/mman.h>
#include <dlfcn.h>

int main()
{

    FILE *fp = fopen("/data/local/tmp/four.bin", "rb");
    void *addr = mmap((void *)0x80000000, 0x100, PROT_EXEC | PROT_WRITE | PROT_READ, MAP_PRIVATE | MAP_FIXED, fileno(fp), 0);

    fclose(fp);

    printf("%p\n", addr);

    printf("%08x\n", *(__uint8_t *)0x80000000);

    return 0;
}

需要注意的是,我们这里是脱离了Android Studio 来编写一个可执行程序,所以需要先搭建一下环境:

需要2个额外的文件来做交叉编译,试了下直接使用 aarch64-linux-gnu-gcc 编译出来的也无法执行,似乎必须得使用 ndk + cmake 来编译,不深入研究了,能跑就行。

2个额外文件的代码就不贴了,会上传到github上的 elf 文件夹里面。

https://github.com/aprz512/Android-Crack

将编译好的文件push到 /data/local/tmp/ 文件夹下,测试各个参数的作用。

第一个参数

第一个参数表示我们期望映射的地址,但是os并不一定会映射到这个地址,文档里面也说了,linux会选择一个页对齐的地址返回,如果该地址被占用了,会返回一个其他的地址。

第二个参数

第二个参数是映射的长度,这个很值得研究,需要分情况讨论。

我们以 four.bin 为例,该文件里面就只有 3 个字符串数字,大小为4个字节:

echo "123" > four.bin

当mmap传递的参数小于文件大小时,我们修改代码,将第二个参数的值改为2:

void *addr = mmap((void *)0x80000000, 0x2, PROT_EXEC | PROT_WRITE | PROT_READ, MAP_PRIVATE | MAP_FIXED, fileno(fp), 0);

尝试访问 0x80000002 处的地址,按照直觉来说,这个位置没有被分配,所以应该会出现 Segmentation fault 之类的错误。但是实际上并没有,输出结果为:

0x80000000
00000033

0x33对应的ascii就是字符“3”,这说明,它将整个文件都映射进去了,其实mmap是按照页来映射的,以 4KB 为单位。我们可以使用 IDA 验证一下,使用  getchar 卡住程序,然后调试程序:

可以看到 0x80000000 开始的位置确实是 four.bin 文件的数据。往下看直到 0x80000FFF的位置都是0值,从 0x80001000开始就不是进程空间地址了。

我们再做一个实验,将映射长度改为8KB,访问4KB+1的位置会如何呢?

0x80000000
00000033
Bus error

可以看到,访问 0x80000002 位置依然没有问题,但是访问 0x80001000 位置却出现了 Bus error。这个文档里面也说明了,出现这个错误是因为访问了超出文件映射结尾的页地址导致的。

我们看下 IDA 情况:

可以看到,后面的一页都是问号,访问这里面的虚拟地址就会出现 bus error。

第三个参数

权限标志位,没啥好说的,不如看文档。

需要注意的是,这里我们先全给 RWX,因为需要重定位,否则会报错。

第四个参数

只说一个MAP_FIXED,前面说到第一个参数的时候,我们传递了一个值给os,可是os不一定理我们。但是有些情况我们一定要os映射到指定的位置才行,比如段的加载。elf里面有 .text / .data 段,这两个段之间是有关系的,它们之间存在相互引用,如果不将这两个玩意挨着放,那么它们之间的一些相对偏移就会出问题。

所以,如何解决这个问题呢?就是传递 MAP_FIXED 标志位,它表示如果不能映射到我们指定的位置,干脆就直接失败。

加载段

好了,有了上面的基础,我们就可以自己实现 elf 的段加载了,其实就是调用 mmap 函数,将可加载段映射一下就完事。

不过需要考虑的事情有:当文件大小小于内存大小的时候,要怎么解决?

上面我们已经验证过了,如果直接映射会出 bus error。

所以,我们可以分两次映射,第二次映射一个匿名文件,是不是想到 maps 里面没名字的那一行了。

我们可以先看 linker 源码学习一下。

linker 源码

https://github.com/aosp-mirror/platform_bionic/blob/donut-release2/linker/linker.c

由于linker的核心代码变化不会太大,所以强烈建议研究老版本的源码,弄清楚了再去看新版本的。

这里有一个图:

示例代码

#include <stdio.h>
#include <sys/mman.h>
#include <dlfcn.h>
#include <stdlib.h>
#include <string.h>
#include <elf.h>

#define PAGE_SIZE (4096)
#define PAGE_MASK (PAGE_SIZE - 1)
#define BASE (0x80000000)

int main()
{

    // FILE *fp = fopen("/data/local/tmp/four.bin", "rb");
    // void *addr = mmap((void *)0x80000000, 0x2000, PROT_EXEC | PROT_WRITE | PROT_READ, MAP_PRIVATE | MAP_FIXED, fileno(fp), 0);

    // fclose(fp);

    // printf("%p\n", addr);

    // printf("%08x\n", *(__uint8_t *)0x80000002);
    // // printf("%08x\n", *(__uint8_t *)0x80001000);

    // getchar();

    size_t elf64_header = sizeof(Elf64_Ehdr);

    Elf64_Ehdr *ehdr = (Elf64_Ehdr *)malloc(elf64_header);

    FILE *fp = fopen("/data/local/tmp/ls", "rb");

    // read Elf64_Ehdr bytes
    fread(ehdr, elf64_header, 1, fp);

    printf("e_phoff: %08x\n", ehdr->e_phoff);

    size_t elf64_phdr = sizeof(Elf64_Phdr);
    int phdr_num = ehdr->e_phnum;
    printf("phdr_num: %d\n", phdr_num);

    Elf64_Phdr *phdr = (Elf64_Phdr *)malloc(elf64_phdr * phdr_num);

    fseek(fp, ehdr->e_phoff, SEEK_SET);

    fread(phdr, elf64_phdr * phdr_num, 1, fp);

    uint64_t len;
    uint64_t tmp;
    uint64_t pbase;
    uint64_t extra_len;
    uint64_t extra_base;

    for (size_t i = 0; i < phdr_num; i++)
    {

        // printf("p_type: %d\n", phdr->p_type);
        if (phdr->p_type == PT_LOAD)
        {
            // 这里计算的是 pbase 的值
            tmp = BASE + phdr->p_vaddr & (~PAGE_MASK);
            // 看图可知,这里的文件大小加上 ( base + p_vaddr - pbase),也就是 mask off 的值
            len = phdr->p_filesz + (phdr->p_vaddr & PAGE_MASK);
            pbase = mmap(
                tmp,
                len,
                PROT_EXEC | PROT_WRITE | PROT_READ,
                MAP_PRIVATE | MAP_FIXED,
                fileno(fp),
                phdr->p_offset & (~PAGE_MASK));

            printf("mapped addr: %08x, %08x\n", pbase, len);

            tmp = (unsigned char *)(((unsigned)pbase + len + PAGE_SIZE - 1) & (~PAGE_MASK));
            if (tmp < (BASE + phdr->p_vaddr + phdr->p_memsz))
            {
                extra_len = BASE + phdr->p_vaddr + phdr->p_memsz - tmp;
                extra_base = mmap((void *)tmp, extra_len,
                                  PROT_EXEC | PROT_WRITE | PROT_READ,
                                  MAP_PRIVATE | MAP_FIXED | MAP_ANONYMOUS,
                                  -1, 0);
                printf("mapped addr: %08x, %08x\n", extra_base, extra_len);
            }
        }

        phdr++;
    }

    free(ehdr);
    free(phdr);
    fclose(fp);
    printf("mapped ok!!!");

    return 0;
}

运行结果如下:

sailfish:/data/local/tmp # ./elf                                       
e_phoff: 00000040
phdr_num: 9
mapped addr: 80000000, 0005c45c
mapped addr: 8005d000, 000047a0
mapped addr: 80062000, 00003966

二手的程序员
关注
  • 20
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
RT-Smart elf 动态加载技术 : elf 加载原理与流程
坚韧与专注
12-23 1057
RT-Smart elf 动态加载技术 系列分享: elf 加载原理与流程
ELF文件解析加载(附代码)
热门推荐
珂珂可爱多
03-20 5万+
目录:1. elf文件基本概念2. elf文件结构3. elf文件装载4. 代码实现1.elf文件基本概念elf文件是一种目标文件格式,用于定义不同类型目标文件以什么样的格式,都放了些什么东西。主要 用于linux平台。windows下是PE/COFF格式。 可执行文件、可重定位文件(.o)、共享目标文件(.so)、核心转储文件都是以elf文件格式存...
java 解析 elf 包_08-SO加载解析过程
weixin_42567046的博客
02-28 787
1 JAVA层函数调用关系本文通过分析Android4.4版本的源码,了解linker是如何加载并链接SO文件。在阅读本文之前,读者最好阅读有关ELF的文件格式,可以阅读《ELF文件结构学习》深入了解ELF的文件结构。so加载的全局流程函数关系如下图所示:Java层的函数调用关系图如下:我们从下述JAVA层中加载so函数开始作为入口点进行追踪。System.loadLibrary(“libxxx...
ELF文件的解析加载
小白变大白之路
09-11 1857
1. elf文件基本概念 elf(Executable and Linkable Format)文件是一种目标文件格式,是一种用于二进制文件、可执行文件、目标代码、共享库和核心转储格式文件。 2. elf文件结构组成 ELF文件由4部分组成,分别是ELF头(ELF header)、程序头表(Program header table)、节(Section)和节头表(Section header table)。 实际上,一个文件中不一定包含全部内容,而且它们的位置也未必如同所示这样安排,只有ELF.
elf 格式分析----函数解析
inquisiter
04-13 1426
https://github.com/elfmaster/libelfmaster 这里是个不错的解析elf的c代码。 寻找导出函数对应偏移 我感觉文字没有代码明白,看下别人怎么写的,立马明白了。 mem指向elf文件加载的地址连续空间。 typedef struct { unsigned char e_ident[EI_NIDENT]; /* Magic number and other i...
编译-链接-加载ELF文件格式解析
Wfengqiang的博客
07-31 438
摘要:对于C++的初学者,经常在程序的编译或者加载过程中遇到很多错误,类似undefined reference to ... 和 GLIBCXX_3.4.20 not found 等。这些错误都涉及到编译器、连接器、加载器的相关知识。本系列文章,将通过一个实例程序,详细介绍一个程序的编译、链接、加载的过程。为了弄清这个过程,本文会简要介绍文本代码到可执行二进制文件的大致过程,同时介绍x86...
linux 解析elf文件格式,Linux elf文件的加载过程分析-Go语言中文社区
weixin_31574891的博客
04-28 397
前言在linux shell命令行启动一个程序时,实际上新启动的进程是作为shell进程的子进程存在的。shell进程会先fork出一个子进程,此时子进程是父进程的一个拷贝,所以其代码和数据都来自于父进程,但是子进程是要执行新的程序的,所以会调用execv函数,载入新的程序,此过程中,子进程的代码,数据等都会替换成新的进程的。本文主要是对elf文件的加载过程做一个简要的分析。linux只支...
ELF解析02 - linker
a5right的博客
01-05 1024
01里面,我们看到了修改后的 ls 程序在 maps 里面的布局:在 01 里面,我们说到,r—p 这个是一个 padding ,但是实际上不是的。这个显然是对应的:这个的权限标志是r--,这个与010中两个可加载都不匹配,这是为啥呢?其实,这个是010中第二个可加载的一部分,只不过它的权限被修改了。是被下面这个修改的:这个描述的就是,在 elf 被重定位之后,将虚拟位置 5D660 且大小为 10656 字节的区域的权限改成只读的。我们算一下:且由于4kb对齐,所以。
Windows下的ELF文件解析代码C++
程序员の墨梅
03-15 5736
ELF(Executable and Linkable Format)是Unix及类Unix系统下可执行文件、共享库等二进制文件标准格式。 ELF文件结构: (1) ELF header (2) Program header table,对应于segments (3) Section header table,对应于sections (4) 被Program header table或S...
elf解析工具及源代码
10-07
本压缩包提供的"parseElf.exe"是一个用于解析ELF文件的工具,能够帮助用户深入理解ELF文件结构,并进行调试和分析。 在ELF文件中,有以下几个关键组成部分: 1. **文件头**:文件头是ELF文件的起始部分,包含有关...
ElfParser-master.zip
07-11
- **解析器**:这部分代码会读取ELF文件的头部信息,并根据结构解析出节区和。 - **数据结构**:为了表示ELF文件的各个部分,源码中可能会定义一系列的数据结构,如ELFHeader、SectionHeader、ProgramHeader等。 -...
arm-elf-tools-20030314.rar_ELF Tool_arm_arm-elf-tools_arm-elf-to
09-24
4. **arm-elf-ld**:链接器,将多个目标文件和库文件链接在一起,生成可执行的ELF文件或可加载的映像。 5. **arm-elf-objcopy**:对象文件转换工具,可以将对象文件格式转换为其他格式,如二进制或.hex。 6. **arm...
unix-elf-file-format.pdf
10-04
- 对于系统加载器来说,文件则被视为一系列物理的集合,这些由 **Program Header Table** 描述。 #### ELF 文件结构详解 - **ELF Header**:位于文件开头,包含对文件整体结构的重要描述信息,如文件类、字节...
C#的elf文件解析
01-10
nupkg格式的C#库文件,专门用来解析elf类文件的,使用的时候先加载安装这个库,怎么安装自行百度C# nupkg, 然后using包含ELFSharp.ELF.XXX的命名空间,然后就可以操作对应的函数了, 实例: var elf = ELFReader....
开发多线程程序时,需要注意那些问题
最新发布
OO_SEN的博客
08-23 562
线程安全 竞态条件(Race Condition):当多个线程同时访问和修改共享资源时,可能会出现竞态条件,导致不确定的行为。需要通过同步机制(如互斥锁、读写锁、原子操作)来保护共享资源。 死锁(Deadlock):当两个或多个线程相互等待对方释放锁时,程序会陷入死锁状态。避免死锁的一些策略包括:避免嵌套锁、确保加锁顺序一致、使用超时机制等。 活锁(Livelock):与死锁不同,活锁是指线程不断地尝试获取资源但总是失败,导致无法继续执行。避免频繁重试操作或使用退避算法可以减少活锁的发生。 优先级反转(P
Yolov8:模型部署到安卓端
m0_70694811的博客
08-21 803
下载安装jdk-8u202-windows-x64.exe,这篇文章有百度网盘资源链接,直接下载,并按照这篇文章的JDK步骤进行安装和环境变量配置。C:\Program Files\Java\jdk-1.8\bin和C:\Program Files\Java\jdk-1.8\jre\bin。比如因为我的jdk路径是C:\Program Files\Java\jdk-1.8,所以这两个相对路径就改成。参考这边文章的USB驱动设置和手机端设置。同意协议后,下载相应版本的JDK。
笔记redis
风止的博客
08-22 1096
Redis(Remote Dictionary Server)是用C语言开发的一个基于的数据库。
@Transactional中使用线程锁导致了锁失效与解决方案
liuruiaaa的博客
08-23 777
@Transactional中使用线程锁导致了锁失效与解决方案
"Linux下ELF文件动态链接加载解析(一)-Intel平台实例分析
"Intel平台下Linux中ELF文件动态链接的加载解析及实例分析(一)-加载1"这一系列文章旨在深入探讨在Intel平台下Linux中ELF文件的动态链接机制。动态链接作为一个历史悠久的软件运行机制,一直是人们关注的话题。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值