Linux二进制分析-ELF格式分析及符号重定位

最新推荐文章于 2024-07-17 10:32:31 发布
最新推荐文章于 2024-07-17 10:32:31 发布
阅读量1k 收藏 3
点赞数 1
分类专栏: 操作系统 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bunner_/article/details/114341123
版权
本文详细介绍了Linux二进制分析中的ELF文件格式,包括ELF文件类型如ET_NONE、ET_REL、ET_EXEC等,以及ELF文件结构,如段头和节头的区别、ELF文件头内容、段的类型如PT_LOAD和PT_DYNAMIC。同时,文章探讨了符号表结构和重定位过程,如重定位表和不同重定位类型如R_386_PC32和R_386_32的工作原理。通过对ELF格式的解析,帮助读者理解Linux二进制文件的内部运作机制。
摘要由CSDN通过智能技术生成

一、ELF文件类型

  • ET_NONE:未知类型。
  • ET_REL:重定位文件。通常是还未被链接到可执行程序中的一段位置独立的代码,例如linux中的.o格式的文件。
  • ET_EXEC:可执行文件。
  • ET_DYN:共享目标文件。ELF类型为dynamic,意味着该文件被标记为了一个动态的可连接的目标文件,也称为共享库,这类共享库会在程序运行时被装载并链接到程序的进程镜像中。
  • ET_CORE:核心文件,在程序崩溃或进程传递了一个SIGSEGV信号(分段违规)时,会在核心文件中记录整个进程的镜像信息。

二、ELF文件结构

6E2PX9.png
通过上图可以看到,ELF文件的开始是ELF文件头,接着是程序头表(program header table),以及节头表(section header table)。

1. 段和节的区别

段是程序执行的必要组成部分,在每一个段中,会有着代码或者数据被划分为不同的节。节头表是对这些节的位置和大小的描述,主要用于链接和调试。节头对于程序的执行来说不是必需的,没有节头表,程序仍可以正常执行,因为节头表没有对程序的内存布局进行描述,对程序内存布局的描述是程序头表的任务。节头是对程序头的补充。
如果二进制文件中缺少节头,并不意味着节不存在,只是没有办法通过节头来引用节,对于调试器或者反编译器程序来说,只是可以参考的信息变少了而已。

2. ELF文件头内容

typedef struct
{
   
	unsigned char	e_ident[EI_NIDENT];	/* Magic number and other info */
	Elf32_Half	e_type;			/* 文件类型 */
	Elf32_Half	e_machine;		/* CPU平台属性 */
	Elf32_Word	e_version;		/* ELF版本号,一般为常数1 */
	Elf32_Addr	e_entry;		/* ELF程序的入口虚拟地址,可重定位文件一般没有入口地址,为0 */
	Elf32_Off	e_phoff;		/* 程序头表在文件中的偏移 */
	Elf32_Off	e_shoff;		/* 节头表在文件中偏移 */
	Elf32_Word	e_flags;		/* ELF标志位 */
	Elf32_Half	e_ehsize;		/* ELF文件头本身的大小 */
	Elf32_Half	e_phentsize;	/* 程序头描述符的大小 */
	Elf32_Half	e_phnum;		/* 程序头描述符的数量,多少个段 */
	Elf32_Half	e_shentsize;	/* 节表描述符的大小 */
	Elf32_Half	e_shnum;		/* 节表描述符的数量,多少个节 */
	Elf32_Half	e_shstrndx;		/* 节表字符串表所在节的下标,即存储节名字符串的字符串表所在节在节表中的下标 */
} Elf32_Ehdr;

3. 段头

typedef struct
{
   
	Elf32_Word	p_type;			/* 段的类型,我们基本上只关注PT_LOAD类型的,当然还有其他类型例如DYNAMIC等 */
	Elf32_Off	p_offset;		/* 段在文件中的偏移 */
	Elf32_Addr	p_vaddr;		/* 段在进程虚拟地址空间的起始位置 */
	Elf32_Addr	p_paddr;		/* 段的物理装载地址,一般情况下与p_vaddr相同 */
	Elf32_Word	p_filesz
最低0.47元/天 解锁文章
bunner_
关注
专栏目录
Linux 二进制分析-ELF二进制格式(chapter 2.1&2.2)
犇叔的博客
12-16 878
ELF二进制分析二进制格式
Linux 二进制分析-Linux环境和工具(chapter 1)
犇叔的博客
12-01 1061
linux ELF 二进制分析
编译过程和符号重定位问题、静态和动态链接
Kay的博客
08-27 6670
编译过程和符号重定位问题:转载至:点击打开链接 对于代码的编译问题千头万绪从何说起呢,首先来说一下计算机是如何处理应用程序的,实质上应用程序是通过操作系统来应用机器指令操控硬件设施完成各种任务的,就从编译的环节开始谈起吧,众所周知,程序开发人员所写的代码实际上计算机是没有办法去认识的,那么就必须通过编译将其转换为计算机可以认识的机器指令,在有操作系统根据具体指令从硬件上分配内存处理程序段。
Linux逆向---ELF符号重定位
zekdot的博客
12-02 2413
ELF符号 符号是对某些类型的数据或者代码(全局变量、函数等)的符号引用,例如printf函数会在动态符号.dynsym中存有一个指向该函数的符号条目。 .dynsym保存了引用来自外部文件符号的全局符号,.symtab中还保存了可执行文件的本地符号,如全局变量等,.dynsym保存的符号是.symtab保存的符号的子集。 .dynsym在程序运行时会被分配并装载进内存,主要用于动态链接可执行文...
Linux 二进制分析学习手册(二)
最新发布
龙哥盟
07-17 810
在本章中,我们涵盖了有关 ELF 二进制病毒工程的“必须知道”信息。这些知识并不常见,因此本章有望作为计算机科学地下世界中这种神秘病毒艺术的独特介绍。在这一点上,您应该了解病毒感染、反调试的最常见技术,以及创建和分析 ELF 病毒所面临的挑战。这些知识在逆向工程病毒或进行恶意软件分析时非常有用。值得注意的是,可以在vxheaven.org上找到许多优秀的论文,以帮助进一步了解 Unix 病毒技术。
ELF重定位
kernweak的博客
09-18 2697
ELF重定位 首先重定位就是将符号定义和符号引用进行连接的过程。可重定位文件需要包含描述如何修改节内容的相关信息,从而使得可执行文件和共享目标文件能够保存进程的程序镜像所需要的正确信息。重定位条目就是我们上面说的相关信息。 重定位记录保存了如何对给定的符号对应代码进行补充的相关信息。重定位实际上时一种给二进制文件打补丁的机制,如果使用了动态链接器,可以使用重定位在内存中打热补丁。用于创建可执行...
符号重定位和段重定位
fantasy_ARM9的博客
01-13 452
即使在将两种重定位同意对待的链接器中,此二者仍然有一个重要区别,符号引入会包括两个参数,符号所在的段的基地址和符号在段内的偏移地址,而段就只有基地址,没有偏移量了。重定位符号解析所要求的条件有些许不同,对于重定位,需要调整的基地址的数量相当小,也就是一个输入文件中的段的个数,不过按目标文件格式的要求。一旦链接器决定了每个段的位置,它就需要相应的调整程序中存储的符号地址。调整程序中的段间引用,需要根据目标地址新的段地址进行重新计算并调整,相对地址的引用,则需要根据目标段地址以及引用者所在段的地址进行调整。
符号解析与重定位
guicaifjz的博客
06-16 522
重定位 //a.c extern int shared; int main() { int a = 100; swap(&a, &shared); } //b.c int shared = 1; void swap(int* a, int* b) { *a ^= *b ^= *a ^= *b; } 将"a.c"和"b.c"分别编译成目标文件"a.o"和"b.o"。 在完成空间和地址的分配步骤以后,链接器就进入了符号解析与重定位的步骤,这也是静态链接的核心内容,,在分析符号解析和重定
程序链接之符号解析和重定位
qq_44272681的博客
04-06 2699
一、空间与地址分配 链接器在连接过程中的工作就是把多个输入的目标文件加工合并成一个输出文件。有几种不同的方案: 按序叠加 按序叠加可以说是最简单的一个方案,就是将输入的目标文件按照次序叠加起来。 从图中可以看到,在有很多输入文件的情况下,输出文件将有很多零散的段。因为每个段都要遵循空间对齐,所以这样会占用大量空间。比如,一个段长度只有1字节,但是按照空间对齐,其在内存也要占用4096个字节。 相似段合并 为了解决按需叠加所带来的问题,引入了相似段合并这个概念,就是把相同性质的段合并到一起。.b.
Linux 二进制分析
GitChat
11-06 2466
内容简介 二进制分析属于信息安全业界逆向工程中的一种技术,通过利用可执行的机器代码(二进制)来分析应用程序的控制结构和运行方式,有助于信息安全从业人员更好地分析各种漏洞、病毒以及恶意软件,从而找到相应的解决方案。本书将带领读者探索连一些专家都未曾接触的领域,正式进入计算机黑客世界。 本书是一本剖析 Linux ELF 工作机制的图书,共分为9章,其内容涵盖了 Linux 环境和相关工具、ELF ...
链接过程中的符号重定位_C底层18/2/25
darkfaker的博客
02-25 664
前情提要 对于编译和链接的基本过程,这里只对链接过过程的符号重定位做了解释,因为个人认为在链接过程中符号重定位是最重要的一步,也是其精华所在,知道了这一步的实现过程可以解决很多问题,包括面试中可能会问到的关于extern等的方面。所以这里只有对符号重定位进行了详细的说明,如果想了解更多可以参看《程序员的自我修养》第2,3,6 章节。里面有很详细的解释。 如果对虚拟地址空间的内存分布还不够了...
程序员的自我修养 3.2 ELF文件 重定位 字符串符号
www.iqer.info
09-23 870
.rea.text(Relocation Table)重定位 链接器在处理目标文件时,必须对目标文件中某些部位进行重定位,即代码段与数据段中那些对绝对地址的引用的位置 这些重定位信息就记录在ELF文件的重定位中 如果在.text中至少有一个绝对地址的引用,那就会有.rel.text. 字符串 一种常见的方式,将变量名,段名等存放到一个,然后使用字符串在中的偏移来引用字符串 那么偏移与它...
ELF文件系列第五篇ELF文件静态结构中的重定位
u011298001的博客
12-12 2444
重定位 重定位(relocation)是把符号引用与符号定义连接在一起的过程。当程序调用一个函数时,将从当前运行的指令跳转到一个新的指令地址去执行。在编写程序的时候,只需指明所要调用的函数名(即符号引用),在重定位的过程中,函数名会与实际的函数所在地址(即符号定义)联系起来,使程序知道应该跳转到哪里去。 重定位文件必须知道如何修改其所包含的“节”的内容,在构建可执行文件或共享目标文件的时候,把...
ELF 动态链接 - so 的 重定位
weixin_30386713的博客
04-27 328
动态链接下,无论时可执行文件还是共享对象,一旦对其他共享对象有依赖,也就是所有导入的符号时,那么代码或数据中就会有对于导入符号的引用。而在编译时期这些导入符号的确切地址时未知的。只有在运行期才能确定真正确切的地址 静态编译下,这些未知的地址会被编译器一一修正。 对于动态链接来说,共享文件有两种编译方式(gcc -shared 和 gcc -fPIC -shared) 如果不使用P...
linux 重定位 符号,ELF格式文件符号分析
weixin_39738380的博客
05-15 556
1、ELF格式文件的结构和内容a)现在PC平台流行的可执行文件格式(Executable)主要是Windows下的PE(Portable Executable)和linux下的ELF(Executable Linkable Format),他们都是COFF(Common file format)的变种。b)ELF文件的存储结构和内容ELF文件包含了代码、数据,而有些更包含了符号、调试信息、行号信...
什么是符号符号解析、符号重定位
qq_43407589的博客
07-24 2892
1、什么是符号? 2、何为符号解析和符号重定位?        在链接中,将函数和变量统称为符号。函数名或变量名称为符号名。        链接过程中很关键的一部分就是符号的管理,每一个目标文件都会有一个相应的符号,这个里记录了目标文件中所用到的所有符号...
Linux重定位文件 ELF结构
jltxgcy的专栏
09-09 4380
LinuxELF文件类型分为以下几种:    1、可重定位文件,例如SimpleSection.o;    2、可执行文件,例如/bin/bash;    3、共享目标文件,例如/lib/libc.so。    再接下来的文章中,我们会使用objdump,readelf,hexdump,nm等来分析一个Linux中可重定位文件SimpleSection.o。    首先附上SimpleSecti
程序员视角解析Linux ELF二进制格式
"从程序员角度看ELF - 探讨Linux下的ELF文件格式,包括可执行文件、重定位文件和共享对象文件的详细信息,以及动态链接和运行时控制的原理。" ELF(Executable and Linking Format)是UNIX系统实验室(USL)开发的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值