常用的分析ELF文件的命令(readelf、objdump及od)

最新推荐文章于 2024-06-10 21:40:35 发布
最新推荐文章于 2024-06-10 21:40:35 发布
阅读量3.2k 收藏 7
点赞数 1
分类专栏: 调试 编译
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chengfenglee/article/details/113971510
版权

readelf:

-h:文件头
-S:段表
-s:符号表
-d: 查看依赖库
-p:查看某个段内容,非常重要。如:readelf -p .comment libc.so (通过-p对只读段的查看就可以替代strings命令)

objdump:

-d:反汇编(objdump我基本只用这一个)
-h:段表,同readelf -S,所以可以不用记
–s:代码段、数据段、只读数据段,各个段二进制
-a:看一个.a静态库文件中包含了哪些目标文件

od:

如:十六进制输出数据并且地址以十进制打印:od -A d -t xCc 文件

命令中各选项的含义:
- A 指定地址基数,包括:
d 十进制
o 八进制(系统默认值)
x 十六进制
n 不打印位移值
- t 指定数据的显示格式,主要的参数有:
c ASCII字符或反斜杠序列
d 有符号十进制数
f 浮点数
o 八进制(系统默认值为02)
u 无符号十进制数
x 十六进制数

以下为ELF文件各个表的描述,供以后复习

文件头:描述文件的基础信息以及找到段表

文件头查看:readef -h

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gxuo2g7x-1614043693693)(/images/521/b7b6815d44406f3e3953e3a76d539211.png)]

1)模数
第1个字节:DEL控制符,固定的
第2、3、4个字节:ELF三个字母
第5个字节:文件位数(0:无效、1:ELF32、2:ELF64)
第6个字节:大小端(0:无效、1:小端、2:大端)
第7个字节:ELF文件的主版本号,一般为1
后面的为预留字段。
2)文件类型:REL (Relocatable file)、DYN (Shared object file)、EXEC (Executable file)
3)Machine: Intel 80386 :硬件平台,此文件适合在哪个硬件平台下运行
4)程序入口地址
Entry point address: 0x8048310
代表程序入口的虚拟地址,只有可执行文件跟共享库有入口(共享库的入口地址有什么用呢?)
5)Start of program headers: 52 (bytes into file) : (readelf -l ), 程序表头,装载时用到,因为目标文件不需要装载,所以为0。
**6)Start of section headers: ** 2000 (bytes into file)
段表在文件中的偏移,也就是说段表从文件中的2000个字节开始的
2000是10进制,用计算器转换成16进制后就可以在那个,这个特别重要,找到段表,就代表了什么都有了
7)Size of section headers: 40 (bytes)
段表描述符的大小,猜测:会根据平台的不同,这个是固定的,因为在同一个平台下不同代码编出来的目标文件,结果是一样的
8)Number of section headers: 11
段表描述符数量,elf文件中,拥有的段的数量(所以说,一个段表描述符就是在描述一个段呗)
证明(readelf -S )
9)Size of this header: 52 (bytes)
ELF文件头本身的大小,猜测:会根据平台的不同,这个是固定的
10)Section header string table index: 8
段表字符串表所在的段在段表中的下标

总结:通过文件头找段表,之后在段表里面找到段表字符串表,段表中就能找到段表字符串标在文件中的偏移,之后就能生成整个段表。

段表:描述每个段的详细信息

段表查看:readelf –S, 如果gcc –g的话,还会有很多调试信息段

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-p12Y3m7L-1614043693694)(/images/826/987950b645ae0f6cfbfced6d4b70e302.png)]

**Name:**在段表描述符里存了一个整形,这个整形是段名在段表字符串表(.shstrtab)中的偏移。
**Type:**段的类型,如下表
**Addr:**如果可以被加载,代表了该段在虚拟内存空间的地址,否则为0,可以看出来,段表字符串表、符号表、字符串表都不会被加载的
**Off:**如果该段在文件中,则代表了在文件中的偏移
**Size:**段长
**Flags:**标志
**Lk跟Inf:**段的链接信息
**Al:**段地址对齐,代表这个段是几字节对齐的
**ES:**项的长度:如果该段的每一项的长度是固定的,那么就代表每一项的长度,如符号表的每个符号的信息长度都是0x10个字节。对于变化的就是0。符号表里存的符号名,只是符号在字符串表中的索引,符号表里不是直接存的符号。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-S9ig4Qkr-1614043693695)(/images/515/3d00218bf541656beac7c9a61399dab3.png)]

**Flags字段:**段的标志,表示该段在进程虚拟空间中的属性,可读/可写/可执行,这个标志比较重要,因为在加载的时候,会根据段的标志进行加载的,大概是只读放在一个区域,可读可写放在一个区域等

在这里插入图片描述

**Lk跟Inf:**段的链接信息,与链接、重定位相关的段,这两个信息才有意义

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hlrsG8Mw-1614043693697)(/images/108/5a7053531d8be4eaa0d0778f9274aef4.png)]

重要段:代码段、数据段、只读数据段、BSS段

代码段、数据段、只读数据段:objdump –s
代码段:程序指令,objdump -d反汇编
数据段:已经初始化了全局变量和局部静态变量
只读数据段:只读变量以及字符串常量
BSS段:存放了未初始化的全局变量和局部静态变量,通过符号表可以看出

1614043693698)(/images/899/e0f025ad7bcabae5589cc5fc9a23bb5b.png)]

字符串表:符号名等
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-aZsM6epo-1614043693698)(/images/563/a61fbef377874ddab21193a1ca298c2b.png)]

段表字符串表:段名

![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FvF1j27m-1614043693699)(/images/508/1c5b4817397f2e67558e8b29f722ec34.png)](https://img-blog.csdnimg.cn/20210223093200929.png)

注释提示段

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pAyz8lPW-1614043693699)(/images/873/18a5a11654d327bead805799337ef211.png)]

符号表: readelf -s / nm / objdump -x

**符号名:**该符号在字符串表中的下标
**符号值:**目标文件中:非COMMON类型表示该符号在所在段中的偏移,common类型表示对齐属性;可执行文件中:代表虚拟地址(动态链接器如何用它?)
**符号大小:**非0代表该符号值的数据类型的大小,0代表未知或0
符号类型和绑定信息:符号类型:数据?函数?段?文件?符号绑定信息:局部符号(外部不可见)?全局符号(外部可见)?弱引用?低4位表示符号的类型,高28位表示符号的绑定信息,看下表
**其他:**目前没用,为0
**符号所在的段:**如果非0数字,代表了是在本文件中定义的符号,并且代表了对应的段,其余含义为:UND:本目标文件未定义;ABS:绝对的值,如文件名;COMMON:COMMON块类型(未初始化的全局变量)

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-XxlP7EQb-1614043693700)(/images/922/36fbff97924e5d75b7786a9e72d68c02.png)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-B5gofwmV-1614043693700)(/images/701/6c8b82072f5ec2e4196d0d024ba9cddd.png)]

XX風
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
readelf简单介绍
u014634649的博客
05-22 639
readelf是一个在 Unix 和类 Unix 系统上用于查看 ELF(Executable and Linkable Format)文件信息的命令行工具。ELF 文件是一种常用文件格式,用于定义程序或系统所需的不同类型的文件,如可执行文件、目标文件、共享库等。readelf提供了许多选项来查看 ELF 文件的不同部分和属性,例如程序头、段头、符号表、重定位条目等。这对于理解程序的编译和链接方式、调试以及进行系统级编程非常有用。常用readelf命令选项:查看文件头(h或 -file-header。
readelf -d命令
qq_41483419的博客
10-20 501
readelf命令
Linux中的elfedit命令:深入探索ELF文件的编辑
最新发布
听风的鱼鱼儿
06-10 312
它允许用户修改ELF文件的头部信息、段(sections)以及符号表(symbol tables)等。可以用于提取ELF文件中的特定信息,如函数地址、变量位置等,这些信息对于逆向工程、漏洞分析以及系统调试等任务至关重要。的工作原理基于直接修改ELF文件的二进制内容。它使用了一组特定的命令和参数来指定要编辑的ELF文件的哪一部分。在数据处理和分析中的直接应用可能不多,但它在软件调试、逆向工程、以及特定场景下的系统维护中发挥着关键作用。二、elfedit命令的工作原理与主要特点。在数据处理和分析的间接应用中,
objdump命令解析
u014770486的专栏
12-11 3897
objdump objdump命令是Linux下的反汇编目标文件或者可执行文件命令,它以一种可阅读的格式让你更多地了解二进制文件可能带有的附加信息。   参数选项:  --archive-headers  -a  显示档案库的成员信息,类似ls -l将lib*.a的信息列出。  -b bfdname  --target=bfdname  指定目标码格式。这不是必须的,objdump能自动...
linux中readelf命令详解
wang11876的博客
07-28 1546
用于显示elf格式文件的信息。
Linux下的readelf 指令和file指令
chengyongkang的博客
07-18 746
主要介绍readelf 和file指令
linux objdump 反汇编
09-04 479
#显示文件头信息 objdump -f test #显示Section Header信息 objdump -h test #显示全部Header信息 objdump -x test #显示全部Header信息,并显示对应的十六进制文件代码 objdump -s test #输出目标文件的符号表 objdump -t obj #输出目标文件的所有段概述 objdump -h obj #反汇编test中的需要执行指令的那些section objdump -d test #反汇编test中的所有s.
objdump命令的使用
热门推荐
北落师门'的专栏
07-28 9万+
objdump命令的使用 objdump命令是Linux下的反汇编目标文件或者可执行文件命令,它还有其他作用,下面以ELF格式可执行文件test为例详细介绍: objdump -f test 显示test的文件头信息 objdump -d test 反汇编test中的需要执行指令的那些section objdump -D tes
ELF文件分析readelf的使用
07-27
ELF文件分析readelf的使用,分析得很简单易懂,透彻,清晰.
ELF工具集合_readelf_windows_elf_
10-01
总的来说,虽然Windows系统默认不支持ELF文件,但通过`nm`和`readelf`等工具,开发者可以在Windows上对ELF文件进行分析和调试,这对于跨平台开发或者处理在Linux环境下生成的二进制文件具有重要意义。熟悉这些工具的...
Understanding-ELF-using-readelf-and-objdump
04-11
ELF readelf objdump
Linux-ELF文件详解
05-21
很详细的一份针对于elf格式文件的技术文档,对于想更深层次的了解Linux的朋友们相信会有很大帮助的
windows中查看elf文件
05-10
查看elf文件的工具包,包含有readelf.exe,nm.exe,objdump.exe以及如果不能运行,确实libiconv-2.dll这个组件也包含在里面 除了上述命令行工具,还有一个可视化的FileViewPro
ELF文件格式分析.pdf
04-21
藤启明
linux命令readelf基本用法
大道之行,始于足下
08-16 576
linux命令readelf基本用法
readelf nm objdump 命令详解
耿小渣的进阶之路
08-22 4871
讲解上面三条命令之前要先了解一下ELF格式文件https://blog.csdn.net/u014608280/article/details/81983055 一、readelf  readelf命令可以查看ELF文件的详细信息。 选项 -a --all 显示全部信息,等价于 -h -l -S -s -r -d -V -A -I.  -h --file-header 显示elf文件开始...
使用Objdump进行目标文件的反汇编和文件布局的简要分析
天天爱增肥
09-25 4679
一、源代码文件如下图
实例分析objdump反汇编用法
ARM-Linux
07-06 1万+
Ubuntu版本:ubuntu-gnome-16.04-desktop-amd64,gnome版-----------------------------------------------------------------------------------objdump命令是用查看目标文件或者可执行的目标文件的构成的gcc工具。1. 准备代码hello.c#include <linux...
collect2: ld returned 1 exit status ".\day1.elf" - 1 Error(s), 0 Warning(s). Target not created.
05-31
这个错误是由于链接器 ld 在链接目标文件时出错导致的。ld 返回的 exit status 为 1,这意味着链接器出现了错误。具体错误原因可能是多种多样的,常见的原因可能是缺少必要的库文件、链接器无法找到需要链接的目标文件、链接器无法解析符号等。你需要检查编译命令中的链接器选项是否正确,是否包含了必要的库文件,以及目标文件是否存在等。如果你能提供更多的上下文信息和错误提示,我可以帮你更好地解决这个错误。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值