如何还原ELF文件的符号表

最新推荐文章于 2024-04-06 17:42:55 发布
最新推荐文章于 2024-04-06 17:42:55 发布
阅读量548 收藏 1
点赞数
分类专栏: chatgpt回答整理 文章标签: 服务器 linux windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cp3alai/article/details/129883700
版权

在 ELF 文件中,符号表包含了程序中定义和引用的所有符号的信息,包括函数和变量等。如果符号表被删除或损坏,可以使用 objcopy 命令来还原。

以下是还原 ELF 符号表的步骤:

首先,使用 objdump 命令查看 ELF 文件的节表,找到被删除或损坏的符号表对应的节。可以使用以下命令查询:

objdump -h <elf_file>
在命令输出的节表中查找名为 ".symtab" 和 ".strtab" 的节。".symtab" 节包含符号表的实际数据,".strtab" 节包含符号表中字符串的实际数据。

使用 objcopy 命令从 ELF 文件的备份文件中提取 ".symtab" 和 ".strtab" 节的数据,并将其添加到原始 ELF 文件中。假设备份文件为 "backup.elf",可以使用以下命令还原符号表:

objcopy --dump-section .symtab=/dev/null <elf_file>
objcopy --dump-section .strtab=/dev/null <elf_file>
objcopy --update-section .symtab=backup.elf <elf_file>
objcopy --update-section .strtab=backup.elf <elf_file>
第一条命令将 ".symtab" 节的数据导出到 /dev/null,第二条命令将 ".strtab" 节的数据导出到 /dev/null。第三条命令将备份文件中的 ".symtab" 节数据更新到原始 ELF 文件中的 ".symtab" 节,第四条命令将备份文件中的 ".strtab" 节数据更新到原始 ELF 文件中的 ".strtab" 节。

使用 objdump 命令检查还原后的 ELF 文件,查看符号表是否已经被成功还原。

objdump -t <elf_file>
如果还原成功,应该能够看到所有的符号和它们的地址等信息。

cp3alai
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ELF(五)符号表
ylcangel的专栏
01-11 9879
符号表          符号是表示每个ELF文件的一个重要部分,因为它保存了程序实现或使用的所有(全局)变量和函数。如果程序引用了一个自身代码未定义的符号,则称之为未定义的符号(例如一般程序中printf函数,就定义在c标准函数中)。此类引用必须在静态链接期间用其他目标模块或者库解决,或在加载期间通过动态链接(使用ld-linux.so)解决。nm工具可以生成程序定义和使用的所有符合列表。
ida pro恢复去符号程序的符号
NoOneGroup
01-08 3264
ida pro恢复去符号程序的符号 新博客链接 序言 第一部分说的都是废话吧,对我来说,建议用后面部分的 恢复方法 lscanf 首先获得sig,我这里用的是lscanf里的sig 下载地址 先扫描下 python lscan.py -f stripped -S amd64/sig/ amd64/sig/libc-2.13.sig 12266/3369 (364.08%) amd64/sig/li...
iOS符号表手工还原
weixin_30667301的博客
03-16 308
1、通过Xcode的Device工具导出app.crash文件 2、将.crash 和 .dSYM符号 app放在同一个目录中 3、寻找symbolicatecrash,将symbolicatecrash放在同一目录中 find /Applications/Xcode.app -name symbolicatecrash -type f cp /App...
iOS逆向学习四:符号表还原
sharon
09-15 1368
本文的部分理论支持,节选自这里:iOS符号表恢复。 前言 符号表历来是逆向工程中的“必争之地”,而iOS应用在上线前要裁去符号表,以避免被逆向分析。 这些可以通过配置xcode的编译选项来达到效果。具体操作请看这:Xcode中和symbols有关的几个设置。 Xcode显示调用堆栈中符号时,只会显示符号表中有的符号。为了我们调试过程的顺利,我们有必要把可执行文件中的符号表恢复回来。 先来看一眼无符...
恢复函数名_bindiff 符号表
最新发布
2401_84009679的博客
04-06 473
你的支持,我的动力;祝各位前程似锦,offer不断,步步高升!!!你的支持,我的动力;祝各位前程似锦,offer不断,步步高升!!!更多资料点击此处获qu!!
利用FLRIT恢复符号表---笔记
Sciurdae的博客
12-25 1185
获得一个要创建签名文件的静态库利用FLAIT为库创建一个模式文件使用sigmake处理生成的模式文件,生成一个签名文件将签名文件复制到sig中。
ELF符号表修改
11-05
符号表ELF文件中的一个重要组成部分,它记录了程序中所有函数和全局变量的信息。以下将详细阐述符号表的结构、作用以及如何进行修改。 1. **符号表的结构与作用** - **结构**:在ELF文件中,符号表由一组符号...
telfhash:ELF文件的符号哈希
05-25
telfhash是ELF文件的符号哈希,就像imphash是PE文件的导入哈希一样。 安装 要求 telfhash在生成哈希时使用TLSH。 必须在您的系统中安装TLSH才能使telfhash正常工作。 您可以从此处安装TLSH: TLSH git repo包含...
ELF文件格式分析.pdf
04-21
藤启明
ELF文件格式学习,section修复
yi_nuo_wang的专栏
05-22 5578
0x0001 小弟学习Android逆向也有一段时间,翻看大神们的帖子收获了不少,开始对ELF、so文件很感兴趣,尤其对内存dump和修复的技术很好奇,看了ThomasKing的ELF section修复的帖子更是深受启发,链接:http://www.52pojie.cn/thread-294642-1-1.html,通过帖子中给出的修复思路,再配合一篇关于ELF文件结构解析的文章让小弟完整
360加固之libjiagu.so dump修复
燕十二的BLOG
11-20 1万+
一、elfheader修复 dump出来的内存如下图所示,elf header结构有缺失 下面是正常elf头的对比图 下面是010editor对正常elf header的解析     由上图可知,dump出来的elf header除了e_phoff、e_phentsize、e_phum三个值,其它都为0。    不过这里缺失的,除了e_shoff, e_shnum, e_sh
Linux C/C++ 从内存转储中恢复64位ELF可执行文件
chen1415886044的博客
12-10 1384
ELF(Executable and Linkable Format)是一种可执行文件和可链接文件的格式,它被广泛用于类Unix系统。ELF文件格式由以下几个部分组成: 1. ELF头(ELF Header):包含了文件的基本属性和结构信息,如文件类型、入口地址、程序头表位置等。 2. 程序头表(Program Header Table):包含了文件中各个段的信息,如代码段、数据段、堆栈段等。每个段都有一个对应的程序头,其中包含了该段在文件中的位置、大小、读写权限等信息。 3. 节头表(Section
对基于VxWorks的TP-Link路由器固件符号修复代码改造
qq_42765117的博客
08-11 420
TP-Link路由器固件
逆向 - 恢复符号表
Coder
01-04 2884
获取符号表偏移前的地址 当App准备上线打生产环境的包时,编译器去掉符号表信息;所以在iOS逆向调试的时候,lldb调试中查看代码的函数调用栈时符号偏移前的地址 = 符号偏移后的地址(lldb断点地址) - ASLR偏移地址,其中 ASLR偏移地址是App启动后系统分配的内存区域的的首地址,在lldb中通过image list -o -f来获取某一进程的ASLR地址。如下图获取QQ的ASLR地址...
简单SO加密及ELF文件修复
Slipper的专栏
04-27 5525
Android(一):简单SO加密及ELF文件修复 为了对抗IDA等逆向工具对SO进行逆向,一个简单的方法就是对ELF文件信息进行修改,使IDA等工具解析出错,从而达到对抗的目的。本文所用到的资源文件都会提供下载,有什么写得不好的地方,请指正,谢谢。 一,ELF文件结构 由上图可知ELF有两种视图,当我们应用在执行的时候采用的是执行视图,看图可知,节区头部表是可选的,可选的意思就是存在与不存
iOS 符号表恢复 & 逆向支付宝
weixin_34415923的博客
08-30 252
推荐序 本文介绍了恢复符号表的技巧,并且利用该技巧实现了在 Xcode 中对目标程序下符号断点调试,该技巧可以显著地减少逆向分析时间。在文章的最后,作者以支付宝为例,展示出通过在 UIAlertView 的 show 方法处下断点,从而获得支付宝的调用栈的过程。 本文涉及的代码也开源在:https://github.com/tobefuturer/restore-symbol,欢迎 Star ...
ELF文件查看利器之objdump用法
热门推荐
Roland_Sun的专栏
07-03 2万+
objdump,用来查看编译后目标文件的组成结构和具体内容,
linux静态库 动态库 去符号 符号恢复
BadRer的博客
04-17 5361
前言 最近遇到了一题去除符号的题目,需要进行符号修复。为此学习了一波,顺便补了补其它的一下知识。 准备知识 命名方式: 动态库libxxx.so.major.minor .so .dll 静态库:libxxx.a .a .lib 生成动态库 gcc -shared -o libxxx.so.1.0 hello.o 生成静态库 ar cqs l...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值