从elf中读取函数地址

最新推荐文章于 2023-04-07 09:08:22 发布
最新推荐文章于 2023-04-07 09:08:22 发布
阅读量3.1k 收藏 2
点赞数
分类专栏: Linux 文章标签: linux elf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/demonshir/article/details/8779404
版权

先准备一份测试代码:

#include <stdio.h>

void funcUp(void)
{
    printf("Hello world 1!\n");
    return;
}

int main(int argc, char* argv[])
{
    funcUp();
    funcDown();
    return 0;
}

int funcDown(void)
{
    printf("Hello world 2!\n");
    return 0;
}

然后编译并反汇编:

gcc -g testElf.c -o test 
objdump -S test

得到以下信息(部分):


可以看出在funcUp中调用printf时,汇编中显示的是callq  4003f0 <puts@plt>,下面就来研究一下printf在进程空间中的地址。puts@plt相当于编译器设定的中间函数,只有printf函数第一次被用到时才进行绑定(地址修正)。puts@plt对应的代码:


用调试器进行分析:

gdb test

设置断点,运行程序地址才会绑定:

(gdb) break main

Breakpoint 1 at 0x400513: file testElf.c, line 12.

(gdb) run

Starting program: /home/administrator/develop/test/elf/test 
Breakpoint 1, main (argc=1, argv=0x7fffffffdae8) at testElf.c:12
12    funcUp();

分析puts@plt,先跳到0x601018看看:

(gdb) x 0x601018

0x601018 <puts@got.plt>: 0x00000000004003f6

发现函数跳到了第二行,接着执行下去,到了第三行,查看0x4003e0代码:


执行下去,来到GOT表偏移0x10(第5项)的位置:

(gdb) x 0x601010
0x601010: 0x00007ffff7def210

(gdb)disassemble 0x00007ffff7def210
Dump of assembler code for function _dl_runtime_resolve:
   0x00007ffff7def210 <+0>: sub    $0x38,%rsp
   0x00007ffff7def214 <+4>: mov    %rax,(%rsp)
   0x00007ffff7def218 <+8>: mov    %rcx,0x8(%rsp)
   0x00007ffff7def21d <+13>: mov    %rdx,0x10(%rsp)
   0x00007ffff7def222 <+18>: mov    %rsi,0x18(%rsp)
   0x00007ffff7def227 <+23>: mov    %rdi,0x20(%rsp)
   0x00007ffff7def22c <+28>: mov    %r8,0x28(%rsp)
   0x00007ffff7def231 <+33>: mov    %r9,0x30(%rsp)
   0x00007ffff7def236 <+38>: mov    0x40(%rsp),%rsi
   0x00007ffff7def23b <+43>: mov    0x38(%rsp),%rdi
   0x00007ffff7def240 <+48>: callq  0x7ffff7de8690 <_dl_fixup>
   0x00007ffff7def245 <+53>: mov    %rax,%r11
   0x00007ffff7def248 <+56>: mov    0x30(%rsp),%r9
   0x00007ffff7def24d <+61>: mov    0x28(%rsp),%r8
   0x00007ffff7def252 <+66>: mov    0x20(%rsp),%rdi
   0x00007ffff7def257 <+71>: mov    0x18(%rsp),%rsi
   0x00007ffff7def25c <+76>: mov    0x10(%rsp),%rdx
   0x00007ffff7def261 <+81>: mov    0x8(%rsp),%rcx
   0x00007ffff7def266 <+86>: mov    (%rsp),%rax
   0x00007ffff7def26a <+90>: add    $0x48,%rsp
   0x00007ffff7def26e <+94>: jmpq   *%r11
End of assembler dump.

disassemble命令反汇编指定函数得到上面的结果。可以看出程序最后跳转到 _dl_runtime_resolve这个函数,这个函数是用来完成函数绑定工作的。

这时再看看puts@plt的第一条指令,跳到0x601018查看:

(gdb) x 0x601018
0x601018 <puts@got.plt>: loopne 0x600fd6

对比之前的内容。得出结论是,第一次执行时,通过_dl_runtime_resolve解析到函数地址,并保存puts的地址到0x601018里,以后执行时就直接调用。


参考:http://www.cnblogs.com/xingyun/archive/2011/12/10/2283149.html








KingGunFishing
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android ELF文件根据函数名查找函数位置
qq_16812035的博客
02-22 1889
一、前言 最近一段时间,工作比较空闲,准备研究下so文件上的函数加密和函数名混淆,首先从根据函数名找到对应代码开始。记得很早之前,自己写过一个ELF解析工具,到现在都忘得差不多了,趁现在这个机会,顺便复习下。本文给出两种方法来查找函数代码位置,第一种是直接遍历动态符号表,取出字符串与目标函数名比较,找到之后,根据里面的字段来得到函数代码位置。第二种是根据ELF文件的hash节来遍历动态符号表,...
elf 取路径_从elf读取函数地址 | 学步园
weixin_39891158的博客
12-20 488
废话不说,立马动手。先准备一份测试代码:#include void funcUp(void){printf("Hello world 1!\n");return;}int main(int argc, char* argv[]){funcUp();funcDown();return 0;}int funcDown(void){printf("Hello world 2!\n");return 0;...
在Linux ELF格式的文件定位到对应的函数位置
SweeNeil
11-09 5928
转自: https://blog.csdn.net/simaowebex/article/details/53691743 1、Linux ELF文件格式解析 readelf -h elfname (headers) readelf -l elfname (segments program headers) readelf -S elfname (sections) readelf ...
elf文件查询函数方法
逆风水手的博客
04-07 310
,-t 选项表示要显示 ELF 文件的符号表,grep 命令用于过滤出包含指定函数名的行。如果输出结果包含了你的函数名,那么就说明该函数已经被编译进了 ELF 文件。
linux elf起始地址,在LinuxELF的基地址
weixin_42351189的博客
05-12 1259
我试图找到ELF文件的基地址.我知道您可以使用readelf查找程序入口点和不同的部分详细信息(基址,大小,标志等).例如,x86体系结构的程序基于链接器的0x8048000.使用readelf我可以看到程序入口点,但输出没有特定字段告诉基地址.$readelf -e testELF Header:Magic: 7f 45 4c 46 01 01 01 00 00 00 00 00 00 0...
读取Elf文件
02-18
在提供的`parseElf.cpp`文件,很可能包含了自定义的代码来读取和解析Elf文件的细节。通常,这包括遍历Elf文件的各个节区,提取符号表信息,查看重定位记录,甚至可能涉及到调试信息(如DWARF格式)。 在Android...
elf.rar_elf
09-24
3. **符号表**:ELF文件的符号表用于链接过程,它记录了函数和变量的地址。这对于动态链接和调试至关重要。 现在,看看压缩包的文件: - **parport.c**:这个名字暗示这可能是一个与并行端口(Parallel Port)...
读取elf文件代码
12-06
为了读取ELF文件,我们需要打开文件并映射到内存。在C语言,可以使用`fopen()`打开文件,然后使用`mmap()`函数将文件映射到进程的虚拟地址空间。这样做的好处是可以直接通过指针访问文件内容,而无需频繁地调用`...
elf_readall.rar_elf
09-24
标题的"elf_readall.rar_elf"提示我们关注的是与ELF(Executable and Linkable Format)文件相关的程序,特别是读取整个文件的内容。ELF是一种广泛用于类UNIX系统(如Linux)的可执行文件、共享库和核心转储的文件...
elf_reader:Go库,用于读取和解析ELF文件
05-26
ELF阅读器 关于 该库用于使用Go编程语言读取ELF文件。 Go的标准库已经包含与ELF相关的功能,但是这些功能不包含一些有用的功能,这些功能可以直接显示或访问... 有关如何从ELF文件读取信息的更完整的示例,请参阅elf_vi
Linux内核ELF可执行文件的装载/load_elf_binary()函数解析
weixin_33743248的博客
08-05 319
在Linux系统运行一个可执行的ELF文件时,内核首先需要识别这个文件,然后解析并装载它以构建进程的内存空间,最后切换到新的进程来运行。 在fs/binfmt_elf.c定义了函数load_elf_binary()和load_elf_library()分别用于装载和解析ELF格式的可执行文件和动态连接库。下面来研究一下在load_elf_binary()做了哪些事情...
如何在Linux ELF格式的文件(可执行binary,以及so文件)定位到对应的函数位置
simaowebex的博客
12-16 2867
Linux ELF格式解析 https://en.wikipedia.org/wiki/Executable_and_Linkable_Format readelf -h (headers) readelf -l (segments program headers) readelf -S (sections) readelf -s (symbols) 一个ELF的文件结构如下 如何定位一个函
ELF文件解析
lin___的博客
01-25 3742
ELF文件格式 ELF (Executable and Linkable Format)是 UNIX 类操作系统普遍采用的目标文件格式, 分为三种类型: 1、可重定位文件 (Relocatable File)包含适合于与其他目标文件链接来创建可执行文件或者共享目标文件的代码和数据。 这是由汇编器汇编生成的 .o 文件。后面的链接器(link editor)拿一个或一些 Relocatabl...
linux-如何查看ELF文件包含的函数名称和参数?
weixin_40876882的博客
03-09 2344
如果查看文件的字节,我肯定会在其看到一些函数名称. 有什么工具可以帮我列出它们吗? 甚至他们的参数呢? 这应该在目标文件或库打印所有已定义的符号. nm -C --defined-only /usr/lib64/libQtCore.so nm有很多选项可用于过滤符号,例如-g仅用于显示全局符号,-l用于打印行号(如果您已使用gcc -g启用调试符号)等等. 如果您使用的是ELF格式的二进制文件(看起来像您的情况),则也可以使用readelf readelf -Ws /usr/lib64/
linux 查看函数调用,linux:如何查看函数被哪些函数调用过?
weixin_39639622的博客
05-03 1511
一、问题有个打印log的函数,想知道该函数执行的时候,之前执行了哪些函数?二、分析在应用程序打印函数栈需要通过函数backtrace(),该函数对应头文件如下:#include <execinfo.h>1、三个与打印调用栈相关的函数打印函数栈需要使用到以下3个函数int backtrace(void** buffer, int size);函数功能:用于获取当前线程的调用堆栈。参数:buffer:...
linux elf 加载位置,获取ELF二进制文件的已加载地址,dlopen无法正常工作
weixin_31445167的博客
05-15 517
小编典典在Linux上,dlopen不返回加载ELF二进制文件的地址。而是返回structlink_map具有.l_addr成员的成员。因此,您需要以下内容:struct link_map *lm = (struct link_map*) dlopen(0, RTLD_NOW);printf("%p\n", lm->l_addr);但是,尽管有评论/usr/include/link.h说,....
C/C++ 程序链接 与 万能反汇编工具objdump
wanglei_11的博客
12-12 1901
C/C++ 程序链接 与 万能反汇编工具objdump
linux查看文件加载基地址,Linux下利用objdump查看文件空间地址分布
weixin_36309562的博客
05-01 611
在linux新建test.c文件,源代码如下:1 #include2 int a=1;3 intmain()4 {5 printf("a is %d.",a);6 return 0;7 }然后分别生成test.o和test文件$ gcc -c test.c$ gcc-o test test.c利用objdump命令分别查看test.o和test首先看test.ofile form...
C语言读取elf文件指定位置,readelf命令:用于读取ELF格式文件的详细信息
weixin_31499265的博客
05-23 1840
1.功能简介readelf 用于读取 ELF(Executable and Linkable Format)格式文件的详细信息,包括目标文件、可执行文件、共享目标文件与核心转储文件。1.1 ELF 文件分类(1)可重定位文件(Relocatable File),这类文件包含了代码和数据,用于链接生成可以执行文件或共享目标文件,目标文件和静态链接库均属于可重定位文件,例如*.o或lib*.a文件;(...
系统io怎么打开ELF并读写
最新发布
07-14
要在系统打开并读写 ELF 文件,你可以使用操作系统提供的系统调用和文件 I/O 函数。下面是一个简单的示例,展示了如何使用 C 语言来打开一个 ELF 文件、读取的内容并写入到另一个文件: ```c #include #...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值