ELF文件:data段开始的位置为什么没有进行进行对齐?

最新推荐文章于 2024-05-16 22:31:13 发布
最新推荐文章于 2024-05-16 22:31:13 发布
阅读量1.8k 收藏 1
点赞数
分类专栏: # Linux 文章标签: ELF文件格式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/github_38641765/article/details/90404970
版权

问题:

如下图所示,第一个是text段、第二个是data段,Align对齐:0x1000(4kb)对齐。
问: 为什么data段虚拟地址的起始位置不是0x08049000?
在这里插入图片描述

答:
下面这幅图是程序执行后的内存分布图,第一个是text段区域,第二个是只读数据区,第三个是读写数据区。

根据下面这个程序运行时的内存分布图可以知道,0x49000开始的区域是只读数据。

主要组成是填充区域和.ctors,.dtors,.dynamic,.got部分(重定位完成后的只读数据区域),这个可以根据上面的ELF格式中第二个需要加载的data段虚拟起始位置为0x08049f08(EFL规范p_vaddr ( mod PAGE_SIZE )=p_offset ( mod PAGE_SIZE )),那么可以从内存中看到0x08049000到0x08049f08的值是填充值,并且根据上面图中ELF格式中的GNU_RELRO(内存中的地址刚好是一个内存页的尾部:0x08049f08-0x0804a000),参考[3]中的解释,这个内存页尾部包含了重定位后的只读数据。

然后下一个内存页0x084a000-0x084b000就是可以读写的数据段(填充数据+只读数据)
在这里插入图片描述
**小结:**所以从内存分布可以看见,这个32位文件的数据段起始位置其实是0x08049000的,
主要包含:填充区域 + 只读数据 + 读写数据 + 填充区域

扩充:64位ELF可执行文件

下面是64位文件的文件格式:

  • text段、data段是200000对齐的。
  • text段在内存空间可以用的区域:0x400000-0x600000
  • data段在内存空间可以用的区域:0x600000-0x800000
  • data段和text段在内存空间里,中间有0x1000大小的只读数据区域
    在这里插入图片描述
    在这里插入图片描述

小结

可以看到32、64位ELF文件text段和data段中间的有很多填充区域,都可以作为病毒体的存储位置

参考

elf官方规范: http://refspecs.linuxbase.org/elf/elf.pdf
Linux/Unix环境中ELF格式病毒的分析 https://www2.isye.gatech.edu/~yxie77/computer_engineering.pdf
[3]Acronyms relevant to Executable and Linkable Format (ELF) https://www.cs.stevens.edu/~jschauma/631/elf.html

Dr. 熊
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
HideYoElfHideYoBytes:此C程序将检查ELF文件是否在程序之间插入了字节
02-22
总之,"HideYoElfHideYoBytes"程序提供了一个深入理解ELF文件结构和利用C语言进行安全检测的实例。通过这个程序,我们可以学习到如何解析ELF文件、检查间的字节插入,并对潜在的安全威胁做出及时的响应。这对于...
linux使某一列右对齐,linux – 如何更改ELF代码对齐方式
weixin_39827589的博客
05-26 268
ELF二进制文件,如何更改可加载对齐方式?在下面的例子(见右下角),我想将0x200000减少到0x40960.LOAD 0x000000 0x000000400000 0x0000000000400000 0x000704 0x000704 R E **0x200000**LOAD 0x000e10 0x000000600e10 0x0000000000600e10 0x00023...
ELF格式文件(非常详细)
weixin_44316996的博客
07-18 6010
ELF文件研究 ELF文件头 程序头表 节头表 资源表结构
ELF文件详解—初步认识_
最新发布
qq_17136213的博客
05-16 657
Ø 汇编阶将.s文件翻译成机器语言指令,把这些指令打包成一种叫做的格式,并将结果保存在目标文件.o(把汇编语言翻译成机器语言的过程)。。主要是进行词法分析和语法分析,又称为源程序分析,分析过程发现有语法错误,给出提示信息。对应的命令:linux> gcc -c hello.c hello.oØ 链接阶此时hello程序调用了printf函数。printf函数存在于一个名为printf.o的单独的预编译目标文件
ELF的.data和.bss
choumin的专栏
11-13 2109
.data : 已初始化的全局变量和局部静态变量都保存在 .data 。 .bss : 未初始化的全局变量和局部静态变量默认值都为 0,本来它们也可以被放在 .data 的,但是因为它们都是 0,所以为它们在 .data 分配空间并且存放数据 0 是没有必要的。 程序运行的时候它们的确是要占内存空间的,并且可执行文件必须记录所有未初始化的全局变量和局部静态变量的大小总和,记为 .bss 。 因此,.bss 只是为未初始化的全局变量和局部静态变量预留位置而已,它并没有内容,所以它在文件
elf 可执行文件 代码和数据间0x1000地址差异
sivolin的专栏
02-15 1143
RT 最近在linux 上面,尝试将一个汇编文件和一个c文件编译成一个elf格式的可执行文件,但是通过分析这个可执行文件,发现 数据代码的链接地址之间 有0x1000长度的地址是“凭空而来的”,即在可执行文件 并无对应的数据,猜想可能是默认的ld脚本的问题,于是采用自己的ld脚本来链接,最终消除该地址差距。SECTIONS { .text 0x100000: {
透过汇编代码分析C语言的数据对齐Data Alignment)与参数传递
wzq2009的专栏
12-24 342
C代码 #include <stdio.h> typedef struct S { short a; int b; long c; long d; long e; long f; long g; long h; short i; } S; void foo(S s) { printf("%hd, %d, %ld, %ld, %ld, %l...
elf文件格式.pdf
10-04
ELF文件的Section Headers提供了每个Section的详细信息,如其类型、大小、在文件位置等。Section可以包含代码、数据、符号表、字符串表等多种内容。某些Section,如`.text`存储程序的机器码,`.data`存储已...
(10.3)--ELF可重定位目标文件1
08-03
对于像switch-case语句这样的控制流,ELF文件可能包含跳转表,这个表在.rodata,并且按照4字节边界对齐,以便快速跳转到相应的代码分支。在可重定位目标文件,这些跳转表的地址会在链接时被修正。 总的来说,...
PE文件结构与ELF文件结构
04-19
下面将对 PE 文件结构和 ELF 文件结构进行详细的介绍和分析。 PE 文件结构 PE 文件(Portable Executable)是 Windows 操作系统上的程序文件,包括 EXE、DLL、OCX、SYS、COM 等文件类型。PE 文件的结构可以分为五...
ELF文手册,只要5积分
01-25
ELF,全称为Executable and Linkable Format(可执行和链接格式),是Unix及类Unix系统,如Linux,FreeBSD等操作系统用于存放可执行文件、共享库和核心转储的标准文件格式。这份“ELF文手册”提供了一份详尽的...
【STM32】CortexM0单片机的非对齐访问造成的HardFault
tanzhuolin
06-01 2977
1、问题引入和结论 在CortexM0单片机,在使用指针进行内存访问的时候需要特别留意访问地址的合法性问题,否则稍有不慎就会进入HardFault,痛苦不堪。 这里先将结论抛出来: 1、u8类型的指针,读写任何地址均是合法的,不会进入HardFault 2、u16类型的指针,读写地址必须是2的倍数,否则会进入HardFault 3、u32类型的指针,读写地址必须是4的倍数,否则会进入HardFault 我们针对以上三个结论分别做测试。 PS:本试验涉及到结构体的字节对齐知识点,如果有疑惑的地方可以查看:结
Keil环境下STM32定位hardfault位置方法(addr2line工具)和遇到的情况
u014448875的博客
07-08 7522
本章主要记录下我实践过的hardfault定位办法。后续遇到hardfault相关问题,也一并补充到本文,方便自己查阅。
ELF文件结构的研究
weixin_44316996的博客
04-23 744
LEF文件格式 LEF文件有二种视图,一种是链接视图,一种是执行视图 链接视图是以节(section)为单位,执行视图是以(segment)为单位,链接视图就是在链接时用到的视图,而执行视图则时用到的视图。上图左测的视图是执行来看的。总个文件可以分为4个部分 1.ELF header :描述整个文件的组织 2.Program Header Table :描述文件的各种segments,用来告诉系统如何创建进程映像的。 3.sections 或者segment:segments是从运行的角度来描述
ELF文件详解
热门推荐
PeakJin的博客
03-28 1万+
一、ELF概述 1、ELF的定义 ELF(Executable and Linkable Format)文件是一种目标文件格式,常见的ELF格式文件包括:可执行文件、可重定位文件(.o)、共享目标文件(.so)、核心转储文件等。 ELF主要用于Linux平台,Windows下是PE/COFF格式。 2、ELF文件的结构 一个完整的ELF文件一般会包括如下几个内容:ELF头、Section头、Segment头和Section。 其由Section头组成的集合称为Section头表,...
ELF(Executable and Linking Format)文件结构描述
海棠花的博客
03-31 1878
ELF文件(Executable and Linking Format)是用在Linux系统下的一种目标文件(object file)存储格式。典型的目标文件有如下3类: 可重定向文件(relocatable file)可重定向文件里面包含了代码和数据,用于和其他可重定向文件一起链接形成一个可执行文件或者动态库。 可执行文件(executable file) 可执行文件里面...
谈谈linux对齐
张飞online博客
11-30 675
linux 有太多的宏 ,这篇主要写写对齐
ELF文件格式解析
夏天Alex
07-11 4298
ELF格式分析
ELF的.data既占用文件空间,又占用运行空间
07-12
是的,ELF(Executable and Linkable Format)文件的`.data`既占用文件空间,也占用运行时的内存空间。 在文件空间,`.data`保存了程序在编译时定义的全局变量和静态变量的初始值。这些变量的值在编译时就确定了,并且在程序运行之前就存在于可执行文件的`.data`。 在运行时的内存空间,`.data`被加载到进程的数据data segment)。当程序运行时,操作系统会将`.data`从可执行文件加载到内存,并将其映射到进程的数据。这样,程序就可以在运行时访问和修改这些全局变量和静态变量的值。 因此,`.data`既存在于可执行文件,占用了文件空间,也存在于运行时的内存空间,占用了运行空间。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值