elf 文件信息的用途

已于 2023-10-30 09:26:12 修改
阅读量103 收藏
点赞数
分类专栏: 文件及文件系统相关 文章标签: elf
于 2023-10-10 15:25:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hejinjing_tom_com/article/details/133747911
版权

--------------------------------------------------------------------------------
author:       hjjdebug
date:         2023年 10月 10日 星期二 15:11:53 CST
description:  elf 文件信息,
--------------------------------------------------------------------------------

目录:

1. 检查程序头, 判定重定位信息是否是只读的.                                                     

 $readelf -l ${1} | grep 'GNU_RELRO'

2. 检查是否存在符号表

$readelf -s ${1} |grep '.symtab'

3. canary 检测(金丝雀检测), 检查符号表中是否存在__stack_chk_fail函数调用

$readelf -s ${1} | grep '__stack_chk_fail'

4. 查看执行文件中有多少个函数调用了libc中的函数

参考下面详述.

1. 检查程序头, 判定重定位信息是否是只读的.
Program headers 信息
readelf -l ${1} | grep 'GNU_RELRO'  // 重定位信息只读后要继续查询:
readelf -d ${1} | grep 'BIND_NOW'  // 动态节中有'BIND_NOW'字符串 为"Full RELRO", 无该字串为"Partial RELRO"
readelf -l ${1} | grep 'GNU_STACK' |grep 'RWE'  //存在RWE 表示堆栈上有可执行权限


2. 检查是否存在符号表
readelf -s ${1} |grep '.symtab'
存在就是没有去除, 不存在就是去除了. 例如:
$readelf -s /bin/ls |grep '.symtab'  确认其没有符号表, /bin/ls 只有'.dynsym'
而我自己的一个程序, 则有符号表
$readelf -s multiview |grep '.symtab' |cut -d' ' -f5 可以获取符号个数.

$readelf -s multiview 输出详细的符号信息
$readelf -s multiview | grep '.symtab' 输出一行信息,如下:
Symbol table '.symtab' contains 28697 entries:
$readelf -s multiview |grep '.symtab' |cut -d' ' -f5 输出符号个数,如下:
28697

3. canary 检测(金丝雀检测), 检查符号表中是否存在__stack_chk_fail函数调用
$readelf -s "${1}" | grep '__stack_chk_fail'  // 符号表中存在__stack_chk_fail函数,表示有canary 保护,该函数是动态符号表中函数


综合测试:
4. 查看执行文件中有多少个函数调用了libc中的函数
步骤:
4.1. 查看执行文件的对外连接符号(动态连接符号), 用--dyn-syms
$readelf --dyn-syms multiview

4.2. 将输出净化, 只保留外部调用的函数名称
$readelf --dyn-syms multiview | awk '{ print $8 }' | sed -e 's/_*//' -e 's/@.*//' -e '/^$/d'

查看libc 对外提供的函数
4.3. libc 中的符号信息, 以i386-linux-gnu 目录下libc 为例
$ readelf -s /usr/lib/i386-linux-gnu/libc.so.6

4.4. libc对外提供的函数名称一类是带 _chk 字符串的, 我们去掉修饰,只打印名称
$ readelf -s /usr/lib/i386-linux-gnu/libc.so.6 | sed -ne 's/.*__\(.*_chk\)@@.*/\1/p
另一类是不带_chk字符串的. 见后边sprintf 举例
把_chk去掉就是不带_chk 的函数名
用脚本可以这样写: 把输出送给变量保存
  FS_chk_func_libc="$(${readelf} -s $FS_libc 2>/dev/null | sed -ne 's/.*__\(.*_chk\)@@.*/\1/p')"
  FS_func_libc="$(echo "${FS_chk_func_libc}" | sed 's/_chk$//')"

举例, 以sprintf 为例, 去掉无关输出, 发现有sprintf(GLIBC_2.0引入), 同时也有 __sprintf_chk(GLIBC_2.3.4引入)
$ readelf -s /usr/lib/i386-linux-gnu/libc.so.6 | grep  sprintf
   178: 00050300    36 FUNC    GLOBAL DEFAULT   15 sprintf@@GLIBC_2.0
  2187: 00112b80    63 FUNC    GLOBAL DEFAULT   15 __sprintf_chk@@GLIBC_2.3.4


 4.5. 外部调用函数列表以及libc函数列表都已经准备好了, 现在我们来查询一下: 外部调用函数表中有多少个是libc的
 fgrep -xf <libc_file> f_file
 其中fgrep 就是 grep -F 的意思, 就是搜索固定的字符串
 -x 需要匹配整行才输出
 -f 指明后边的参数是一个文件,文件中包含了要搜索的字符串

 参考:

 以上知识来源于对 checksec "检查安全性"的shell源码分析, 确实有收获!
 要想脚本过硬, bash下的命令含义也要过硬!

hjjdebug
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ELF loader
07-29
用C++写的一个linux 下 so 文件格式分析软件源码: 1.类似objdump,可以辅助分析文件中除.text section 外的section; 2.可以尝试修复被破坏的 .dynamic section 3.源码仅用于学习交流,杜绝非法用途
linux elf 文件理解与分析
择一事终一生
11-07 2135
https://linux-audit.com/elf-binaries-on-linux-understanding-and-analysis/ 我们理所当然的使用一些真正的工艺品。其中一部分就是 linux 上常见的工具,像 ps 和 ls。虽然这些命令看起来很简单,当仔细探究就会发现很多东西。这就要讲到 ELF(Executable and Linkable Format)。一个广泛使用的文件格式,只有少部分人真正了解。让我们通过这篇介绍教程去了解它。 通过阅读本手册,你讲学到: 为什么要用 ELF
ELF文件解析 ELF File Parsing
Grxer的博客
03-21 512
​实验材料:010editor readelf objdump linux_ls文件(x86-64)资料讲解32位elf,实验解析64位elfls文件信息链接:https://pan.baidu.com/s/17ElUYwRhtW0eRRED4SgNDA提取码:ldss。
【嵌入式】ELF格式文件分析工具汇总
最新发布
科技改变人类,技术成就未来
03-02 1634
分析ELF格式的一些常用工具
Linux下ELF二进制文件加壳,pe/elf 文件加壳时的处理
weixin_42318912的博客
04-29 2017
==Ph4nt0m Security Team==Issue 0x02, Phile #0x0A of 0x0A|=—————————————————————————=||=———————-=[ pe/elf 文件加壳时的处理 ]=———————-=||=—————————————————————————=||=—————————————————————————=||=————————–=[ ...
ELF文件格式详解
热门推荐
wonder
07-21 1万+
ARM的可执行文件的格式是ELF格式文件,下文对ELF格式做个详细的介绍。 序言 1. OBJECT文件    导言    ELF头(ELF Header)    Sections    String表(String Table)    Symbol表(Symbol Table)    重定位(Relocation) 2. 程序装载与动态连接    导言    Progr
操作系统大作业,elf文件注入器+源代码+文档说明
01-08
操作系统大作业,elf文件注入器+源代码+文档说明 - 小白不懂运行,下载完可以私聊问,可远程教学 该资源内项目源码是个人的课程设计,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载...
操作系统大作业:ELF文件注入+源代码+文档说明+实验报告+ppt+运行截图+pdf
01-08
操作系统大作业:ELF文件注入+源代码+文档说明+实验报告+ppt+运行截图+pdf - 小白不懂运行,下载完可以私聊问,可远程教学 该资源内项目源码是个人的课程设计,代码都测试ok,都是运行成功后才上传资源,答辩评审...
wif-elf:跟踪您在编织草稿中的位置的 Web 应用程序
06-29
如果我需要重新启动或将手机用于其他用途,该怎么办? 重新打开该站点,它将从您离开的地方继续。 然而,精灵一次只能记住一个 WIF,所以如果你打开另一个 WIF,它会忘记最后一个。为什么? 我不想在我的脑海中保留...
pyrsp:GDB远程串行协议的python实现
05-29
目前,您可以加载/转储内存、设置/清除断点、从 elf 文件加载额外信息(符号、调试信息、.text 段)、在断点上调度回调、运行与 elf 文件关联的二进制文件并显示与 elf 文件关联的源代码地址。依靠pip install ...
zip 文件格式分析: 附实例介绍
hjjdebug的专栏
05-19 1万+
zip 文件格式分析: 附实例介绍ZIP format Byte order: Little-endianOverall zipfile format:[Local file header + Compressed data [+ Extended local header]?]* [Central directory]* [End of central directory record]1.
创建, 读取,修改img文件 (以ext4 为例)
hjjdebug的专栏
05-19 1万+
创建, 读取,修改img文件 (以ext4 为例)1. 创建 (10M 空文件) dd if=/dev/zero of=XXX.img bs=1024 count=10240 2. 格式化 关联loop设备 sudo losetup /dev/loop1 XXX.img建立分区: sudo fdisk /dev/loop1 …格式化 sudo mkfs -t ext4 /dev
linux可执行文件格式
hjjdebug的专栏
05-24 1万+
1. 可执行文件的任务: 可执 行文件的创建: 编译(compile): 源程序文件被编译成目标文件, 连接(link): 多个目标文件 被连接成一个最终的可执行文件, 可执行文件的运行: 可执行文件被加载(load)到内存中执行。 2. a.out assembler and link editor output汇编器和链接编辑器的输出格式(简述)a.out 是一种古老的文件格式,简单,紧凑,
linux buffer 与 cache 的区别
hjjdebug的专栏
09-30 5511
linux buffer 与 cache 的区别。 A buffer is something that has yet to be "written" to disk. A cache is something that has been "read" from the disk and stored for later use. 两者都是RAM中的数据。简单来说,buffer(缓冲)是即
最简单的elf文件分析
hjjdebug的专栏
09-26 3954
1. 简单的elf 汇编程序, 用它直接生成二进制文件 cat asm2.s BITS 32 org 0x08048000 ehdr: ; Elf32_Ehdr db 0x7F, "ELF", 1,
reiser4progs 的 configure 问题及解决方法。
hjjdebug的专栏
11-06 3330
reiser4progs 运行 ./configure 时 遇到 libaal version 1.0.5 = No 后, 停止了运行。 此时我从网上下载了很多libaal 源码测试, 均通不过。 此时用 ldconfig 查看, 好像libaal 也对。 哪问题到底出在哪里呢? 我甚至阅读了些configue 的一些代码, 一头雾水, 不过也猜到可能不是libaal 本身问题,而是其它
linux 下 软raid 操作实例。
hjjdebug的专栏
11-07 2771
磁盘阵列软RAID实例. 前言:raid0, 容量倍增,加速。 raid1, 安全镜像备份。 raid5, 奇偶数据校验保证安全,磁盘利用率(n-1)。 **************************************** 1. 准备硬盘分区。 ****************************************    raid5 至少需要3快硬盘,我手上只有一块
romfs 文件系统学习
hjjdebug的专栏
09-27 2168
-------------------------------------------------------------------------------- 1. romfs 文件组织 --------------------------------------------------------------------------------     +---+---+---+---+
设计一个新文件系统。
hjjdebug的专栏
09-04 2028
设计一个新文件系统。 文件系统设计牵扯到 代码阅读,编译,gdb调试。 排错。 设计等很多方面。 不仅要有扎实的功底, 还要有灵活的思路和解决问题的能力。 有一个linux2.4 kernel 下uxfs 的设计代码, 说实话,里面代码不少微小的考虑不周到的地方。 不像是一个经典的作品。 但就拿它当靶子吧。 将这个代码移植到linux2.6.32 内核下。 由于内核接口的变动,
bin文件elf文件有什么区别,如何编写出elf文件
06-08
elf文件是一种带有头部信息的二进制文件,内容包括机器指令、符号表、重定位信息等,可以被系统动态加载并执行。 2. 用途不同:bin文件主要用于直接烧录到硬件设备中执行,如单片机、DSP等;而elf文件主要用于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值