Windows下的ELF文件解析代码C++

最新推荐文章于 2024-05-25 23:36:05 发布
最新推荐文章于 2024-05-25 23:36:05 发布
阅读量5.6k 收藏 17
点赞数
分类专栏: C++ 文章标签: ELF文件解析 C++ WINDOWS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/helloworld_ptt/article/details/79575783
版权

ELF(Executable and Linkable Format)是Unix及类Unix系统下可执行文件、共享库等二进制文件标准格式。

ELF文件结构:

(1) ELF header
(2) Program header table,对应于segments
(3) Section header table,对应于sections
(4) 被Program header table或Sectionheader table指向的内容

segments与sections的关系:

(1) 每个segments可以包含多个sections
(2) 每个sections可以属于多个segments
(3) segments之间可以有重合的部分

下图是readelf工具输出的某ELF文件segments与sections信息:
这里写图片描述
可以看到,segments部分包含各segments的地址、偏移、属性等;而sections部分则依次列出每个segment所包含的sections。注意到,sections通常为全小写字母,而segments通常为全大写字母。

此外,这两者之间另一个关键不同点是,sections包含的是链接时需要的信息,而segments包含运行时需要的信息。即,在链接时,链接器通过section header table去寻找sections;在运行时,加载器通过program header table去寻找segments。可见下图:
这里写图片描述

比较重要的sections:
(1) .init_array: 动态库加载或可执行文件开始执行前调用的函数列表
(2) .text: 代码
(3) .got: Global offset table(GOT),包含加载时需要重定位的变量的地址
(4) .got.plt: 包含动态库中函数地址的GOT

比较重要的segments:
(1) LOAD: 运行时需要被加载进内存的segment
(2) GNU_STACK: 决定运行时栈是否可执行
(3) DYNAMIC: 动态链接信息,对应于.dynamicsection

#include <stdio.h>
#include <windows.h>

//VS2015以上需要添加libucrtd.lib文件到工程目录下
#pragma comment(lib,"libucrtd.lib")

typedef unsigned short __u16;
typedef int __s32;
typedef unsigned int __u32;

typedef __u32     Elf32_Addr;
typedef __u16     Elf32_Half;
typedef __u32     Elf32_Off;
typedef __s32     Elf32_Sword;
typedef __u32     Elf32_Word;

#define EI_NIDENT     16

typedef struct elf32_hdr{
    unsigned char     e_ident[EI_NIDENT];
    Elf32_Half     e_type;
    Elf32_Half     e_machine;
    Elf32_Word     e_version;
    Elf32_Addr     e_entry; /* Entry point */
    Elf32_Off     e_phoff;
    Elf32_Off     e_shoff;
    Elf32_Word     e_flags;
    Elf32_Half     e_ehsize;
    Elf32_Half     e_phentsize;
    Elf32_Half     e_phnum;
    Elf32_Half     e_shentsize;
    Elf32_Half     e_shnum;
    Elf32_Half     e_shstrndx;
} Elf32_Ehdr;

typedef struct elf32_phdr{
    Elf32_Word     p_type;
    Elf32_Off     p_offset;
    Elf32_Addr     p_vaddr;
    Elf32_Addr     p_paddr;
    Elf32_Word     p_filesz;
    Elf32_Word     p_memsz;
    Elf32_Word     p_flags;
    Elf32_Word     p_align;
} Elf32_Phdr;

typedef struct {
    Elf32_Word     sh_name;
    Elf32_Word     sh_type;
    Elf32_Word     sh_flags;
    Elf32_Addr     sh_addr;
    Elf32_Off     sh_offset;
    Elf32_Word     sh_size;
    Elf32_Word     sh_link;
    Elf32_Word     sh_info;
    Elf32_Word     sh_addralign;
    Elf32_Word     sh_entsize;
} Elf32_Shdr;

int main(int argc, char* argv[])
{
    HANDLE hFile = INVALID_HANDLE_VALUE;
    HANDLE hMap = NULL;
    LPVOID pFile = NULL;

    hFile = CreateFile("F:\\Workspace\\a.out",
        GENERIC_READ|GENERIC_WRITE,
        FILE_SHARE_READ,
        NULL,
        OPEN_EXISTING,
        FILE_ATTRIBUTE_ARCHIVE,
        0);

    if(hFile==INVALID_HANDLE_VALUE)
    {
        printf("OpenFile Error,Code:%d\n",GetLastError());
        return 0;
    }     

    hMap = CreateFileMapping(hFile,NULL,PAGE_READWRITE,NULL,NULL,NULL);
    if(hMap == NULL)
    { 
        printf("CreateFileMapping Error,Code:%d\n",GetLastError());
        CloseHandle(hFile);
        return 0;
    }

    pFile = MapViewOfFile(hMap,FILE_MAP_READ|FILE_MAP_WRITE,NULL,NULL,NULL);
    if(pFile == NULL)
    {
        printf("MapViewOfFile Error,Code:%d\n",GetLastError());
        CloseHandle(hMap);
        CloseHandle(hFile);
        return 0;
    }

    Elf32_Ehdr* p_Elf32_Ehdr = (Elf32_Ehdr*)pFile;

    Elf32_Phdr* p_Elf32_Phdr = (Elf32_Phdr*)((char*)pFile + p_Elf32_Ehdr->e_phoff);
    {
        Elf32_Phdr *tmp = p_Elf32_Phdr;
        for (int i=0; i<p_Elf32_Ehdr->e_phnum; i++,tmp++) 
        {
            printf("%d off:%#10x filesize:%#10x memsize:%#10x\n",
                i,
                tmp->p_offset,
                tmp->p_filesz,
                tmp->p_memsz);
        }
    }

    printf("\n");

    Elf32_Shdr* p_Elf32_Shdr = (Elf32_Shdr*)((char*)pFile + p_Elf32_Ehdr->e_shoff);
    char *objsn = (char*)((char*)pFile + p_Elf32_Shdr[p_Elf32_Ehdr->e_shstrndx].sh_offset);
    {
        Elf32_Shdr *tmp = p_Elf32_Shdr;
        for (int i=0; i<p_Elf32_Ehdr->e_shnum; i++,tmp++) 
        {
            printf("%d off:%#10x size:%#10x entsize:%#10x %s\n",
                i,tmp->sh_offset,
                tmp->sh_size,
                tmp->sh_entsize,
                objsn + tmp->sh_name);
        }
    } 
    printf("\nenter:%#10x \n",p_Elf32_Ehdr->e_entry);

    UnmapViewOfFile(pFile);
    CloseHandle(hMap);     
    CloseHandle(hFile);


    return 0;
}

本文只做学习之用

才不是本人
关注
  • 0
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ELF文件解析和加载(附代码)
珂珂可爱多
03-20 4万+
目录:1. elf文件基本概念2. elf文件结构3. elf文件装载4. 代码实现1.elf文件基本概念elf文件是一种目标文件格式,用于定义不同类型目标文件以什么样的格式,都放了些什么东西。主要 用于linux平台。windows下是PE/COFF格式。 可执行文件、可重定位文件(.o)、共享目标文件(.so)、核心转储文件都是以elf文件格式存...
plt文件格式c++读取_ELF文件格式解析
weixin_33404792的博客
01-23 1420
原创: S3cana 合天智汇原创投稿活动:https://mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQELF文件格式的相关知识是Linux下进行pwn以及reverse的基础,是二进制可执行文件的一种形式,下面我们通过一个ELF文件的生成,并结合其ELF文件结构分析一下一个二进制文件在系统中执行时与权限相关的一些ELF结构知识点。文章内容较为浅显,大佬可略过...
windows ELF工具集合
08-27
包含nm.exe, readelf.exe, objdump.exe, 用于windows平台下查看elf文件格式
基础技术-ELF系列(1)-ELF文件基础
最新发布
The Road of Engineer
05-25 711
ELF文件ELF格式的基础讲解
windows中查看elf文件
05-10
查看elf文件的工具包,包含有readelf.exe,nm.exe,objdump.exe以及如果不能运行,确实libiconv-2.dll这个组件也包含在里面 除了上述命令行工具,还有一个可视化的FileViewPro
ELF解析工具 —— 使用介绍
热门推荐
alios、linux、rtos等OS技术分析
10-24 6万+
ELF解析工具 函数栈大小
ELF文件头结构
北冥有鱼的Blog
05-16 1万+
转自 https://blog.csdn.net/tangyuesb/article/details/54630787ELF文件头结构定义在“/usr/include/elf.h”头文件下,ELF文件有32位版本和64位版本,故其头文件结构也有32位结构和64位结构,分别定义为Elf32_Ehdr和Elf64_Ehdr。两种版本文件内容一样,只是有些成员的大小不一样。以下是32位版本的文件头结构E...
Windows上浏览ELF文件
松石立雪
03-22 6663
Linux下如果想要浏览ELF文件,可以用objdump来做,但是Windows上没有这个工具,如果为了用objdump,要么装个虚拟机,要么启用linux kernel on windows,无论哪个,都挺麻烦。这里介绍一个方便实用的浏览ELF文件的小工具,具体来说,它是Windows上神级第三方资源浏览器Total Commander(以下简称TC)的一个插件。 关于Total Commander,简单来说,如果你受够了Windows自带的资源浏览器,Total Commander绝对是最好的替代。具体
TestDwarf_提取变量_elf文件格式_解析器_
10-02
编写ELF文件解析器时,开发者需要处理以下几个关键步骤: 1. 打开并读取ELF文件的头部信息,确定文件类型和架构。 2. 解析程序头表,获取节区布局信息。 3. 遍历节区表,找到包含DWARF调试信息的节区。 4. 使用`...
elf_parse解析工具
07-26
`elf_parse.exe`和`hexdump.exe`则是Windows环境下的工具,`elf_parse.exe`可能是ELF解析工具的Windows版本,而`hexdump.exe`则是一个十六进制转储工具,可以将文件内容以十六进制形式显示,对于分析二进制数据很...
ReadELF, ELF格式分析程序源码
10-28
ELF格式分析程序的源代码,帮助理解ELF格式
elf转换bin的工具
06-07
ELF文件能够包含调试信息,使得调试器能够解析和显示源代码级别信息,这对于软件开发和调试非常有用。然而,在某些情况下,例如将固件烧录到微控制器或者在资源有限的嵌入式系统中运行,简洁的BIN文件格式更合适,...
dynload.rar_Visual_C++_
08-12
《深入理解Visual C++中的动态加载与elf文件解析》 在软件开发中,动态加载(Dynamic Loading)是一种优化程序设计的技术,它允许程序在运行时根据需要加载和卸载模块,而不是在编译时就确定所有依赖。这种技术在...
Windows上实现运行Linux程序,附示例代码
08-14
如果你想要在Windows原生环境中运行ELF文件,可以使用像Wine这样的软件,它是一个兼容层,允许Windows运行Linux应用程序。然而,Wine并不完美,可能会遇到兼容性问题,尤其是对于依赖特定库或硬件特性的复杂程序。 ...
[编译链接装载系列]之聊聊目标文件ELF格式
Tanswer_
12-04 1275
编译器编译源代码后生成的文件叫做目标文件,从结构上讲它是已经编译后的可执行文件格式,只是还没有经过链接,其中可能有些符号或有些地址还没有调整。它本身就是按照可执行文件格式存储的,跟真正的可执行文件在结构上稍有不同。目标文件的格式:现在 PC 平台流行的可执行文件格式主要是 Windows 下的 PE( Portable Executable,可移植可执行 ) 和 Linux 的 ELF( Execu
操作系统如何区分可执行文件elf文件分析
Lyajpunov的博客
03-29 591
原因是在该目标文件中,如果引用了其他外部文件(其他目标文件或库文件)中定义的符号(变量或者函数统称为符号),在编译阶段只能先标识出一个符号名,该符号具体的地址还不能确定,因为不知道该符号是在哪个外部文件中,而该外部文件需要被重定位后才能确定文件内的符号地址,这些重定位的工作是需要在连接的过程中完成的。但在哪里写入程序的入口地址呢?-Ttext 指定起始虚拟地址为0xc0001500,这个地址是设计好的,其中–o的意义也是指定输出的文件名,至于-e,和–entry一样,字面上的意思是用来指定程序的起始地址。
【08】ELF和静态链接:为什么程序无法同时在Linux和Windows下运行?
星Yeah 的博客
07-22 479
过去的三节,看到了我们写的程序,是怎么变成一条条计算机指令的;if…else 这样的条件跳转是怎么样执行的;for/while 这样的循环是怎么执行的;函数间的相互调用是怎么发生的。 我记得以前,我自己在了解完这些知识之后,产生了一个非常大的疑问。那就是,既然我们的程序最终都被变成了一条条机器码去执行,那为什么同一个程序,在同一台计算机上,在 Linux 下可以运行,而在 Windows 下却不行呢?反过来,Windows 上的程序在 Linux 上也是一样不能执行的。可是我们的 CPU 并没有换掉,它应
关于windows下gcc+cmake指定elf文件到特定section中
yaq_30401的博客
03-27 307
main函数call .plt段中的一个地址,这里的第一句话就是调转到.got.plt中的保存的printf的地址,如果是第一次,那么保存的地址就是.plt中的下一句话,这个下一句话就是压入这个符号在.rel.plt中的重定位表的偏移量,然后ld程序就会根据重定位表中的信息加上这个偏移量找到这个地址,保存到重定位表所指向的地址中,这个地址其实就是.got.plt段的一个地址。3. map 文件中.plt 、.rel.dyn、.rel.plt、.got.plt是什么。.got.plt保存了重定位地址。
用c语言写一个elf文件解析代码
03-29
以下是一个简单的ELF文件解析的C语言代码示例,仅供参考: ``` #include #include #include <elf.h> int main(int argc, char **argv) { FILE *fp; Elf32_Ehdr elf_header; Elf32_Shdr section_header; if ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值