ELF文件格式解析

最新推荐文章于 2024-05-16 22:31:13 发布
最新推荐文章于 2024-05-16 22:31:13 发布
阅读量1.2k 收藏
点赞数 1
分类专栏: Android开发 反编译与逆向分析 文章标签: elf 格式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hp910315/article/details/77385816
版权

ELF文件格式提供了两种视图,分别是链接视图和执行视图。链接视图是以节(section)为单位,执行视图是以段(segment)为单位。链接视图就是在链接时用到的视图,而执行视图则是在执行时用到的视图。

这里写图片描述

尽管图中显示各个组成部分都是有序的,但是实际上除了ELF header之外,其他部分都是没有规定顺序的。

1. ELF Header

typedef struct {
       unsigned char e_ident[EI_NIDENT];// 目标文件标识
       ELF32_Half e_type;   // 目标文件类型
       ELF32_Half e_machine;// 文件的目标体系结构类型
       ELF32_Word e_version;//目标文件版 
       ELF32__Addr e_entry; //程序入口的虚拟地址
       ELF32_Off e_phoff;   // Program Header Table的偏移量
       ELF32_Off e_shoff;   // Section Header Table的偏移量
       ELF32_Word e_flags;  // 相关处理器的标志
       ELF32_Half e_ehsize; // ELF Header结构大小
       ELF32_Half e_phentsize; // Program Header Table的表项大小
       ELF32_Half e_phnum;     // Program Header Table的表项数目
       ELF32_Half e_shentsize; // Section Header Table表项大小
       ELF32_Half e_shnum;     // Section Header Table表项数目
       ELF32_Half e_shstrndx;  // 字符串表在Section Header Table中的索引
}Elf32_Ehdr;

除了ELF Header之外,其他部分都是没有规定顺序的,所以,这里可以通过ELF Header的e_phoff以及e_shoff字段来确定Program Header Table和Section Header Table的位置。另外,通过e_shstrndx可以确定字符串表在Section Header Table中位置,例如,如果e_shstrndx为25,那么值25表示的是Section Header Table中第25项是字符串表(String Table, .shstrtab)。

2. Section Header Table

一个ELF文件中到底有哪些具体的 Sections,由包含在这个ELF文件中的 Section Header Table决定。在Section Header Table中,针对每一个Section,都有一个相应的条目(entry),用来描述对应的这个Section的相关信息。

typedef struct {
    Elf32_Word sh_name;  // 对应Section的名字
    Elf32_Word sh_type;  // 对应Section类型
    Elf32_Word sh_flags; // 对应Section在进程中执行的特性(读、写)
    Elf32_Addr sh_addr;  // 对应Section在内存中的虚拟地址
    Elf32_Off  sh_offset;// 对应Section在文件中的偏移
    Elf32_Word sh_size; // 对应Section的大小
    Elf32_Word sh_link;  
    Elf32_Word sh_info;
    Elf32_Word sh_addralign;
    Elf32_Word sh_entsize;
} Elf32_Shdr;

需要注意的是,sh_name值实际上是String Table(.shstrtab)中的索引,也就是说sh_name对应的并不是一个字符串,而且表示的一个索引值,通过这个索引值,我们可以在String Table中找到对应的字符串,而String table(.shstrtab)中存储着所有Section的名字。

3. Section

分析一些so文件中重要的Section,包括符号表、重定位表、GOT表等。

-Symbol Table(.dynsym)

符号表记录了该文件中的所有符号,所谓的符号就是经过修饰了的函数名或者变量名。

typedef struct {  
     Elf32_Word st_name;      //符号表项名称。
     Elf32_Addr st_value;       //符号的取值。
     Elf32_Word st_size;         //符号的大小。
     unsigned char st_info;    //符号的类型和绑定属性。
     unsigned char st_other;  //未定义。
     Elf32_Half st_shndx;  //相关的节区头部表索引。
} Elf32_sym;

需要说明的是,这里的st_name跟上面Section Header Table的sh_name一样,表示的是符号名在字符串表中的索引。

-String Table(.dynstr)

.dynstr和.shstrtab结构完全相同,不过一个存储的是符号名称的字符串,而另一个是Section名称的字符串。

-重定位表

重定位是将符号引用与符号定义进行连接的过程

typedef struct {
    Elf32_Addr r_offset; // 符号在got表的偏移地址
    Elf32_Word r_info;  // 进行重定位的符号在符号表索引
} Elf32_Rel;

typedef struct {
    Elf32_Addr r_offset;
    Elf32_Word r_info;
    Elf32_Word r_addend;
} Elf32_Rela;

-全局偏移表(GOT)

全局偏移表(GOT)用来将位置独立的地址计算重定向到绝对位置。

-过程链接表(PLT)

过程链接表(PLT)能够把位置独立的函数调用重定向到绝对位置。

4. Program Header Table

程序头部(Program Header)描述与程序执行直接相关的目标文件结构信息。

typedef struct {  
    Elf32_Word p_type;         // 此数组元素描述的段的类型
    Elf32_Off  p_offset;       // 在文件中的偏移
    Elf32_Addr p_vaddr;        // 在内存中的虚拟地址
    Elf32_Addr p_paddr;        // 在内存中的物理地址信息。
    Elf32_Word p_filesz;       // 大小
    Elf32_Word p_memsz;        //在内存映像中占用的字节数。可以为0。
    Elf32_Word p_flags;        //相关的标志。
    Elf32_Word p_align;        //在文件中和内存中如何对齐。
} Elf32_phdr;

参考文章:
ELF文件格式解析
linux第三次实践:ELF文件格式分析

欢迎关注微信公众号:DroidMind
精品内容独家发布平台


呈现与博客不一样的技术干货

DroidMind
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux 解析elf文件格式,Linux下ELF文件解析
weixin_30424461的博客
04-28 1236
1. windows PE文件与Linux ELF文件概述在windows中可执行文件是pe文件格式,Linux中可执行文件是ELF文件,其文件格式ELF文件格式,在Linux下的ELF文件除了可执行文件(Excutable File),可重定位目标文件(RellocatableObject File)、共享目标文件(SharedObject File)、核心转储文件(CoreDump File...
ELF文件格式详解
音视频图形编程学习乐园
09-03 268
本文描述了Linux系统的ELF文件格式
ELF文件格式分析.pdf》与elf解析代码
03-22
ELF文件格式分析.pdf》文档,非常不错的elf格式参考文档,参考elf解析过程,能很快掌握elf文件格式
ELF文件详解—初步认识_
qq_17136213的博客
05-16 661
Ø 汇编阶段将.s文件翻译成机器语言指令,把这些指令打包成一种叫做的格式,并将结果保存在目标文件.o中(把汇编语言翻译成机器语言的过程)。。主要是进行词法分析和语法分析,又称为源程序分析,分析过程中发现有语法错误,给出提示信息。对应的命令:linux> gcc -c hello.c hello.oØ 链接阶段此时hello程序调用了printf函数。printf函数存在于一个名为printf.o的单独的预编译目标文件中。
elf文件格式解析
PwnGuo的博客
05-20 5983
linux 恶意软件研究相关工具 及下载地址:https://remnux.org/docs/distro/tools/ 系统: Sysdig(https://pkgs.org/download/sysdig)Unhide(取消隐藏) 反汇编: Vivisect, Udis86, objdump 调试工具: Evan’s Debugger (EDB), GNU Project Debugge...
ELF文件格式分析
happylzs2008的专栏
05-22 727
ELF文件格式分析 https://www.cnblogs.com/EliteDci/p/5578901.html 一般的 ELF 文件包括三个索引表:ELF header,Program header table,Section header table。 1)ELF header:在文件的开始,保存了路线图,描述了该文件的组织情况。 2)Program header table:告诉系统如何创建进程映像。用来构造进程映像的目标文件必须具有程序头部表,可重定位文件不需要这个表。 3)...
elf 文件格式解析
rubikchen的博客
04-23 553
elf案例解析 源代码 int main() { asm("movl $42, %ebx \n\t" "movl $1 , %eax \n\t" "int $0x80 \n\t"); } 链接代码 MEMORY { CODE (R!X) : ORIGIN = 0x200300 , LENGTH = 16M } SECTIONS { .text 0x200400 : { *(.text) } > CODE "/DISCAR..
ELF文件格式解析
m0_37564426的博客
01-07 388
通过以上的定义以及示例讲解,相信大家已经对ELF文件格式有所了解了,如果想要继续深挖ELF文件的细节,大家可以参考以下这些资料。
ELF文件格式简介
梦的灰色边沿...
05-03 1万+
  简单了解下ELF文件的格式。 1 简介   可执行与可链接格式 (Executable and Linkable Format,ELF),常被称为 ELF格式,是一种用于可执行文件、目标代码、共享库和核心转储(core dump)的标准文件格式,一般用于类Unix系统,比如Linux,Macox等。ELF 格式灵活性高、可扩展,并且跨平台。比如它支持不同的字节序和地址范围,所以它不会不兼容某一特别的 CPU 或指令架构。这也使得 ELF 格式能够被运行于众多不同平台的各种操作系统所广泛采纳。   E.
ELF文件格式解析
m0_37564426的博客
01-10 407
程序头部(Program Header)中,都以 PT_PHDR和PT_INTERP先开始。这两个段必须在所有可加载段项目的前面。从上图中的INTERP段中,可以看到改段从 0x318位置处开始加载,长度为0x1C。我们使用 hexdump 命令查看elf文件的二进制内容。objdump -x 查看elf文件所有头部的信息。使用objdump命令查看elf文件。
ELF文件格式分析.pdf
04-21
藤启明
ELF 文件格式分析(北京大学实验室出的标准版)
03-19
通过学习这份文档,读者可以掌握如何读取和解析ELF文件,理解动态链接机制,以及如何利用ELF格式进行程序调试和分析。 总之,对ELF文件格式有深入的理解对于系统级编程、逆向工程、软件调试以及优化都是至关重要的...
静态分析Android程序——smali文件解析
热门推荐
欢迎关注微信公众号:DroidMind
07-04 1万+
静态分析Android程序的两种方法: 一、阅读反编译生成的Dalvik字节码。 1、使用文本编辑器阅读baksmali反编译生成的smali文件 (1)解压apk包 unzip xxx.apk (2)用baksmali进行对解压出来的dex文件反编译 java -jar baksmali-2.0.3.jar classes.dex 2、使用IDA Pro分析dex文件 二...
Android Studio动态调试smail源码
欢迎关注微信公众号:DroidMind
10-11 9467
一、配置插件 下载插件smalidea 地址: https://bitbucket.org/JesusFreke/smali/downloads 下载smalidea-0.03.zip 下载完成后,打开android studio的Settings | Plugins,选择 Install plugin from disk 二、反编译apk,修改AndroidManifest.xm...
Android反编译基本知识
欢迎关注微信公众号:DroidMind
01-04 796
1、用AXMLPrinter2反编译xxx.xml文件Android的安装包是apk格式的文件。我们将其后缀名apk改为zip,就可以看到安装包中的内容。这里以QQ的Apk为例,我们可以看到它的压缩包里面由如下内容: 里面有很多XML文件打开后是乱码,AndroidManifest.xml也是如此,那是因为打包的时候对XML文件进行了压缩,所以看到的往往是全角的字符和乱码,不便于查找到我们想要看的
mpu6050陀螺仪使用方法开发教程文档.docx
最新发布
07-30
mpu6050陀螺仪使用方法
【SCI顶级】龙格库塔算法RUN-CNN-LSTM-Multihead-Attention温度预测【含源码 5747期】.zip
07-30
CSDN海神之光上传的全部代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:Main .m; 数据; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除Main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法-CNN-LSTM-Mutilhead-Attention回归预测系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO-CNN-LSTM-Mutilhead-Attention回归预测 4.4.2 粒子群算法PSO/蛙跳算法SFLA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.3 灰狼算法GWO/狼群算法WPA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.4 鲸鱼算法WOA/麻雀算法SSA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.5 萤火虫算法FA/差分算法DE-CNN-LSTM-Mutilhead-Attention回归预测
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值