目标文件分析

最新推荐文章于 2023-12-05 11:24:10 发布
最新推荐文章于 2023-12-05 11:24:10 发布
阅读量293 收藏
点赞数
分类专栏: 程序员的自我修养读书笔记 文章标签: 编译 反编译 目标文件 汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iva_brother/article/details/80466466
版权

目标文件的格式

现在PC平台流行的可执行文件格式(Executable)主要是Windows 下的PE(Portable Executable)和Linux的ELF(ExecutableLinkable Format),它们都是COFF(Common file format)格式的变种。目标文件就是源代码编译后但未进行链接的那些中间文件(Windows是.obj和Linux是.o),它们跟可执行文件的内容和结构很相似,所以一般跟可执行文件一起采用一种格式存储。

不光可执行文件(Windows的.exe和Linux下的ELF可执行文件)按照可执行文件格式存储。动态链接库(DLL,Dynamic Linking Library)(Windows的.dll和Linux的.so)以及静态链接库(Static Linking Library)(Windows的.lib和Linux的.a)文件都按照可执行文件格式存储。

 

目标文件是什么样的?

目标文件中的信息按不同的属性,以“节”(Section)的形式存储,有时候也叫“段”(Segment)。

以C语言为例,我们的程序在编译之后,执行语句都会编译成机器代码,保存在.text段;已初始化的全局变量和局部静态变量都保存在.data段;未初始化的全局变量和局部静态变量一般放在一个叫.bss的段里。我们知道未初始化的全局变量和局部静态变量默认值都是0,本来它们应该也可以被放在.data段的,但是因为它们都是0,所以为它们在.data段分配空间并且存放数据0是没有必要的。程序运行的时候它们的确要占用内存空间的,并且可执行文件必须记录所有未初始化的全局变量和局部变量的大小总和,记为.bss段。所以.bss段只是未初始化的全局变量和局部静态变量预留位置而已,它并没有内容,所以它在文件中也不占据空间

总体来说,程序源代码被编译以后主要分为两种段:程序指令和程序数据。代码段属于程序指令,而数据段和.bss段属于程序数据。

 

那么,为什么要采用这种分离的设计呢

1、程序在被装载后,数据和指令分别被映射到两个虚拟区域。对于数据来说,我们一般是可读写,而指令一般是只读。分开存储,可以防止程序指令被有意或无意的篡改。

2、对于现在的CPU来说,他们有着强大的缓冲(cache)体系。由于缓存在现代的计算机中地位非常重要,所以程序必须提高缓冲的命中率。分开存储有利于命中率的提高。

3、当系统运行着多个该程序的副本时,它们指令都是一样的,所以内存中有一份指令就够了。这样可以大大的解决储存空间。

 

目标文件分析


以上面的代码为例,我们对其进行编译,生成.o的目标文件。通过objdump -h SimpleSection.o命令,可以看到目标文件的结构及内容。出现了我们前面说到的代码段、数据段、BSS段,除了这三个之外,还有只读数据段(.rodata)、注释信息段(.comment)和堆栈提示段(.note.GUN-stack)。其中File off表示段所在的位置,“CONTENTS”表示该段在文件中存在,所以我们可以看到,在.bss与.rodata中,它的段所在位置都是9c,因为.bss没有文件存在,不占据空间。

通过$objdump -sSimpleSection.o,看到代码段的内容以十六进制的方式显示如下,可以看到它的大小为51,它从左到右分别为:偏移量、十六进制内容、.text段的ASCII码形式。代码段的大小是51,为什么上面到.data的所在位置从40到了94呢?这个是由于字节对齐的原因。

对于数据段来说,我们看到.data的大小是8,从前面得知,.data段是用来存放初始化了的全局静态变量和局部静态变量的,在我们的程序中,global_init_varabal与static_var。Int型,每个4个字节,一共刚好8个字节。而对于.rodata段,它存放只读变量和字符串常量,在我们代码中,就是printf中的“%d\n”了。通过$objdump -s SimpleSection.o命令,我们看到数据段存放的数据如下:

对于.data段,两个数分别就是十进制的84、85了,这样的存放方式是因为采用的小端模式。

 

什么是大端(Big-endian)模式?什么是小端(Little-endian)模式?

小端模式就是低位字节排放在内存的低地址端,高位字节都放在内存的高地址端。大端模式则相反。所以对于54000000来说,它就是大端模式,因为它将低位放在高位地址上。

对于.bss段来说,它是存放未初始化的全局变量和局部静态变量。所以global_uninit_var和static_var2被存放在该段,更准确的说是.bss为它们预留了空间。但是它们应该是8个字节的,为什么只有4个字节呢?通过$readelf -s SimpleSection.o可以看到具体存放方式。

其中Ndx表示符号所属的段,可以看到global_uninit_var和static_var2两个中只有static_var2在4中,也就是.bss段,而global_uninit_var在COM段,所以上面显示的.bss是4个字节。

通过$objdump -x SimpleSection.o命令可以看到它的存放位置。

对于整个代码反编译$objdump -d SimpleSection.o,得到的汇编代码如下:


走出去拍拍照
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
init.s文件分析
船尾跳鱼的专栏
11-10 566
 ASSERT  :DEF:ENDIAN_CHANGE   判断ENDIAN_CHANGE是否已定义 [ ENDIAN_CHANGE                如果已经定义了ENDIAN_CHANGE,则判断ENDIAN_CHANGE 真值,如果为真  [ ENTRY_BUS_WIDTH=32         b ChangeBigEndian     ;DCD 0xea000007     
文件分析工具.rar
08-15
文件分析工具——高效管理与查找的利器》 在日常工作中,我们经常需要处理大量的文件,尤其是在项目开发、数据管理或是文件整理时,快速定位到特定的文件变得尤为重要。这时,一款高效的文件分析工具就显得至关...
操作系统系列(五)——目标文件详解
weixin_37620587的博客
12-26 2996
本期主题: 目标文件详解 目标文件详解1.目标文件定义与分类2.目标文件是什么样的?1.直观认识目标文件2.elf文件分析工具使用
目标文件的格式以及什么是目标文件
StephenGaoYu
01-20 1545
目标文件的格式以及什么是目标文件http://linux.ctocio.com.cn/451/8872451_2.shtml  编译编译源代码后生成的文件叫做目标文件,那么目标文件里面到底存放的是什么呢?或者我们的源代码在经过编译以后是怎么存储的?我们将在这一节剥开目标文件的层层外壳,去探索它最本质的内容。  【IT专家网独家】编译编译源代码后生成的文件叫做目标文件,那么目标文件
目标文件详解
0 error(s)
07-05 4532
目标文件(可能篇幅较长) 什么是目标文件编译编译源代码后生成的文件叫做目标文件目标代码是指源代码经过编译程序产生的能被cpu直接识别二进制代码。 目标文件的格式 目标文件是源代码经过编译但未链接的那些中间文件。 windows上为.obj文件,linux上为.o文件 目标文件与可执行文件的内容和结构很相似。所以在广义上来看,目标文件与可执行文件可以看成是一种文件 在windows下,可以统称为PE-COFF文件格式。 在linux下,我们可以统称为ELF文件 可执行文件格式 目前PC平台流行
windows系统排查-文件分析
IT之一小佬的博客
05-03 2480
Windows分析排查介绍: 分析排查是指对Windows系统中的文件、进程、系统信息、日志记录等进行检测,挖掘Windows系统中是否具有异常情况。 目的在于:保护Windows系统安全 文件分析-开机启动文件 一般情况下,各种木马、病毒等恶意程序,都会在计算机开机启动过程中自启动。在Windows系统中可以通过以下三种方式查看开机启动项: 1、利用操作系统中的启动菜单 C:\Users \Administrator\AppData\RoamingMicroso...
计算机的目标文件是什么? 在程序中充当什么角色?
最新发布
Shujie
12-05 242
ELF头以一个 16 字节的序列开始,这个序列描述了生成该文件的系统的字的大小和字节顺序。其中包括 ELF头的大小、目标文件的类型(如可重定位、可执行或者共享的)、机器类型(如 x86-64)、节头部表(section header table)的文件偏移,以及节头部表中条目的大小和数量。不同节的位置和大小是由节头部表描述的,其中目标文件中每个节都有一个固定大小的条目(entry)。.debug:一个调试符号表,其条目是程序中定义的局部变量和类型定义,程序中定义和引用的全局变量,以及原始的 C 源文件
点云目标检测可视化 文件
03-31
文件集“点云目标检测可视化”显然包含了用于分析和展示点云目标检测结果的数据。让我们逐一解析这些文件: 1. `color_0_.npy`:这个文件可能存储了点云的颜色信息。在点云数据中,每个点除了位置(x, y, z坐标)...
Linux下将源文件编译目标文件的过程解析
01-11
一个.c源程序需要经过预处理器生成.i文件,再经过编译器生成.s文件,再经过汇编器生成可重定位目标文件.o文件,再与其他.o文件经过链接器生成最终的可执行目标程序。 预处理阶段。主要是处理源文件中以“#”开头的预...
一道冰蝎文件流量分析的例题
09-01
文件流量分析是网络安全中的一个重要环节,通过捕获和解析网络传输的数据包,可以获取到关于文件传输的各种信息,如文件类型、大小、传输速度、源和目标地址等。这对于检测恶意文件传输、网络监控和性能优化具有重要...
几种文件分析工具
10-17
HexBrowerNet FileAnalyze 还有一些网络上查找到的别人自己做的 用于包括文件内部格式的分析工具和文件解析等工具,共有8个资源
独立向量分析(IVA)MATLAB 源代码 绝对可用
01-22
MATLAB原代码 分三个m文件 放在一起就能用
文件对比比较分析工具
10-11
比较文件的实用工具,可以对各种文件进行分析对比,比如代码文件或者文本文件
文本文件解析对象
04-07
文本文件解析对象是编程中处理文本数据的重要工具,主要用于读取、分析和操作文本文件中的内容。在不同的编程环境中,有各种不同的库和模块来支持这样的功能。在本例中,我们提到了与文本文件解析相关的几个文件,...
应急响应学习-文件分析
qq_49091880的博客
10-20 462
应急响应学习
文件分析 (持续更新)
zip471642048的博客
05-25 342
Unknown File 题目地址 : https://ce.pwnthebox.com/challenges?type=1&page=7&id=1881 发现有IHDR的文件块是png的文件属性 修复文件头部
文件分析.
a2106883567的博客
08-06 182
解题思路通常是通过查看文件格式的规范文档,或者使用特定的文件格式解析工具(如Binwalk)来解析文件,并分析其中的数据结构和算法。CTF文件分析题目需要参赛者具备一定的文件格式分析和数据结构算法实现的知识和技能,并且需要善于使用各种文件解析和分析工具。解题思路主要是通过观察文件的特征和利用工具分析文件来找出隐藏的信息或者解密加密的信息。CTF文件分析题目是一种常见的CTF比赛题目类型,通常涉及到文件格式的分析、数据结构的解析和算法的实现等方面,其中包含电子取证技术,文件提取技术等等。
C语言 目标文件和可执行文件(ELF文件
热门推荐
qq_32534441的博客
05-15 1万+
转自:https://www.jianshu.com/p/7c609b70acbd 1.C语言创建程序 1.1C语言创建(分为4个步骤) 编辑 编译 链接 执行 编辑:就是创建和修改C程序的源代码-我们编写的程序称为源代码。 编译:就是将源代码转换为机器语言。编译器的输出结果成为目标代码,存放它们的文件称为目标文件。扩展名为.o或者.obj。 (该部分编译是指汇编编译汇编语言或者编译编译...
ELF文件格式详解:目标文件格式分析与应用
ELF(Executable and Linkable Format)是一种通用的目标文件格式,广泛应用于UNIX类操作系统中。本文将详细介绍ELF文件格式规范,包括文件头部、节区、字符串表、符号表、重定位信息、程序加载和动态链接等方面的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值