ELF分析(2)

最新推荐文章于 2024-06-06 11:25:36 发布
最新推荐文章于 2024-06-06 11:25:36 发布
阅读量421 收藏 1
点赞数 2
分类专栏: ELF 文章标签: ELF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_38017538/article/details/81199298
版权

 

执行时不是特别清楚,先从静态的链接视图开始分析:

链接视图:

这几个就可以得到section的头部表格:

根据上面的section header里面的内容,得到:

 

,再结合IDA中的so。

section header将整个so文件分成了若干的section

里面可能比较重要的是 .dynstr .hash .plt .text .rodata .got

其中.text是代码段,程序执行的部分 .rodata是纯数据

.comment .not.gun.gold-ve .ARM.attributes .shstrtab,上面Addr地址为0x00000.因此不存放在内存中,在执行视图,或者IDA中不存在。但可以直接用010Edit查看。

 

链接视图,在实际执行中并不存在,因此ELF header中的关于segment的部分都可以修改。

 

 

执行视图:

 

根据ELF headers中的偏移,计算出program header的位置,以及数量和单个的长度。

 

根据program headers和section header的结合,得出:

 

复制网上一个图片:

得出

a. 一个节区可以同时属于多个段区b. 一个段区可以包含多个节区c. 段区由多个节区组成时,这些节区是连续的d. 我们看到.comments、.note.gnu.gold-ve、.ARM.attributes、.shstrtab 并没有被映射到段,因此可以猜测这些区间的内容修改不会影响程序的执行。

 

参考链接:

https://blog.csdn.net/jiangwei0910410003/article/details/49336613

https://www.jianshu.com/p/9ce47c938706

ELF解析
u011337769的博客
07-26 713
了解了elf文件格式之后,最好的方式就是手动写一个自动解析elf文件的工具,目的在于进一步熟悉elf文件格式,然后进行思考后大致思路如下:     0x0.设计界面     对于界面设计,采用了QT的设计师,快速构建满足需求的界面     0x1.解析文件头     从文件中读取二进制数据保存再全局buf中,首先需要判断魔数,为elf文件则继续解析,再根据结构进行读取 /* The EL
IDA动态调试问题
qq_34108752的博客
09-15 2772
1: 这个报错是 因为你用的android_server 是32位的) 那就得打开IDA32位的! 打开64位的就会报这个错误! 2: Modules找不到 libdvm.so 是以为安卓系统问题 因为谷歌官方正式宣布从Android5.0开始不在支持Dalvik虚拟机,采用ART运行环境,并且libdvm.so是Dalvik的库文件之一,但我们发现在/system/lib文件夹下看不到这个文件...
ELF动态解析符号过程(修订版)
新博客请访问- http://oliveryang.net
10-17 1万+
 ELF动态解析符号过程(修订版)by alert7 2002-01-27转载自:http://elfhack.whitecell.org★★ 前言本篇文章以linux为平台为例,演示ELF动态解析符号的过程。不正之处,还请斧正。通常,ELF解析符号方式称为lazy MODE装载的。这种装载技术是ELF平台上默认的方式。在不同的体系平台在实现这种机制也是不同的。但是i386和SPA
ELF文件格式在IDA中解析
Denny_Chen_的博客
10-08 4240
一.ELF文件在IDA中展现形式 ELF文件本身是一个二进制文件,对应IDA中 HEX VIEW 界面中内容,但用户关注更多的内容可能是 IDA VIEW。IDA VIEW中是对 HEX VIEW 界面中内容从头到尾的解析,并且内容一一对应(HEX VIEW内容偏移和IDA VIEW的左侧地址对应,不管鼠标在IDA VIEW还是HEX VIEW的哪个位置停留,点击进另一个界面时,地址或偏移都是对应的)。不管二进制文件有多大,解析的汇编内容都只是在IDA VIEW,只是文件很大时,解析会比较慢。 如果二进制内
快速理解 .bss、.data和.rodata
Mark~J的博客
07-12 1万+
全局变量是放在全局内存中的,用static修饰的局部变量也是会放在放全局内存的,它的作用域是局部的,但生命期是全局的。 全局强调的是它的生命期,而不是它的作用域,所以有时可能把两者的概念互换。一般来说,在一起定义的两个全局变量,在内存的中位置是相邻的。这是一个简单的常识,但有时挺有用,如果一个全局变量被破坏了,不防先查查其前后相关变量的访问代码,看看是否存在越界访问的可能。 在ELF格式的可执
Android逆向之旅---Android应用的汉化功能(修改SO中的字符串内容)
weixin_30793643的博客
10-23 439
一、前言今天我们继续来讲述逆向的知识,今天我们来讲什么呢?我们在前一篇文章中介绍了关于SO文件的格式,今天我们继续这个话题来看看如何修改SO文件中的内容,看一下我们研究的主题:需求:想汉化一个Apk思路:汉化,想必大家都了解,老外开发的一个游戏,结果他不支持中文,那么我们就需要做一下汉化,那么我们知道汉化的工作其实很简单,就是替换Apk中英文的字符串位置,那么我们可以反编译Apk..得到sma...
ELF文件的加载过程(load_elf_binary函数详解)--Linux进程的管理与调度(十三)
热门推荐
OSKernelLAB(gatieme)
06-10 3万+
日期 内核版本 架构 作者 GitHub CSDN 2016-06-04 Linux-4.6 X86 & arm gatieme LinuxDeviceDrivers Linux进程管理与调度-之-进程的描述 加载和动态链接从编译/链接和运行的角度看,应用程序和库程序的连接有两种方式。 一种是固定的、静态的连接,就是把需要用到的库函数的目标代码(二进制)代
ELF文件格式分析.pdf》与elf解析代码
03-22
2. **节(Section)和段(Segment)**:ELF文件中的节和段是不同的概念,但密切相关。节通常用于组织程序的内部结构,如.text(代码)、.data(已初始化数据)、.bss(未初始化数据)等。段则是将多个相关的节组合在...
ELF分析(1)
灰机_神的博客
07-25 1498
ELF Header: 首先利用ndk系统里面的readelf命令,查看so文件的elf 头信息:   自己解析的话:   ELF Header数据结构   由上面两张表推导出,elf 头文件各个结构的位置:   例如一个elf文件头信息(): 将这些字段,按照规定解析之后: e_ident[]数组: (也叫魔数Magic Number)给出了ELF...
ELF文件格式分析.pdf
04-21
藤启明
ELF 文件格式分析(北京大学实验室出的标准版)
03-19
北京大学实验室的标准版ELF文件格式分析为我们提供了深入理解这一格式的关键信息。 首先,我们要明白ELF文件的基本结构。ELF文件由头文件、节区头部表、节区、符号表、字符串表等组成。头文件包含了关于整个ELF文件...
ELF Linker学习篇(一)关于ELF文件装载进内存
雪一梦的博客
10-31 4628
学习Linker也有一段时日了,但是还是不太清楚,对于Linker的重要性不多说,无论是对于加固还是对于脱壳都有至关重要的作用,我们作为一名安全爱好者,不需要细细了解源码的每句意思,但是大致的框架理清还是很有必要的,接下来几篇围绕这这个进行展开研究,一来帮助需要之人,二来加深自己的理解。 整体框架篇:  每每研究这个的时候,我都特别喜欢拿一张图来进行看: 可以看到这里面的重点函数为:
ELF文件格式
最新发布
biu801的博客
06-06 921
ELF(Executable and Linkable Format)是一种常见的可执行文件和可链接文件格式,主要用于Linux和类Unix系统。ELF 文件结构及相关常数被定义在 /usr/include/elf.h 里,因为 ELF 文件在各种平台下都通用,ELF文件有 32 位版本和 64 位版本。32 位版本与 64 位版本的 ELF 文件的格式基本是一样的(部分结构体为了优化对齐后大小调整了成员的顺序),只不过有些成员的大小不一样。
IDA简易教程
hscyypmail的专栏
05-30 2404
IDA简易教程                                     作者:www.datarescue.com                                                              mailto:winroot@126.com2004-11-20    初步翻译完成,希望大家指正错误,谢谢!我的鸟语太差大概翻译
ELF文件系列第一篇ELF文件的静态结构概述
u011298001的博客
12-06 804
前言 在看uboot编译过程时发现最终生成u-boot.bin文件时生成了一个ELF格式的中间文件u-boot,后来对ELF文件了解了一下后发现平时用的对象文件、可执行文件和库文件都是ELF格式的。考虑到平时一直在使用这些文件却对他们知之甚少,因此从这里开始系统学习一下ELF文件格式。 UNIX/LINUX 平台下三种主要的可执行文件格式:a.out(assembler and link ed...
ELF格式分析
03-22
NULL 博文链接:https://eroshn.iteye.com/blog/1011376
elf进行解析
yldfree的博客
07-25 1877
 elf.c /************************************** *Copyright yldfree *2017-10-5 * ************************************/ #include <stdio.h> #include <stdlib.h> #include <elf.h> #in...
静态程序编译链接与装载(四)ELF程序如何执行
weiqi7777的博客
02-16 1757
ELF有执行视图,那么ELF是怎么执行的起来的呢? 这里,分为2个进行说明: 一、CPU在EDA上,仿真执行ELF 在验证环境中,会有一块memory,专门用来放置CPU要执行的指令,以及访问的数据。而verilog提供了$memreadh系统函数,可以将hex文件,直接载入到memory中。 因此只要将ELF文件,转化成hex文件即可。 比如对于如下的链接脚本: 3个代...
ELF文件结构
qq_61553520的博客
09-26 163
实际上,系统并不关心每个节的实际内容,而是关心这些节的权限(读、写、执行),那么通过将不同权限的节分组,即可同时装载多个节,从而节省资源。ELF文件头(ELF header )位于目标文件最开始的位置,包含描述整个文件的一些基本信息,例如ELF文件类型、版本/ABI版本、目标机器、程序人口、段表和节表的位置和长度等。一个目标文件中包含许多节,节的信息保存在节头表( Section header table )中,表的每一项都是一个 Elf64_Shdr结构体(也称为节描述符),
elf中的bss data
a2796749的专栏
05-13 1819
一般C语言的编译后执行语句都编译成机器代码,保存在.text段;已初始化的全局变量和局部静态变量都保存在. data段;未初始化的全局变量和局部静态变量一般放在一个叫.“bss”的段里。我们知道未初始化的全局变量和局部静态变量默认值都为0,本来它们也可以被放在.data段的,但是因为它们都是0,所以为它们在.data段分配空间并且存放数据0是没有必要的。局部数据在程序执行过程的栈中进行初始化。运行
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值