ELF格式解读 Dynamic节

已于 2023-11-05 11:27:56 修改
阅读量2.5k 收藏 9
点赞数 2
分类专栏: elf 文章标签: 反汇编
于 2022-05-01 15:57:04 首次发布
本文链接:https://blog.csdn.net/qfanmingyiq/article/details/124527430
版权

前言

首先抛出一个问题,假设程序A需要动态库中的函数funb,那你你怎么知道这个函数在哪个动态库中?以及我们加载器怎么知道我们是否启用延迟加载还是立即加载?

为了解决以上问题ELF推出了一个节名为.Dynamic,里面包含很多信息比如你需要的动态库,以及是否立即加载以及符号表等。在got表的第一项指像.Dynamic,并且延迟绑定那个的时候需要传入.Dynamic对象地址,因为里面包含解析函数地址的上下文。

实战

我们看看下main的例子

//main.c
#include <stdio.h>

static int mystaticVar = 3 ;
int myglobalvar=5;
int myglobalvar2=6;
extern void testfun();
int main(){
        testfun();
        printf("hello world %d \r\n",mystaticVar);
        return 0;
}
void hell(){
     testfun();
}


//test.c
 __attribute__((visibility("default"))) void testfun(){
}
__attribute__((visibility("hidden")))  void testfun2(){
}
int libGLobal=2;

编译命令

gcc -fPIC -shared -o test.so test.c 
gcc -o main.out main.c test.so

首先我们查看 main.out相关节

在这里插入图片描述
[图1-1]

你会看到一个.dynamic节,这个节是由多个Elf64_Dyn组成的

typedef struct {
        Elf32_Sword d_tag;
        union {
                Elf32_Word      d_val;
                Elf32_Addr      d_ptr;
                Elf32_Off       d_off;
        } d_un;
} Elf32_Dyn;//32位程序

typedef struct {
        Elf64_Xword d_tag;
        union {
                Elf64_Xword     d_val;
                Elf64_Addr      d_ptr;
        } d_un;
} Elf64_Dyn;

其中d_tag决定这个是什么类别信息,以及该如何解析d_un内部变量。
其中有一个约定如果d_tag是偶数那么你使用d_ptr。奇数不包证一定使用d_val,但大多数情况下是。

d_ptr: 表示一个虚拟地址
d_val:需要根据d_tag才能决定表示的意思

d_tag 有很多类别具体您可参阅Dynamic Section

我们这里举例其中几个常用的d_tag

枚举数值使用d_un字段
DT_NULL0不使用
DT_NEEDED1d_val
DT_STRTAB5d_ptr
DT_FLAGS30d_val

DT_NULL:无意义

DT_NEEDED:所需要的动态库,d_val指向字符表的下标(字符表由DT_STRTAB确定)

DT_STRTAB:字符串表,d_ptr是字符串表地址

DT_FLAGS:一些标志位比如是否立即绑定so符号

你可以通过readelf查看这个结构数据解析结果
在这里插入图片描述
[图1-2]

我们手动来解析其中一个DT_NEEDED(test.so)

首先我们看到DT_STRTAB指向0x488,也就是我们字符串表所在的文件偏移。通过 [图1-1] 得知是.dynstr这个节.

我们首先显示16进制下 .dynamic 节区数据,下图高亮就是test.so所对应的Elf64_Dyn
在这里插入图片描述
[图1-3]

将上面二进制放入数据结构解析
d_tag:01000000 00000000
d_un:01000000 00000000

d_tag为1所以是DT_NEEDED类型,因此d_un中有意义的字段是d_val,指向字符表的下标。我们上文说过字符串是.dynstr这个节.

在这里插入图片描述

而下标因为为1所以指向的字符串是746573 742e736f 00,对应assic就是test.so.

符号导出控制

默认情况GCC 会将所有函数导出.dynamic(可使用__attribute__ ((visibility (“hidden”)))隐藏),如果制定了visibility编译参数除外。
据个例子
使用如下参数编译

gcc -fvisibility=hidden

那么所有这个程序里面的函数或则变量都不会在.dynamic中找到,当然你可以 __attribute__ ((visibility ("default")))显示说明要公开。

我们在Android环境编译下说明


//手动声明隐藏
extern "C"  __attribute__ ((visibility ("hidden")))  void myPrivateC(){
    printf("hello myPrivateC");

}
//由于默认所有函数导出所以这个函数可以被在mypublic找到
extern "C"  void myPublic(){
    printf("hello myPublic");
}

//JNIEXPORT 等于__attribute__ ((visibility ("default")))
extern "C" JNIEXPORT jstring JNICALL
Java_com_example_nativec_MainActivity_stringFromJNI(
        JNIEnv* env,
        jobject /* this */) {
    std::string hello = "Hello from C++";
    myPrivateC();
    myPublic();

    return env->NewStringUTF(hello.c_str());
}

在这里插入图片描述
在ghidra很明显看不到myprivate函数.

readelf查找类似结果。
在这里插入图片描述

我们看看调用这个函数的地方有什么特殊。
在这里插入图片描述
上图的FUN_0011ddb0就是myprivate函数调用,他已经ghidra随即生成一个符号代替(注意这里这个FUN_0011ddb0没有存储在任何符号表中,只是工具提升可读性的)

如果我们用objdump看实际就是一个固定偏移
在这里插入图片描述

C++ -fvisibility=hidden -fvisibility-inlines-hidden

参考

Dynamic Section

PWN基础15:GOT表 和 PLT表_prettyX的博客-程序员宅基地

不会写代码的丝丽
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ELF 解析.dynamic
ylcangel的专栏
07-20 4546
解析 .dynamic /* * ParseAllDyna.c * * Created on: 2014年7月19日 * Author: angel-toms */ #include "ElfParser.h" void print_elf_section_of_dynamic(MemMapping* mem,Elf32_Ehdr* pHeader,Elf32_Sh
ELF文件格式分析.pdf
04-21
藤启明
含大量图文解析及例程 | Linux下的ELF文件、链接、加载与库(中)
Peter的专栏
07-29 818
可执行文件的装载进程和装载的基本概念的介绍程序(可执行文件)和进程的区别程序是静态的概念,它就是躺在磁盘里的一个文件。进程是动态的概念,是动态运行起来的程序。现代操作系统如何装载可执行文件给进程分配独立的虚拟地址空间将可执行文件映射到进程的虚拟地址空间(mmap)将CPU指令寄存器设置到程序的入口地址,开始执行可执行文件在装载的过程中实际上如我们所说的那样是映射的虚拟地址...
[转帖]elf文件格式
sizhi的专栏
08-01 2224
  elf文件格式-- write by breadbox Email:[email protected]   译:alert7 [email protected] > from m4in security team              http://www.patching.net   isearthling [email protected] >       19:45 20
ELF文件格式解析(完)
热门推荐
zhangmiaoping23的专栏
09-01 1万+
转:https://www.52pojie.cn/thread-591986-1-1.html 数据类型首先在解析之前, 必须对数据类型格式声明一下 名称 大小 说明 Elf32_Addr 4 无符号程序地址 Elf32_Half 2 ...
Linux逆向---ELF动态链接
zekdot的博客
12-02 2194
ELF动态链接 静态链接通过将整个库都编译到可执行文件的方式来生成可执行文件,而动态链接则利用共享库来实现可执行文件对共享库中函数的调用,在执行时将共享库加载并绑定到该进程的地址空间中。 事前准备 由于要探究的是共享库,所以我们需要实现一个共享库文件: 首先是头文件: add.h: #ifndef ADD_H #define ADD_H int add(int a,int b); #endif ...
android elf 加固_一种简单的ELF加固方法
weixin_39534780的博客
12-19 296
介绍一种ELF文件函数粒度的加固方法,可以有效防止对程序的静态分析。这是一种有源码加固方式,需要被加固程序中代码配合。加固流程如下:1)读取ELF文件头,获取e_phoff和e_phnum2)通过Elf64_Phdr中的p_type字段,找到DYNAMIC3)遍历.dynamic,找到.dynsym、.dynstr 区偏移,和.dynstr区的大小4)遍历.dynsym,找到函数对应的Elf6...
ELF文件头读取修改
远有青山
03-12 9145
ELF = Executable and Linkable Format,可执行连接格式,是UNIX系统实验室(USL)作为应用程序二进制接口(Application Binary Interface,ABI)而开发和发布的。扩展名为elfELF 文件有三种类型:可重定位文件:也就是通常称的目标文件,后缀为.o。共享文件:也就是通常称的库文件,后缀为.so。可执行文件:本文主要讨论的
ELF解析04 - 字符串表/导入库表/符号表/导入表
a5right的博客
01-12 986
本文主要讨论 里面的几个子表。我们先总体看下 :这里我们只需要关心图中两个画圆圈的地方。由于 的子表内容都在可加载段的范围里面,所以对这些子表的访问都是在虚拟内存里面进行的。 这个值我们可以自己静态分析使用,但是解析的时候不要用这个地址。包括 ,这些值都没用。有一个需要注意的地方,就是 的值要比 的值要大一个 PAGE 值。这是为啥呢?是因为第二个可加载段的映射偏差:可以看到在第二个可加载段在做内存映射的时候就有一个 PAGE 值的偏差,由于只要是放在第二个段里面的内容,就会有一个 PAGE 的
一种简单的ELF加固方法
weixin_30642029的博客
10-28 346
介绍一种ELF文件函数粒度的加固方法,可以有效防止对程序的静态分析。这是一种有源码加固方式,需要被加固程序中代码配合。加固流程如下:1)读取ELF文件头,获取e_phoff和e_phnum2)通过Elf64_Phdr中的p_type字段,找到DYNAMIC3)遍历.dynamic,找到.dynsym、.dynstr 区偏移,和.dynstr区的大小4)遍历.dynsym,找到函数对应的Elf6...
elf格式解析工具
10-01
用来解析elf格式文件,如DSP/ccs的编译输出.out文件 或ARM/MDK编译的axf文件,使用mfc设计,使用虚拟列表完美提升工具性能
elf101(ELF格式
09-23
elf101,资料收集自互联网,通过一张图展示ELF格式,是学习ELF格式的好工具
实例分析ELF文件静态链接
weixin_30492047的博客
06-08 148
参考文献: 《ELF V1.2》 《程序员的自我修养---链接、装载与库》第4章 静态链接 开发平台: [thm@tanghuimin static_link]$ uname -a Linux tanghuimin 2.6.32-358.el6.x86_64 #1 SMP Fri Feb 22 00:31:26 UTC 2013 x86_64 x86_64 x86_6...
C 语言编程 — GCC 编译器
烟云的计算
04-02 4252
目录 文章目录目录GCC 编译器GCC 的常用指令选项GCC 所遵循的部分约定规则GCC 的编译流程GCC 的编译流程示例 GCC 编译器 GCC(GNU Compiler Collection,GNU 编译器套件)是 Linux 下使用最广泛的 C/C++ 编译器。GCC 是以 GPL 许可证所发行的自由软件,也是 GNU 计划的关键部分。GCC 的初衷是为 GNU 操作系统专门编写一款编译器,...
ELF(Executable and Linking Format)文件结构描述
海棠花的博客
03-31 1588
ELF文件(Executable and Linking Format)是用在Linux系统下的一种目标文件(object file)存储格式。典型的目标文件有如下3类: 可重定向文件(relocatable file)可重定向文件里面包含了代码和数据,用于和其他可重定向文件一起链接形成一个可执行文件或者动态库。 可执行文件(executable file) 可执行文件里面...
文心一言是什么,文心一言怎么用
神经网络爱好者
02-14 8342
百度在人工智能领域深耕十余年,拥有产业级知识增强文心大模型ERNIE ,具备跨模态、跨语言的深度语义理解与生成能力。随后,《澎湃新闻》将体验“文心一言”的全面能力,应用百度先进的智能交互技术成果,打造内容生态人工智能全系产品和服务。百度在人工智能领域深耕十余年,具有产业级知识增强文心大模型ERNIE,具备不同模式、不同语言之间的深层语义理解和生成能力。3、截至目前,已加入百度“文心一言”生态圈,获得这一先进AI技术的“加持”。2、据悉,《文心一句》做了上线前的冲刺,将于3月完成内测,面向公众开放。
runtime 分类结构体_64位ret2_dl_runtime_resolve模版题以及踩坑记录
weixin_39646107的博客
01-02 391
什么是ret2dl攻击当程序在第一次加载某个函数的时候,got表中对应的表项还没有写入真实的地址(因为是第一次调用),所以这个时候就需要调用_dl_runtime_resolve函数将真实的地址写入got表对应的表项中,然后将控制权交还这个函数,此时就完成了第一次的调用,got表中也有了对应的真实地址。整个调用过程梳理_dl_fixup之前当我们第一调用read时,他的跳转过程是read@plt ...
android elf解析Elf_Dyn标识符号
一只狍子的博客
07-25 761
DT_NULL Marks end of dynamic section DT_NEEDED String table offset to name of a needed library DT_PLTRELSZ Size in bytes of PLT relocs DT_PLTGOT Address of PLT and/or GOT DT_HASH Address o
node-v18.11.0-headers.tar.xz
最新发布
05-20
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
elf 格式 pdf
09-22
ELF格式(Executable and Linkable Format)是一种可执行文件和可链接文件的标准格式。它在Unix和类Unix操作系统中被广泛使用。 ELF格式的文件是二进制文件,由一系列的(sections)组成。包含了可执行代码、数据、符号表、动态链接信息等,它们用于支持程序的加载、链接和运行。 作为一种可执行文件格式ELF格式具有很强的兼容性和可移植性。不同平台上的ELF文件可以使用相同的格式进行交换和传输,而无需修改文件本身。这使得ELF格式成为跨平台开发和软件分发的首选格式之一。 与ELF格式相关联的还有PDF(Portable Document Format)格式,它是一种用于显示、打印和传输文档的文件格式。与ELF格式不同,PDF格式主要用于处理文本、图像和页面布局等内容。 总结来说,ELF格式是一种用于可执行文件和可链接文件的标准格式,而PDF格式则主要用于文档的显示和传输。两种格式在用途和结构上有很大的差异,不能直接将ELF格式的文件保存为PDF格式的文件。要将ELF文件转换为PDF格式,需要使用专门的工具和转换程序来进行处理。 请注意以上只是对ELF格式和PDF格式的简要介绍,实际涉及到这两种格式的使用和转换还有很多细需要考虑。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值