查看elf结构中函数的偏移量

最新推荐文章于 2024-09-24 19:14:40 发布
最新推荐文章于 2024-09-24 19:14:40 发布
阅读量2.5k 收藏 4
点赞数 4
分类专栏: # 环境编程 文章标签: elf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_38816924/article/details/122327828
版权

文章目录

目标

实现目标:查看某个readline函数在/bin/bash中的偏移量。

方法一:使用readelf命令,从符号表中查看偏移量。可以看到偏移量为00000000000b8520

➜  readelf --symbols /bin/bash | grep readline
882: 00000000000b8520   154 FUNC    GLOBAL DEFAULT   16 readline

2022/1/6:借助popen函数,使用代码,实现方法一。代码见附录。

方法二:使用libelf解析elf文件,从符号表中查看偏移量。可以看到偏移量为754976=0Xb8520代码来源uprobe_helpers.c。本篇运行代码见仓库,或者本篇附录。

make
➜  ./get_elf_func_offset 
754976

背景介绍

参考一:计算机那些事(4)——ELF文件结构ELF文件格式简介readelf命令

参考二:elf – FreeBSD Manual Pageself(5) — Linux manual page

参考三:elfutils – source code

在这里插入图片描述

代码分析

头文件中需要关注的是<gelf.h>。该头文件定义了基本的ELF 类型,结构和宏。<gelf.h>包含了<libelf.h>,其为libelf的接口。

#include <stdio.h>
#include <gelf.h>
#include <sys/types.h>
#include <sys/stat.h>
#include <fcntl.h>
#include <unistd.h>
#include <string.h>

宏定义了一个将相关信息输出到错误输出。

#define warn(...) fprintf(stderr, __VA_ARGS__)

打开关闭elf文件

elf相关操作的第一步是调用elf_version()函数 – retrieve or set ELF library operating version。

elf_begin()函数用以打开ELF 文件。ELF_C_READ表示打开方式为只读。

elf_kind()函数用来检查打开的ELF文件类型。ELF_K_ELF表示为ELF文件。

/*
 * Opens an elf at `path` of kind ELF_K_ELF.  Returns NULL on failure.  On
 * success, close with close_elf(e, fd_close).
 */
Elf *open_elf(const char *path, int *fd_close)
{
	int fd;
	Elf *e;

	if (elf_version(EV_CURRENT) == EV_NONE) {
		warn("elf init failed\n");
		return NULL;
	}
	fd = open(path, O_RDONLY);
	if (fd < 0) {
		warn("Could not open %s\n", path);
		return NULL;
	}
	e = elf_begin(fd, ELF_C_READ, NULL);
	if (!e) {
		warn("elf_begin failed: %s\n", elf_errmsg(-1));
		close(fd);
		return NULL;
	}
	if (elf_kind(e) != ELF_K_ELF) {
		warn("elf kind %d is not ELF_K_ELF\n", elf_kind(e));
		elf_end(e);
		close(fd);
		return NULL;
	}
	*fd_close = fd;
	return e;
}

elf_end()函数,释放ELF descriptor。

void close_elf(Elf *e, int fd_close)
{
	elf_end(e);
	close(fd_close);
}

获取函数在elf中的偏移量

思路:遍历sections以找到符号表 – 借助string table,从符号表中找到偏移量 – 检查是否合法。

获取elf文件头

gelf_getehdr()函数从Elf文件描述符e中提取出文件头信息。

	Elf *e;
	GElf_Ehdr ehdr;
	e = open_elf(path, &fd);

	if (!gelf_getehdr(e, &ehdr))
		goto out;

elf文件头信息的存储结构体GElf_Ehdr如下所示:

typedef struct
{
  unsigned char	e_ident[EI_NIDENT];	/* Magic number and other info */
  Elf64_Half	e_type;			/* Object file type */
  Elf64_Half	e_machine;		/* Architecture */
  Elf64_Word	e_version;		/* Object file version */
  Elf64_Addr	e_entry;		/* Entry point virtual address */
  Elf64_Off	e_phoff;		/* Program header table file offset */
  Elf64_Off	e_shoff;		/* Section header table file offset */
  Elf64_Word	e_flags;		/* Processor-specific flags */
  Elf64_Half	e_ehsize;		/* ELF header size in bytes */
  Elf64_Half	e_phentsize;		/* Program header table entry size */
  Elf64_Half	e_phnum;		/* Program header table entry count */
  Elf64_Half	e_shentsize;		/* Section header table entry size */
  Elf64_Half	e_shnum;		/* Section header table entry count */
  Elf64_Half	e_shstrndx;		/* Section header string table index */
} Elf64_Ehdr;

文件头信息使用如下面命令查看:

➜ readelf -h /bin/bash
ELF 头:
  Magic:   7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00 
  类别:                              ELF64
  数据:                              2 补码,小端序 (little endian)
  Version:                           1 (current)
  OS/ABI:                            UNIX - System V
  ABI 版本:                          0
  类型:                              DYN (共享目标文件)
  系统架构:                          Advanced Micro Devices X86-64
  版本:                              0x1
  入口点地址:               0x30430
  程序头起点:          64 (bytes into file)
  Start of section headers:          1181528 (bytes into file)
  标志:             0x0
  Size of this header:               64 (bytes)
  Size of program headers:           56 (bytes)
  Number of program headers:         13
  Size of section headers:           64 (bytes)
  Number of section headers:         30
  Section header string table index: 29

其中,e_shstrndx就表示.shstrtab在段表中的下标。.shstrtab中主要存储的是段的名称。

可以使用如下命令查看/bin/bash.shstrtab在段表中的下标:

readelf --section-details /bin/bash
...
  [29] .shstrtab
       STRTAB           0000000000000000  0000000000120638  0
       000000000000011d 0000000000000000  0                 1
       [0000000000000000]:

读取.shstrtab段下标

elf_getshdrstrndx()函数提取段名字符串(section name string table)所在下标。

size_t shstrndx;
if (elf_getshdrstrndx(e, &shstrndx) != 0)
		goto out;

遍历sections->section头信息->找到符号表类型的section->遍历section中(data)->遍历data->从string table中查找符号

elf_nextscn()函数,以迭代的方式取得指向section descriptor的指针。

gelf_getshdr()函数,提取section头信息。头信息的结构体如下:

typedef struct
{
  Elf64_Word	sh_name;		/* Section name (string tbl index) */
  Elf64_Word	sh_type;		/* Section type */
  Elf64_Xword	sh_flags;		/* Section flags */
  Elf64_Addr	sh_addr;		/* Section virtual addr at execution */
  Elf64_Off	sh_offset;		/* Section file offset */
  Elf64_Xword	sh_size;		/* Section size in bytes */
  Elf64_Word	sh_link;		/* Link to another section */
  Elf64_Word	sh_info;		/* Additional section information */
  Elf64_Xword	sh_addralign;		/* Section alignment */
  Elf64_Xword	sh_entsize;		/* Entry size if section holds table */
} Elf64_Shdr;

查找shdr->sh_type类型为SHT_SYMTAB符号表,或SHT_DYNSYM动态符号表。符号表存储在.symtab节中,是一个ElfN_Sym的数组,保存了符号信息。动态符号表存储在.dynsym节,保存在text段中。其保存了从共享库导入的动态符号表。.dynsym保存了引用来自外部文件符号的全局符号。如printf库函数。.dynsym保存的符号是.symtab所保存符合的子集,.symtab中还保存了可执行文件的本地符号。如全局变量,代码中定义的本地函数等。

elf_getdata()函数,迭代遍历section中的data。

gelf_getsym()函数,从data中提取符号信息(symbol information)。符号信息的结构体如下:

typedef struct
{
  Elf64_Word	st_name;		/* Symbol name (string tbl index) */
  unsigned char	st_info;		/* Symbol type and binding */
  unsigned char st_other;		/* Symbol visibility */
  Elf64_Section	st_shndx;		/* Section index */
  Elf64_Addr	st_value;		/* Symbol value */
  Elf64_Xword	st_size;		/* Symbol size */
} Elf64_Sym;

可以看到,符号的名称存储在string table的sym->st_name下标位置。且当section类型为符号表类型时,shdr->sh_link指向string table。

elf_strptr()函数,从string table中,提取string pointer。GELF_ST_TYPE用以提取符号的类型,判断是否为STT_FUNC(The symbol is associated with a function or other executable code.) sym->st_value中存储着code的偏移量。

	Elf *e;
	Elf_Scn *scn;
	Elf_Data *data;
	GElf_Ehdr ehdr;
	GElf_Shdr shdr[1];
	GElf_Phdr phdr;
	GElf_Sym sym[1];
	size_t shstrndx, nhdrs;
	char *n;

	scn = NULL;
	while ((scn = elf_nextscn(e, scn))) {
		if (!gelf_getshdr(scn, shdr))
			continue;
		if (!(shdr->sh_type == SHT_SYMTAB || shdr->sh_type == SHT_DYNSYM))
			continue;
		data = NULL;
		while ((data = elf_getdata(scn, data))) {
			for (i = 0; gelf_getsym(data, i, sym); i++) {
				n = elf_strptr(e, shdr->sh_link, sym->st_name);
				if (!n)
					continue;
				if (GELF_ST_TYPE(sym->st_info) != STT_FUNC)
					continue;
				if (!strcmp(n, func)) {
					ret = sym->st_value;
					goto check;
				}
			}
		}
	}

可以使用如下命令查看sections信息:

readelf --section-details /bin/bash

可以使用如下命令查看sections header信息:

readelf --section-headers /bin/bash
There are 30 section headers, starting at offset 0x120758:

节头:
  [] 名称              类型             地址              偏移量
       大小              全体大小          旗标   链接   信息   对齐
  [ 0]                   NULL             0000000000000000  00000000
       0000000000000000  0000000000000000           0     0     0
  [ 1] .interp           PROGBITS         0000000000000318  00000318
       000000000000001c  0000000000000000   A       0     0     1
  [ 2] .note.gnu.propert NOTE             0000000000000338  00000338
       0000000000000020  0000000000000000   A       0     0     8
  [ 3] .note.gnu.build-i NOTE             0000000000000358  00000358
       0000000000000024  0000000000000000   A       0     0     4
  [ 4] .note.ABI-tag     NOTE             000000000000037c  0000037c
       0000000000000020  0000000000000000   A       0     0     4
  [ 5] .gnu.hash         GNU_HASH         00000000000003a0  000003a0
       0000000000004aac  0000000000000000   A       6     0     8
  [ 6] .dynsym           DYNSYM           0000000000004e50  00004e50
       000000000000e418  0000000000000018   A       7     1     8
  [ 7] .dynstr           STRTAB           0000000000013268  00013268
       0000000000009740  0000000000000000   A       0     0     1
  [ 8] .gnu.version      VERSYM           000000000001c9a8  0001c9a8
       0000000000001302  0000000000000002   A       6     0     2
  [ 9] .gnu.version_r    VERNEED          000000000001dcb0  0001dcb0
       00000000000000d0  0000000000000000   A       7     3     8
  [10] .rela.dyn         RELA             000000000001dd80  0001dd80
       000000000000dc80  0000000000000018   A       6     0     8
  [11] .rela.plt         RELA             000000000002ba00  0002ba00
       0000000000001470  0000000000000018  AI       6    25     8
  [12] .init             PROGBITS         000000000002d000  0002d000
       000000000000001b  0000000000000000  AX       0     0     4
  [13] .plt              PROGBITS         000000000002d020  0002d020
       0000000000000db0  0000000000000010  AX       0     0     16
  [14] .plt.got          PROGBITS         000000000002ddd0  0002ddd0
       0000000000000030  0000000000000010  AX       0     0     16
  [15] .plt.sec          PROGBITS         000000000002de00  0002de00
       0000000000000da0  0000000000000010  AX       0     0     16
  [16] .text             PROGBITS         000000000002eba0  0002eba0
       00000000000aeb55  0000000000000000  AX       0     0     16
  [17] .fini             PROGBITS         00000000000dd6f8  000dd6f8
       000000000000000d  0000000000000000  AX       0     0     4
  [18] .rodata           PROGBITS         00000000000de000  000de000
       000000000001a094  0000000000000000   A       0     0     32
  [19] .eh_frame_hdr     PROGBITS         00000000000f8094  000f8094
       00000000000044dc  0000000000000000   A       0     0     4
  [20] .eh_frame         PROGBITS         00000000000fc570  000fc570
       0000000000017c28  0000000000000000   A       0     0     8
  [21] .init_array       INIT_ARRAY       0000000000115cf0  00114cf0
       0000000000000008  0000000000000008  WA       0     0     8
  [22] .fini_array       FINI_ARRAY       0000000000115cf8  00114cf8
       0000000000000008  0000000000000008  WA       0     0     8
  [23] .data.rel.ro      PROGBITS         0000000000115d00  00114d00
       00000000000028f0  0000000000000000  WA       0     0     32
  [24] .dynamic          DYNAMIC          00000000001185f0  001175f0
       0000000000000210  0000000000000010  WA       7     0     8
  [25] .got              PROGBITS         0000000000118800  00117800
       00000000000007e8  0000000000000008  WA       0     0     8
  [26] .data             PROGBITS         0000000000119000  00118000
       0000000000008604  0000000000000000  WA       0     0     32
  [27] .bss              NOBITS           0000000000121620  00120604
       0000000000009c78  0000000000000000  WA       0     0     32
  [28] .gnu_debuglink    PROGBITS         0000000000000000  00120604
       0000000000000034  0000000000000000           0     0     4
  [29] .shstrtab         STRTAB           0000000000000000  00120638
       000000000000011d  0000000000000000           0     0     1
Key to Flags:
  W (write), A (alloc), X (execute), M (merge), S (strings), I (info),
  L (link order), O (extra OS processing required), G (group), T (TLS),
  C (compressed), x (unknown), o (OS specific), E (exclude),
  l (large), p (processor specific)

下面对其中的一些进行简单的介绍:

  • .interp保存了解释器的文件名,这是一个ASCII字符串
  • .data保存初始化的数据,这是普通程序数据一部分,可以再程序运行时修改
  • .rodata保存了只读数据,可以读取但不能修改。例如,编译器将出现在printf语句中的所有静态字符串封装到该节
  • .init和.fini保存了进程初始化和结束所用的代码,这两个节通常都是由编译器自动添加
  • .gnu.hash是一个散列表,允许在不对全表元素进行线性搜索的情况下,快速访问所有的符号表项

可以使用下面命令查看符号信息:

➜  readelf --symbols /bin/bash | grep readline
...
882: 00000000000b8520   154 FUNC    GLOBAL DEFAULT   16 readline
...

遍历program headers

最后需要检查下该偏移位置在程序段中。

elf_getphdrnum()函数返回program headers的数量。使用gelf_getphdr()函数,获取程序头。检查类型为PT_LOAD(a loadable segment),flag为PF_X(An executable segment)。偏移量位于program header中间。

check:
	if (ehdr.e_type == ET_EXEC || ehdr.e_type == ET_DYN) {
		if (elf_getphdrnum(e, &nhdrs) != 0) {
			ret = -1;
			goto out;
		}
		for (i = 0; i < (int)nhdrs; i++) {
			if (!gelf_getphdr(e, i, &phdr))
				continue;
			if (phdr.p_type != PT_LOAD || !(phdr.p_flags & PF_X))
				continue;
			if (phdr.p_vaddr <= ret && ret < (phdr.p_vaddr + phdr.p_memsz)) {
				ret = ret - phdr.p_vaddr + phdr.p_offset;
				goto out;
			}
		}
		ret = -1;
	}
out:
	close_elf(e, fd);
	return ret;
}

可以使用下面命令查看program headers

➜  ~ readelf --program-headers   /bin/bash  

Elf 文件类型为 DYN (共享目标文件)
Entry point 0x30430
There are 13 program headers, starting at offset 64

程序头:
  Type           Offset             VirtAddr           PhysAddr
                 FileSiz            MemSiz              Flags  Align
  PHDR           0x0000000000000040 0x0000000000000040 0x0000000000000040
                 0x00000000000002d8 0x00000000000002d8  R      0x8
  INTERP         0x0000000000000318 0x0000000000000318 0x0000000000000318
                 0x000000000000001c 0x000000000000001c  R      0x1
      [Requesting program interpreter: /lib64/ld-linux-x86-64.so.2]
  LOAD           0x0000000000000000 0x0000000000000000 0x0000000000000000
                 0x000000000002ce70 0x000000000002ce70  R      0x1000
  LOAD           0x000000000002d000 0x000000000002d000 0x000000000002d000
                 0x00000000000b0705 0x00000000000b0705  R E    0x1000
  LOAD           0x00000000000de000 0x00000000000de000 0x00000000000de000
                 0x0000000000036198 0x0000000000036198  R      0x1000
  LOAD           0x0000000000114cf0 0x0000000000115cf0 0x0000000000115cf0
                 0x000000000000b914 0x00000000000155a8  RW     0x1000
  DYNAMIC        0x00000000001175f0 0x00000000001185f0 0x00000000001185f0
                 0x0000000000000210 0x0000000000000210  RW     0x8
  NOTE           0x0000000000000338 0x0000000000000338 0x0000000000000338
                 0x0000000000000020 0x0000000000000020  R      0x8
  NOTE           0x0000000000000358 0x0000000000000358 0x0000000000000358
                 0x0000000000000044 0x0000000000000044  R      0x4
  GNU_PROPERTY   0x0000000000000338 0x0000000000000338 0x0000000000000338
                 0x0000000000000020 0x0000000000000020  R      0x8
  GNU_EH_FRAME   0x00000000000f8094 0x00000000000f8094 0x00000000000f8094
                 0x00000000000044dc 0x00000000000044dc  R      0x4
  GNU_STACK      0x0000000000000000 0x0000000000000000 0x0000000000000000
                 0x0000000000000000 0x0000000000000000  RW     0x10
  GNU_RELRO      0x0000000000114cf0 0x0000000000115cf0 0x0000000000115cf0
                 0x0000000000003310 0x0000000000003310  R      0x1

附录

查看elf结构中函数偏移量的完整代码

// SPDX-License-Identifier: (LGPL-2.1 OR BSD-2-Clause)
/* Copyright (c) 2021 Google LLC. */
#include <stdio.h>
#include <gelf.h>
#include <sys/types.h>
#include <sys/stat.h>
#include <fcntl.h>
#include <unistd.h>
#include <string.h>

#define warn(...) fprintf(stderr, __VA_ARGS__)
/*
 * Opens an elf at `path` of kind ELF_K_ELF.  Returns NULL on failure.  On
 * success, close with close_elf(e, fd_close).
 */
Elf *open_elf(const char *path, int *fd_close)
{
	int fd;
	Elf *e;

	if (elf_version(EV_CURRENT) == EV_NONE) {
		warn("elf init failed\n");
		return NULL;
	}
	fd = open(path, O_RDONLY);
	if (fd < 0) {
		warn("Could not open %s\n", path);
		return NULL;
	}
	e = elf_begin(fd, ELF_C_READ, NULL);
	if (!e) {
		warn("elf_begin failed: %s\n", elf_errmsg(-1));
		close(fd);
		return NULL;
	}
	if (elf_kind(e) != ELF_K_ELF) {
		warn("elf kind %d is not ELF_K_ELF\n", elf_kind(e));
		elf_end(e);
		close(fd);
		return NULL;
	}
	*fd_close = fd;
	return e;
}


void close_elf(Elf *e, int fd_close)
{
	elf_end(e);
	close(fd_close);
}


/* Returns the offset of a function in the elf file `path`, or -1 on failure. */
off_t get_elf_func_offset(const char *path, const char *func)
{
	off_t ret = -1;
	int i, fd = -1;
	Elf *e;
	Elf_Scn *scn;
	Elf_Data *data;
	GElf_Ehdr ehdr;
	GElf_Shdr shdr[1];
	GElf_Phdr phdr;
	GElf_Sym sym[1];
	size_t shstrndx, nhdrs;
	char *n;

	e = open_elf(path, &fd);

	if (!gelf_getehdr(e, &ehdr))
		goto out;

	if (elf_getshdrstrndx(e, &shstrndx) != 0)
		goto out;

	scn = NULL;
	while ((scn = elf_nextscn(e, scn))) {
		if (!gelf_getshdr(scn, shdr))
			continue;
		if (!(shdr->sh_type == SHT_SYMTAB || shdr->sh_type == SHT_DYNSYM))
			continue;
		data = NULL;
		while ((data = elf_getdata(scn, data))) {
			for (i = 0; gelf_getsym(data, i, sym); i++) {
				n = elf_strptr(e, shdr->sh_link, sym->st_name);
				if (!n)
					continue;
				if (GELF_ST_TYPE(sym->st_info) != STT_FUNC)
					continue;
				if (!strcmp(n, func)) {
					ret = sym->st_value;
					goto check;
				}
			}
		}
	}

check:
	if (ehdr.e_type == ET_EXEC || ehdr.e_type == ET_DYN) {
		if (elf_getphdrnum(e, &nhdrs) != 0) {
			ret = -1;
			goto out;
		}
		for (i = 0; i < (int)nhdrs; i++) {
			if (!gelf_getphdr(e, i, &phdr))
				continue;
			if (phdr.p_type != PT_LOAD || !(phdr.p_flags & PF_X))
				continue;
			if (phdr.p_vaddr <= ret && ret < (phdr.p_vaddr + phdr.p_memsz)) {
				ret = ret - phdr.p_vaddr + phdr.p_offset;
				goto out;
			}
		}
		ret = -1;
	}
out:
	close_elf(e, fd);
	return ret;
}

int main(void){
    const char *bash_path = "/bin/bash";
    off_t func_off;
    func_off = get_elf_func_offset(bash_path, "readline");
    if(func_off != -1)
        printf("%ld\n",func_off);
    return 0;
}

编译过程如下:

.PHONY:all

all:get_elf_func_offset

get_elf_func_offset:get_elf_func_offset.c
	gcc  $^ -lelf -o $@

.PHONY:clean

clean:
	rm -rf get_elf_func_offset

popen+readelf实现相同功能

#include <stdio.h>
#include <stdlib.h>
#include <sys/types.h>
#include <string.h>

// What are the meanings of the columns of the symbol table displayed by readelf?:
// https://stackoverflow.com/questions/3065535/what-are-the-meanings-of-the-columns-of-the-symbol-table-displayed-by-readelf
struct elf_sym {
    int sym_num;
    off_t offset;
    int size;
    char type[10];
    char bind[10];
    char visibility[10];
    int sec_num;
    char name[30];
};

off_t get_elf_func_offset_by_readelf(const char *path, const char *func){
    char cmomand[100];
    FILE *fp;
    sprintf(cmomand,"readelf --symbols %s | grep %s",path,func);
    if((fp = popen(cmomand,"r")) == NULL){
        fprintf(stderr,"popen fail...");
        exit(1);
    }

    char *line=NULL;
    size_t line_sz = 0;
    off_t result=-1;
    while(getline(&line,&line_sz,fp) >= 0){
        struct elf_sym sym;
        if(sscanf(line, "%d: %16lx %d %s %s %s %d %20s",&sym.sym_num,&sym.offset,&sym.size,sym.type,sym.bind,sym.visibility,&sym.sec_num,sym.name) < 1)
            continue;
        if(strcmp(sym.name,func) == 0){
            result = sym.offset;
            break;
        }
    }

    pclose(fp);
    return result;
}

int main(void){
    char *path = "/bin/bash";
    char *func = "readline";
    off_t result = get_elf_func_offset_by_readelf(path,func);
    printf("%ld\n",result);
}

编译过程如下:

APPS = get_elf_func_offset  get_elf_func_offset_by_readelf

.PHONY:all

all:$(APPS)

$(APPS): %: %.c
	gcc  $< -lelf -o $@

.PHONY:clean

clean:
	rm -rf $(APPS)
da1234cao
关注
专栏目录
如何在Linux ELF格式的文件(可执行binary,以及so文件)定位到对应的函数位置
simaowebex的博客
12-16 2942
Linux ELF格式解析 https://en.wikipedia.org/wiki/Executable_and_Linkable_Format readelf -h (headers) readelf -l (segments program headers) readelf -S (sections) readelf -s (symbols) 一个ELF的文件结构如下 如何定位一个函
pwn 获取函数/字符串相对偏移
weixin_44932880的博客
11-10 595
readelf -s file 获取程序的函数,变量相对偏移 readelf -s /lib/x86_64-linux-gnu/libc.so.6 |grep "system@@GLIBC_2.2.5" 查看system函数相对库的偏移 readelf -S file 程序段表 -s 程序符号表 -S 段表 -h 文件头显示ELF文件头 -l 程序标题显示程序标题 -e 相当于:-h-l-S -t 段表细节 --dyn-syms 显示动态符号表 -n 显示内核注释 -r 显示
arm64动态链接库通过函数名获取函数偏移
随心散人专栏
10-25 1023
基本思路是分析elf文件, 首先遍历节区头部Elf32_Shdr查看sh_type属性值,得到属性值为SHT_DYNSYM的节区。 其次通过名字遍历节区结点,找到类型为STT_FUNC并且名字与其相同的结点。 代码如下: static void * xmalloc(size_t size) { void *p; p = malloc(size); if (!p) { LOGV(
(全网最细)ELF文件详解
最新发布
wardenjohn的博客
09-24 1446
ELF文件解析
【Android 逆向】ELF 文件格式 ( 程序头偏移量 | 节区头偏移量 | 处理器特定标志 | ELF 文件头大小 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-27 984
一、程序头偏移量、 二、节区头偏移量、 三、处理器特定标志、 四、ELF 文件头大小、
【genius_platform软件平台开发】第八十五讲:如何获取结构体数据成员的偏移量(巧妙)
随意的风的专栏
11-22 341
【代码】【genius_platform软件平台开发】第八十五四讲:如何获取结构体数据成员的偏移量(巧妙)
在Linux ELF格式的文件定位到对应的函数位置
SweeNeil
11-09 6335
转自: https://blog.csdn.net/simaowebex/article/details/53691743 1、Linux ELF文件格式解析 readelf -h elfname (headers) readelf -l elfname (segments program headers) readelf -S elfname (sections) readelf ...
ELF文件结构1
08-04
在示例,e_phoff(程序头表的偏移量)位于0x40064,e_shoff(节头表的偏移量)位于0x14E032。这些值指示了程序头表和节头表在文件的位置,使得加载器和链接器可以找到并处理这些信息。 2. 程序头表(Program ...
linux内核elf区段的,Linux内核ELF可执行文件的装载/load_elf_binary()函数解析
weixin_42321940的博客
05-01 322
在Linux系统运行一个可执行的ELF文件时,内核首先需要识别这个文件,然后解析并装载它以构建进程的内存空间,最后切换到新的进程来运行。在fs/binfmt_elf.c定义了函数load_elf_binary()和load_elf_library()分别用于装载和解析ELF格式的可执行文件和动态连接库。下面来研究一下在load_elf_binary()做了哪些事情,一个新的进程的内存空间是布...
elf解析工具及源代码
10-07
- 节表详细信息:列出所有节的名称、类型、大小、偏移量和链接信息。 - 程序表详情:显示每个段的类型、内存偏移、物理地址、文件偏移、大小等属性。 - 动态符号表分析:包括符号的名字、类型、值、大小和绑定信息。...
浅析ELF的GOT与PLT
_wells的博客
03-28 1万+
一、ELF简介 现在PC平台流行的可执行文件格式主要是Windows 下的PE(portable Executable) 和Linux的ELF(Excutable Linkable Format)。   编译器编译源代码后生成的文件叫做目标文件,从目标文件的结构上讲, 它是已经编译后的可执行文件格式,只是还没有链接的过程,其可能有些符号或有些地址还没有被调整。其实它本身就
通过readelf工具解析ELF可重定位目标文件
BUFANG_XF的博客
09-29 1857
通过readelf工具解析ELF可重定位目标文件创建可重定位目标文件(main.o)ELF可重定位目标文件结构查看ELF头信息 创建可重定位目标文件(main.o) //main.c int sum(int *a,int n); int array[2]={1,2}; int mian() { int val=sum(array,2); return val; } //linux利用gc...
报头偏移量作用_C语言函数的实现
weixin_39630126的博客
11-30 190
符号表C编译器使用符号表来记录程序遇到的变量,类似汇编器的label表,不过C编译器符号表包括更多信息:名字、类型、已分配的内存地址、变量申明域或作用域等e.g 程序有6个变量声明,编译器会生成6个表项的符号表,采用偏移量的方式记录变量在内存的位置编译器的符号表变量的空间分配存放变量内容的内存有两种区段:全局数据段(global data section)和运行时栈(run-time ...
linux ELF调试技巧
记事本
04-10 316
linux工具 nm 用来列出目标文件(object files)的符号表(symbols) nm返回的格式, 共3列,分别是”符号在文件里的偏移”,”符号的类型”,”符号名称”。 -C : 加上此参数, 会让符号变成”适合阅读”的样式; -A 在每个符号信息的前面打印所在对象文件名称; -l 使用对象文件的调试信息打印出所在源文件及行号, gcc -g参数可以让打印更为详尽; objdump nm的增强版。 objdump -d out:反汇编test的需要执行指令的那些section; ob
linux-如何查看ELF文件包含的函数名称和参数?
weixin_40876882的博客
03-09 2541
如果查看文件的字节,我肯定会在其看到一些函数名称. 有什么工具可以帮我列出它们吗? 甚至他们的参数呢? 这应该在目标文件或库打印所有已定义的符号. nm -C --defined-only /usr/lib64/libQtCore.so nm有很多选项可用于过滤符号,例如-g仅用于显示全局符号,-l用于打印行号(如果您已使用gcc -g启用调试符号)等等. 如果您使用的是ELF格式的二进制文件(看起来像您的情况),则也可以使用readelf readelf -Ws /usr/lib64/
ELF总览
astrotycoon
12-20 1322
开始之前 之所以打算深入学习ELF文件格式,根本原因是在研读《程序员的自我修养》这本书时受到了启发。想必很多人跟我一样,在学习编程的起始阶段,很多知识都是书本或者是网络直接获取来的,可惜大多时候这些知识有些让人摸不着头脑,究其原因是因为我们没有实实在在地看到它们的存在。同样的,编程过程遇到的很多问题,也有相当一部分是对编译链接的知识欠缺导致的。 那么学习ELF文件格式有什么好处呢? 最明显的...
ELF文件解析和加载(附代码)
热门推荐
珂珂可爱多
03-20 5万+
目录:1. elf文件基本概念2. elf文件结构3. elf文件装载4. 代码实现1.elf文件基本概念elf文件是一种目标文件格式,用于定义不同类型目标文件以什么样的格式,都放了些什么东西。主要 用于linux平台。windows下是PE/COFF格式。 可执行文件、可重定位文件(.o)、共享目标文件(.so)、核心转储文件都是以elf文件格式存...
ELF入门
weixin_43329358的博客
11-06 345
Executable and Linkable Format ELF有两种视图,对应不同的目标文件 ELF的链接视图 对应可重定位的目标文件 ELF的执行视图对应可执行的目标文件 main.c程序 在这里插入代码片 ...
elf 格式分析----函数解析
inquisiter
04-13 1489
https://github.com/elfmaster/libelfmaster 这里是个不错的解析elf的c代码。 寻找导出函数对应偏移 我感觉文字没有代码明白,看下别人怎么写的,立马明白了。 mem指向elf文件加载的地址连续空间。 typedef struct { unsigned char e_ident[EI_NIDENT]; /* Magic number and other i...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

da1234cao

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值