Linux基础 -- 使用readelf或gdb查看二进制的节与解析

于 2024-07-17 10:46:57 发布
阅读量386 收藏 6
点赞数 4
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sz66cm/article/details/140488483
版权

使用 readelf -S 命令查看 ELF 文件的解析

前言

本文档介绍了如何使用 readelf -S 命令查看 ELF 文件的节表(Section Headers),以及如何结合 ASLR(Address Space Layout Randomization)技术,理解启用和禁用 ASLR 时 ELF 文件的差异。

使用 readelf -S 查看 ELF 文件的节表

1. 基本用法

假设有一个名为 example 的 ELF 文件,可以使用以下命令查看其节表:

readelf -S example

2. 输出示例及解析

以下是一个示例输出及其解析:

There are 29 section headers, starting at offset 0x1c20:

Section Headers:
  [Nr] Name              Type            Address          Off    Size   ES Flg Lk Inf Al
  [ 0]                   NULL            0000000000000000 000000 000000 00      0   0  0
  [ 1] .interp           PROGBITS        0000000000000200 000200 00001c 00   A  0   0  1
  [ 2] .note.ABI-tag     NOTE            0000000000000220 000220 000020 00   A  0   0  4
  [ 3] .note.gnu.build-i NOTE            0000000000000240 000240 000024 00   A  0   0  4
  [ 4] .gnu.hash         GNU_HASH        0000000000000268 000268 000030 00   A  5   0  8
  ...
  [28] .shstrtab         STRTAB          0000000000000000 000840 000120 00      0   0  1
Key to Flags:
  W (write), A (alloc), X (execute), M (merge), S (strings), l (large)
  I (info), L (link order), G (group), T (TLS), E (exclude), x (unknown)
  O (extra OS processing required) o (OS specific), p (processor specific)

3. 解析各字段

  • [Nr]:节的索引号。
  • Name:节的名称。
  • Type:节的类型(例如,PROGBITSNOTESTRTAB等)。
  • Address:在内存中的加载地址。
  • Off:在文件中的偏移。
  • Size:节的大小。
  • ES:条目大小(对于含有表项的节,如符号表)。
  • Flg:节的标志(例如,A表示在内存中分配,X表示可执行等)。
  • Lk:关联的链接。
  • Inf:额外的信息。
  • Al:对齐。

ASLR(Address Space Layout Randomization)

ASLR 是一种内存保护技术,通过随机化进程的内存地址空间来防止攻击者预测内存地址。

不使用 ASLR

在不使用 ASLR 的情况下,每次程序加载到内存中的地址是固定的。例如,可以通过以下方式禁用 ASLR:

echo 0 | sudo tee /proc/sys/kernel/randomize_va_space

使用 ASLR

使用 ASLR 时,程序每次加载到内存中的地址都会变化。可以通过以下方式启用 ASLR:

echo 2 | sudo tee /proc/sys/kernel/randomize_va_space

查看差异

1. 不使用 ASLR

程序的各个节的加载地址固定。例如,.text 节(代码段)在每次运行时都加载到相同的内存地址。

2. 使用 ASLR

程序的各个节的加载地址是随机的。例如,.text 节在每次运行时加载到不同的内存地址。

可以通过多次运行 readelf -l 命令来查看程序加载地址的变化:

readelf -l ./example | grep LOAD

输出示例

不使用 ASLR
  LOAD           0x0000000000000000 0x0000000000400000 0x0000000000400000 0x001000 0x001000 R E 0x200000
  LOAD           0x0000000000001000 0x0000000000401000 0x0000000000401000 0x000100 0x000100 RW  0x200000
使用 ASLR
  LOAD           0x0000000000000000 0x0000000000400000 0x0000000000400000 0x001000 0x001000 R E 0x200000
  LOAD           0x0000000000001000 0x0000000000402000 0x0000000000402000 0x000100 0x000100 RW  0x200000

注意到 0x0000000000400000 地址会在每次运行时发生变化,这就是 ASLR 生效的结果。

使用 GDB 查看节的映射表

1. 启动 GDB 并加载程序

gdb ./example

2. 运行程序

在 GDB 提示符下输入:

(gdb) run

3. 查看节的映射

在 GDB 提示符下输入以下命令以查看节的映射信息:

(gdb) info files

输出示例:

Symbols from "/path/to/example".
Local exec file:
    `/path/to/example', file type elf64-x86-64.
    Entry point: 0x400400
    0x0000000000400238 - 0x0000000000400254 is .interp
    0x0000000000400254 - 0x0000000000400274 is .note.ABI-tag
    0x0000000000400274 - 0x0000000000400298 is .note.gnu.build-id
    0x0000000000400298 - 0x00000000004002c8 is .gnu.hash
    0x00000000004002c8 - 0x0000000000400300 is .dynsym
    0x0000000000400300 - 0x0000000000400328 is .dynstr
    0x0000000000400328 - 0x0000000000400330 is .gnu.version
    ...
    0x0000000000601020 - 0x0000000000601040 is .fini_array
    0x0000000000601040 - 0x0000000000601048 is .jcr
    0x0000000000601048 - 0x0000000000601050 is .dynamic
    0x0000000000601050 - 0x0000000000601068 is .got
    0x0000000000601068 - 0x0000000000602000 is .got.plt
    0x0000000000602000 - 0x0000000000602018 is .data
    0x0000000000602018 - 0x0000000000602020 is .bss

该输出显示了各个节的内存地址范围及其名称。

结合 ASLR 查看映射差异

1. 禁用 ASLR

echo 0 | sudo tee /proc/sys/kernel/randomize_va_space

2. 再次运行程序并查看映射

重新启动 GDB 并运行程序,查看节的内存映射:

gdb ./example
(gdb) run
(gdb) info files

3. 启用 ASLR

echo 2 | sudo tee /proc/sys/kernel/randomize_va_space

4. 再次运行程序并查看映射

重新启动 GDB 并运行程序,查看节的内存映射:

gdb ./example
(gdb) run
(gdb) info files

比较这两次输出,可以观察到 ASLR 启用和禁用时,程序各个节加载地址的变化。这些变化正是 ASLR 工作的结果。

sz66cm
关注
Linux 二进制分析-Linux环境和工具(chapter 1)
犇叔的博客
12-01 1057
linux ELF 二进制分析
Linux 二进制分析-ELF二进制格式(chapter 2.1&2.2)
犇叔的博客
12-16 876
ELF二进制分析,二进制格式
GDB分析ELF文件常用的调试技巧
shengerjianku的专栏
11-08 5165
GDB分析ELF文件常用的调试技巧 gdb常用命令 首先是gbd+文件名 静态调试 ,gdb attach +文件名 动态调试 为了方便查看堆栈和寄存器 最好是安装peda插件 安装 可以通过pip直接安装,也可以从github上下载安装 $ pip install peda $ git clone https://github.com/longld/peda.git ~/peda...
使用readelf和objdump查看ELF常见段
yelvens的博客
11-02 7636
就是就是将几个输入目标文件加工后合并成一个输出文件,整个链接过程分两步:空间与地址分配、符号解析与重定位。的3大步骤:启动动态链接器本身 → 装载所有需要的共享对象 → 重定位和初始化。中对这些段又做了详细的解释,用到的时候只需查询即可。中给出了其中常见的段,解释了每个段的含义和用途。查看数据段相关的值需要。查看代码段相关的内容只需要。将16进制打印出来;
gdb查看内存
技术资料库
09-11 4335
gdb查看内存格式: x /nfu 说明x 是 examine 的缩写n表示要显示的内存单元的个数f表示显示方式, 可取如下值x 按十六进制格式显示变量。d 按十进制格式显示变量。u 按十进制格式显示无符号整型。o 按八进制格式显示变量。t 按二进制格式显示变量。a 按十六进制格式显示变量。i 指令地址格式c 按字符格式显示变量。f 按浮点数格式显示变量。
readelf 程序
ylcangel的专栏
01-09 965
从图中可以看出该目标文件包含8个程序,当然在程序编写时,需要先从elf头中获取该程序的个数和大小,我以此为例,并且假设程序的个数为8,大致解析程序如下(稍有不同 但足矣): #include #include #include #include #include #include #define elf_file_path
含大量图文解析及例程 | Linux下的ELF文件、链接、加载与库(中)
Peter的专栏
07-29 865
可执行文件的装载进程和装载的基本概念的介绍程序(可执行文件)和进程的区别程序是静态的概念,它就是躺在磁盘里的一个文件。进程是动态的概念,是动态运行起来的程序。现代操作系统如何装载可执行文件给进程分配独立的虚拟地址空间将可执行文件映射到进程的虚拟地址空间(mmap)将CPU指令寄存器设置到程序的入口地址,开始执行可执行文件在装载的过程中实际上如我们所说的那样是映射的虚拟地址...
Linux 二进制分析
GitChat
11-06 2465
内容简介 二进制分析属于信息安全业界逆向工程中的一种技术,通过利用可执行的机器代码(二进制)来分析应用程序的控制结构和运行方式,有助于信息安全从业人员更好地分析各种漏洞、病毒以及恶意软件,从而找到相应的解决方案。本书将带领读者探索连一些专家都未曾接触的领域,正式进入计算机黑客世界。 本书是一本剖析 Linux ELF 工作机制的图书,共分为9章,其内容涵盖了 Linux 环境和相关工具、ELF ...
技巧篇 | Linux_如何对二进制文件进行分析?
keyu123的博客
05-15 1236
linux 下一般以 `.o`, `.so`, `.a`, `.la` 后缀的二进制文件,它们的工作原理,你知道吗?当得到一个二进制文件,要如何对其进行分析?可以直接盲目运行么?
❤️超详细PWN新手入门教程❤️《二进制各种漏洞原理实战分析总结》
Test网络安全
09-15 1万+
本部分将对常见的二进制漏洞做系统分析,方便在漏洞挖掘过程中定位识别是什么类型漏洞,工欲善其事,必先利其器。 0x01栈溢出漏洞原理 栈溢出漏洞属于缓冲区漏洞的一种,实例如下: #include <stdio.h> #include <string.h> int main() { char *str = "AAAAAAAAAAAAAAAAAAAAAAAA"; vulnfun(str); return; } int vulnfun(char *st
readelf(1) command
Dablelv 的博客专栏。
03-05 5586
readelf 用于读取 ELF(Executable and Linkable Format)格式文件的详细信息,包括目标文件、可执行文件、共享目标文件与核心转储文件。
linux readelf,readelf命令常用参数介绍
weixin_32098487的博客
05-27 1908
readelf命令用来查看ELF文件,Linux系统中的目标文件,可执行文件,以及.s0动态链接库,都是ELF文件格式。-S(大写)汇总显示ELF文件的所有section header的信息$ readelf -S hh1.oThere are 12 section headers, starting at offset 0x21c:Section Headers:[Nr] Name ...
gdb 读取elf
weixin_34114823的博客
08-26 552
在make file中找到ld,然后将其换成 gdb, 如本例中LINKER = /usr/cygnus/xscale-020523/H-sparc-sun-solaris2.5/bin/xscale-elf-ld 所以gdb 是/usr/cygnus/xscale-020523/H-sparc-sun-solaris2.5/bin/xscale-elf-gdb 然后gdb 那个elf文件,...
ELF格式文件符号表全解析readelf命令使用方法
热门推荐
AddyLee的专栏
04-09 8万+
1. 读取ELF文件头: $ readelf -h sign ELF Header:   Magic:   7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00   Class:                                                  ELF64   Data:                    
pwn 题GDB调试技巧和exp模板
推理小孩的博客
08-31 2589
pwn 题GDB调试技巧和exp模板 GDB分析ELF文件常用的调试技巧 gdb常用命令 首先是gbd+文件名 静态调试 ,gdb attach +文件名 动态调试 为了方便查看堆栈和寄存器 最好是安装peda插件 安装 可以通过pip直接安装,也可以从github上下载安装 $ pip install peda $ git clone h...
查看elf结构中函数的偏移量
大草的博客
01-05 2516
查看elf结构中函数的偏移量:遍历sections以找到符号表 – 借助string table,从符号表中找到偏移量 – 检查是否合法。
Linux下的ELF文件、链接、加载与库(含大量图文解析及例程)
weixin_44966641的博客
10-06 1万+
Linux下的ELF文件、链接、加载与库 链接是将将各种代码和数据片段收集并组合为一个单一文件的过程,这个文件可以被加载到内存并执行。链接可以执行与编译时,也就是在源代码被翻译成机器代码时;也可以执行于加载时,也就是被加载加载到内存执行时;甚至执行于运行时,也就是由应用程序来执行。 ​ — CSAPP 本文主要参考[原创] Linux环境下:程序的链接, 装载和库,[完结] 2020 南京大学
STM32高级开发(11)-使用GDB调试你的工程
Foresights的博客
02-08 2万+
在GNU编译器中,GDB无疑起着无足轻重的位置,常言有道:写工程3分靠写,7分靠调。GDB作为GNU编译器下的标准调试工具,在我们的项目编写即调试过程中会被平凡的使用到。而由于我们在IDE环境下娇生惯养出来的习惯,我们可能不太容易上手一个用命令行为主要操作和显示形式的调试器。所以在这篇中我们会为大家详细的讲解GDB工具的使用,来让大家快速的入门。
readelf -S {库文件路径} | grep debug 列一个他的输出看看
最新发布
06-02
好的,假设我们要查看`libtest.so`文件是否被strip处理,可以使用以下命令: ```bash readelf -S libtest.so | grep debug ``` 如果输出结果中没有包含`debug`关键字,说明该文件已经被strip处理过,反之则没有。 示例输出: ``` [23] .debug_aranges PROGBITS 0000000000000000 00005420 [24] .debug_info PROGBITS 0000000000000000 00008a40 [25] .debug_abbrev PROGBITS 0000000000000000 0000e0c3 [26] .debug_line PROGBITS 0000000000000000 0000f0c2 [27] .debug_str PROGBITS 0000000000000000 00011c9e ``` 由于这个输出结果中包含了`debug`关键字,因此可以得出结论,该文件没有进行strip处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值