内核级病毒与木马攻防:ELF文件的符号表和函数调用追踪

最新推荐文章于 2023-04-05 22:02:42 发布
最新推荐文章于 2023-04-05 22:02:42 发布
阅读量599 收藏
点赞数
分类专栏: 内核级病毒与木马攻防战 文章标签: 符号表 函数调用追踪 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tyler_download/article/details/107631143
版权
本文详细介绍了ELF文件中的符号表,包括.dynsym和.symtab的区别,以及它们在链接、装载、调试等方面的重要性。通过实例展示了如何使用符号表追踪函数调用,强调了符号表在逆向工程中的关键作用。
摘要由CSDN通过智能技术生成

熟悉编译原理的同学一定了解何为符号,所谓符号其实是一种数据结构,用来描述编程语言中定义的特定对象。例如编程语言中定义的变量,函数都有特定的符号用于描述他们的性质。例如变量对应的符号中包含了变量对应的字符串名称,变量的类型,以及变量对应的内存。函数对应的符号包含了函数名称字符串,函数的返回值类型,函数入口内存地址等,在代码调试时,你把鼠标挪动到变量所在位置,IDE就给你显示出变量当前的取值等信息,这些信息就来自变量对应的符号,我在有关编译原理的两门课程里对符号有非常深入的讲解。

在elf文件中存在两种符号表,分别为.dynsym和.symtab。.dynsym包含了外部链接进来的全局变量对应符号,例如当代码中使用printf函数时,该函数对应的符号就存储在.dynsym中。而.symtab包含了.dynsym中的所有符号,还包括了代码本地定义的变量和函数符号,既然后者已经包含前者的符号表,为何ELF文件格式依然要保持两张符号表呢,我们先用readelf -S来再次查看可执行文件的符号表段:readelf -S ./hello_world,在输出的结果中可以看到,有些段对应的flag是标志A,有些是WA,如下图:

了解本专栏 订阅专栏 解锁全文
tyler_download
关注
专栏目录
订阅专栏
编译链接实战(10)认识elf文件符号表
二进制君
02-21 1255
每个定义的符号有一个对应的值,叫做符号值(Symbol Value),对于变量和函数来说,符号值就是它们的地址。Ndx 表示其所在section的序号,初始化过的全局变量g_a肯定在数据段.data,函数在代码段.text,【未经初始化的全局变量】和static变量在.bss段(static不管是否初始化都在bss段)。Value 该符号的值(注意不是变量的值),符号的值就是指符号的地址,对于编译的中间文件.ol来说,value其实是该符号在其所在的section的偏移,是个相对值;
ELF 动态链接 so的动态符号表(.dynsym)
weixin_30794499的博客
04-27 1076
静态链接中有一个专门的段叫符号表 -- “.symtab”(Symbol Table),里面保存了所有关于该目标文件的符号的定义和引用。 动态链接中同样有一个段叫 动态符号表 -- “.dynsym”(Dynamic Symbol) , 但.dynsym 相对于 .symtab 只保存了与动态链接相关的导入导出符号。 so中同样有.symtab,其中保存着所有的符号 .symt...
二进制安全-ELF-实验:C函数调用方式&GCC中strip选项
最新发布
深度安全实验室
04-05 403
二进制安全-ELF-实验:C函数调用方式&GCC中strip选项
ELF符号表分析
astrotycoon
12-20 8763
Symbol Table An object file's symbol table holds information needed to locate and relocate a program's symbolic definitions and references. A symbol table index is a subscript into this array. Index ...
ELF 格式详解
kunkliu的博客
03-19 6043
可重定位的目标文件(Relocatable)也就是通常称的目标文件,后缀为.o可执行文件(Executable)共享库(Shared Object)共享文件:也就是通常称的库文件,后缀为.so注1: Linux中的readelf命令可以查看ELF文件的详细信息注2:ELF文件只能在操作系统环境下运行,裸机环境运行的是BIN文件;编译器默认输出的文件格式是ELF格式,可以使用objcopy命令转化为BIN文件:将name.elf转化为name.bin文件armbinary。
内核木马病毒攻防:Linux可执行文件ELF格式描述
tyler_download的专栏
07-20 898
要想在Linux系统上实现逆向工程,分析,设计或查杀病毒和恶意代码,你不得不深入掌握其可执行文件ELF格式,这样你才能了解进程在内存空间的布局和运行的基本规律,这样你才能有针对性的设计有效的病毒或恶意代码入侵系统。 ELF文件主要有以下几种类型,ET_NONE表示该文件的作用未知;ET_REL表示重定向文件或叫目标文件,它们将会被链接并加装到某个指定的虚拟内存位置,常见的以.o结尾的二进制文件就属于这种类型。ET_EXEC表示可执行文件,它是由多个.o文件链接起来,可以被加载到内存进行执行的进程数据文件
Linux内核木马病毒攻防:基础工具介绍
tyler_download的专栏
07-04 1433
欲成其事先利其器。要想完成一项复杂的任务,工具的作用至关重要。要想在Linux系统上开发或研究木马病毒等特殊程序,我们需要使用一系列强大的开发和调试攻击。本节先介绍几种在Linux系统上极为强大的工具。 第一个当然是gdb了,在Linux上,它是唯一能用于程序调试的利器。我们后面开发代码或调试分析其他病毒木马的设计模式和原理时,必须使用gdb作为手术刀,对要研究的病毒木马进行”剖尸检验“,通过gdb调查木马病毒的代码设计方法,同时也使用gdb加载恶意代码,研究其运转流程。 第二个是objdump,它的
基于威胁情报周期模型的APT木马剖析
Tencent_SRC的博客
02-08 801
文|腾讯安全平台部xti9er前言近日,腾讯服务器安全系统“洋葱”协助部署于公有云的某合作方捕获到一起APT事件,目前已处置完毕。处置过程中捕获木马样本一枚,该样本中包含了大量隐匿攻击手法...
网络靶场攻防综合实验
weixin_46605806的博客
12-20 7009
目录一,靶场环境搭建1.1,网络拓扑结构图1.2,搭建简易的网络攻防实验靶场环境,包括:1.3,网络靶场攻击渗透测试,包括:1.4,网络靶场攻击检测二,靶场的搭建与攻击渗透测试2.1,Honeyd2.1.1,honeyd概述2.1.2,honeyd所依赖的函数库2.1.3,搭建honeyd2.1.4,编写honeyd的配置文件2.1.5,启动honeyd2.1.6,检查honeyd搭建情况2.2,具有“永恒之黑”CVE-2020-0796漏洞的虚拟主机2.2.1,漏洞概述2.2.2,复现环境2.2.3,漏洞
elf_hook_with_c_ELFfileformat_elf_slabsli9_
09-29
debug elf file programmaticlly
感染ELF文件(2)
瞎几把学
04-04 2011
感染ELF文件(2)作者:Silvio Cesare 整理:小四 主页:http://www.nsfocus.com日期:2001-08-13★ 二进制感染二进制感染指病毒体插入宿主映像中,而前面介绍的技术中,病毒体是独立可执行的。二进制感染技术的重要性在于:    . 没有额外的文件或进程    . 病毒体是宿主进程映像的一部分考虑驻留型病毒,需要截获、替换宿主使用到的某些函数。过程链接表PLT
ELF(Executable and Linking Format)文件结构描述
海棠花的博客
03-31 2125
ELF文件(Executable and Linking Format)是用在Linux系统下的一种目标文件(object file)存储格式。典型的目标文件有如下3类: 可重定向文件(relocatable file)可重定向文件里面包含了代码和数据,用于和其他可重定向文件一起链接形成一个可执行文件或者动态库。 可执行文件(executable file) 可执行文件里面...
ELF 解析符号包,包含symtab 和dynsym
ylcangel的专栏
07-20 7999
ELF 解析符号包,包含symtab 和dynsym,并未对所以平台支持 /* * ParseDynSymTable.c * * Created on: 2014年7月19日 * Author: angel-toms */ #include "ElfParser.h" Elf32_Sym* get_elf_section_of_sym_table(MemMapping*
elf中读取函数地址
翻滚吧骚年
04-09 3205
废话不说,立马动手。先准备一份测试代码: #include void funcUp(void) { printf("Hello world 1!\n"); return; } int main(int argc, char* argv[]) { funcUp(); funcDown(); return 0; } int funcDown(void)
ELF文件符号表函数调用追踪(视频版)
tyler_download的专栏
07-30 544
ELF格式文件符号表全解析及readelf命令使用方法
freeking101的博客
10-18 7870
ELF格式文件符号表全解析及readelf命令使用方法
[转帖]elf文件格式
sizhi的专栏
08-01 2689
  elf文件格式-- write by breadbox Email:breadbox@muppetlabs.com   译:alert7 alert7@21cn.com > from m4in security team              http://www.patching.net   isearthling isearthling@163.net >       19:45 20
.dynsym .symtab
farmwang的专栏
06-02 3737
动态符号表 (.dynsym) 用来保存与动态链接相关的导入导出符号,不包括模块内部的符号。 而 .symtab 则保存所有符号,包括 .dynsym 中的符号。 readelf -s    .dynsym .symtab objdump -t readelf --dyn-syms
ELF文件格式详解:符号表与重定位关键
符号表ELF文件中扮演着标识符的角色,它记录了在编译过程中创建的全局符号(如全局变量和函数)以及外部引用(即在当前文件中调用但定义在其他文件中的函数或变量)。这样,链接器在链接过程中能够跟踪符号的来源...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值