探索ELF可执行文件的“干货”:段头表和段的基本介绍

最新推荐文章于 2021-12-30 20:21:01 发布
最新推荐文章于 2021-12-30 20:21:01 发布
阅读量558 收藏
点赞数
分类专栏: 内核级病毒与木马攻防战 文章标签: 操作系统 黑客技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tyler_download/article/details/109562884
版权

可执行文件的数据结构通常都很复杂和繁琐。原因在于程序在加载到内存中执行时需要经过一系列非常复杂的步骤。例如要计算数据或代码被加载到虚拟内存时的位置,计算重定向数值,实现不同代码的链接等。

本节我们一点一滴的了解段的数据格式和作用,这对我们后面了解Linux系统如何加载运行程序,并掌握相关的高级hack技术有非常重要的作用,首先我们看段头对应的数据结构,它用于描述ELF文件中某个段的基本特征:

typedef  struct {
uint32_t sh_name; #段名
uint32_t sh_type; #段的类型
uint64_t sh_flags; #段标志位
uint64_t sh_addr; #段被加载到内存中的位置
uint64_t sh_offset; #段对应数据在ELF文件中的偏移
uint64_t sh_size; #段的大小
uint64_t sh_link; #与该段有关系的其他段对应的段头在段头表中的下标
uint32_t sh_info;  #与该段有关的信息
uint64_t sh_addralign;  #段是否需要字节对齐、
uint64_t sh_entsize; #如果段含有表结构,该字段对应表中每一项的大小
}Elf64_Shdr;

用于描述段性质的段头数据结构以表格的方式存储在ELF文件中。表中每一项就对应上面描述的数据结构。该结构中的第一个字段用于指向段的名称。名称当然得对应字符串,但sh_name却是一个四字节整形,那是因为所有字符串都被存储在字符串段中,这个段里面的数据全是以0结尾的字符串组成,sh_name表示在字符串段里,第几个字符串对应当前段的名称。

字段sh_type用于描述段的类型,某些特定类型的段对应特定的数据结构,操作系统的加载器通过解读该字段,了解段的类型后就可以知道如何读取段的内容。常见的段类型有SHT_PROGBITS,这种段包含机器指令或者常量数据࿰

了解本专栏 订阅专栏 解锁全文
tyler_download
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
【PE结构】3.区段头
SMOne
06-23 2045
一、前言二、PE整体结构三、DOS头四、NT头    4.1.文件头    4.2.扩展头五、区段头六、导出表七、导入表八、资源表九、其他表五、区段头概念:    区段头表存储着PE文件主体也就是区段的一些属性。    整个区段头表,是一个结构体数组。    数组中的每个元素,也就是每个结构体,对应着PE文件主体中的一段数据,这段数据成为段或节。    结构体:    这个结构体在winnt.h中...
操作系统-初期小结
最新发布
living_frontier的博客
04-06 418
一、ELF 部分 1.1 types.h 1.1.1 typedef ​ 这是 types.h 文件,主要是给一些基本的数据类型起一个简单一点的别名。 /* $OpenBSD: types.h,v 1.12 1997/11/30 18:50:18 millert Exp $ */ /* $NetBSD: types.h,v 1.29 1996/11/15 22:48:25 jtc Exp $ */ #ifndef _INC_TYPES_H_ #define _INC_TYPES_H_ #ifndef N
.sh文件是什么语言_探索ELF执行文件的“干货”:段头表和段的基本介绍
weixin_39747049的博客
11-23 355
执行文件的数据结构通常都很复杂和繁琐。原因在于程序在加载到内存中执行时需要经过一系列非常复杂的步骤。例如要计算数据或代码被加载到虚拟内存时的位置,计算重定向数值,实现不同代码的链接等。本节我们一点一滴的了解段的数据格式和作用,这对我们后面了解Linux系统如何加载运行程序,并掌握相关的高级hack技术有非常重要的作用,首先我们看段头对应的数据结构,它用于描述ELF文件中某个段的基本特征...
执行目标文件的结构
小尘_OnMyWay的博客
05-04 1154
执行目标文件的结构: ELF头:以一个16字节的序列开始,这个序列描述了生成该文件的系统的字的大小和字节顺序,ELF头剩下的部分包含帮助链接器语法分析和解释目标文件的信息。(ELF头的大小、目标文件的类型、机器类型、节头部表的文件偏移、节头部表中条目的大小和数量) 段头表(可执行文件.out才有这部分):包含各个段的信息。 .text:已编译程序的机器代码。 .rodata:只读数据,比如printf语句中的格式串和开关语句的跳转表。 .data:已初始化的全局变量和静态C变量。 .bss:未初始化的全
ELF文件详解
林羽的博客
06-25 2243
ELF文件详解 ELF文件分为四个部分:elf header,program header table,section header table,dynamic symbol table 其中节头表(section header table) 和 段头表(program header table) 中用到的数据相同,只是组织方式不同 一、ELF header 每个ELF文件都必须存在一个ELF_Header,这里存放了很多重要的信息用来描述整个文件的组织,如: 版本信息,入口信息,偏移信息等,程序执行也必须
ELF文件-段和程序头
王文清的博客
01-05 3927
执行文件和共享目标文件(动态链接库)是程序在磁盘中的静态存储形式;要执行一个程序,系统就要先把相应的可执行文件和共享目标文件装载到进程的地址空间中,这样就形成一个可运行进程的内存空间布局,称为进程镜像;一个已经装载完成的进程空间中会包含多个不同的段(Segment),比如,代码段、数据段、堆栈段,等等; 准备一个程序的内存镜像,大体上可以分为两个步骤:装载和链接;前者是把目标文件装载到内存中,
Android 加载执行ELF执行文件
05-08
在Android系统中,执行外部程序通常涉及到对二进制可执行文件(如ELF)的加载和运行。本文将深入探讨Android如何加载和执行ELF(Executable and Linkable Format)可执行文件,以及如何在Android应用中实现这一过程...
ELF执行文件运行过程简介
10-16
ELF执行文件运行过程简介 白伟冬 高清 PPT
ELF嵌入式可执行文件格式介绍
02-14
ELF嵌入式可执行文件格式介绍,可行性文件中各个段的意义
执行文件格式详解 Windows PE和Linux ELF
01-19
在Windows和Linux这两个主流操作系统中,可执行文件遵循不同的格式标准:Windows平台使用Portable Executable (PE)格式,而Linux系统则采用Executable and Linkable Format (ELF)。 **Windows Portable Executable ...
drow:生成后将代码注入到ELF执行文件
03-20
Drow采取以下步骤来创建新的修补ELF:映射到未修改的目标ELF执行文件和用户提供的有效载荷(位置无关的Blob)中通过解析程序标头找到第一个可执行段通过分析节标题找到可执行段中的最后一个节通过用户提供的有效...
ELF和sectionheadertable(节头表)_一个博客id_新浪博客
KingOfMyHeart的博客
09-04 1600
回顾一下编译链接的过程: 一、 #include int main() { printf("hello world \n"); return 0; } 预编译:gcc -E hello.c -o hello.i 1.进行文本替换 如头文件,#开头的宏定义 #if #ifdef 等 2.删除注释 3.添加行号,以便编译时需要产生行号方便调试 4.保留#pr...
面试:如何从 100 亿 URL 中找出相同的 URL
wwwwww33的博客
10-13 308
题目描述 给定 a、b 两个文件,各存放 50 亿个 URL,每个 URL 各占 64B,内存限制是 4G。请找出 a、b 两个文件共同的 URL。 解答思路 每个 URL 占 64B,那么 50 亿个 URL占用的空间大小约为 320GB。 “ 5, 000, 000, 000 * 64B ≈ 5GB * 64 = 320GB 由于内存大小只有 4G,因此,我们不可能一次性把所有 URL 加载到内存中处理。对于这种类型的题目,一般采用分治策略,即:把一个文件中的 URL 按照某个特征划分为多.
ELF(三)程序头表
ylcangel的专栏
01-11 8430
程序头表 以32位为例;程序头表由几个项组成,其处理方式类似于数组项。 数据结构 /* Program segment header.  */   typedef struct {  Elf32_Word  p_type;                       /* Segment type */          描述段的种类,其中段的种类如下:          PT_
elf文件格式解析
PwnGuo的博客
05-20 5974
linux 恶意软件研究相关工具 及下载地址:https://remnux.org/docs/distro/tools/ 系统: Sysdig(https://pkgs.org/download/sysdig)Unhide(取消隐藏) 反汇编: Vivisect, Udis86, objdump 调试工具: Evan’s Debugger (EDB), GNU Project Debugge...
TCP报文段头部格式
wujingjing_crystal的专栏
08-25 7768
TCP虽然是面向字节流的,但TCP传送的数据单元却是报文段。一个TCP报文段分为首部和数据两个部分。TCP报文段首部的前20个字节是固定的,后面有4n字节是根据需要增加的选项。TCP首部的最小长度是20字节,最大长度是60字节。 下面介绍各个字段: 源端口和目的端口:各占2个字节。 序号:占4字节。序号范围是0~2^32-1。TCP是面向字节流的,TCP连接中传送的字节流中的每个字节都按顺序编
深入理解操作系统(18)第七章:链接(2)符号解析+重定位+可执行目标文件(强弱符合/多个同名全局变量规则/静态库背景/libc.a和printf.o/链接器解析符号/重定位步骤,表目,类型/段头表
哈尼的博客
12-30 1610
深入理解操作系统(18)第七章:链接(2)符号解析+重定位+可执行目标文件(强符号弱符合/多个同名全局变量的规则/静态库背景,demo/libc.a和printf.o/链接器解析符号步骤/重定位的两个步骤/重定位表目,类型/段头表)1. 符号解析1.1 符号解析定义1.1.1 本地符号解析:1.1.2 全局符号解析:1.2 链接器如何解析多重定义的全局符号1.2.1 强符号和弱符合1.2.2 同名全局变量的三个规则!!!(重要)1.2.3 同名全局变量的三个规则例子说明1.3 与静态库连接1.3.1 静态库
段表和页表
y0608122008的博客
12-28 8028
一、概述处理器(CPU) 1.1 处理器位数 在intel处理器的X86系列中,包含8086和8088的16位处理器,以及从80386(即i386)开始的32位处理器,而如今又有X86-64架构的64位处理器。 那这些16位,32位和64位又有什么意义了?位数越高,处理器的寻址能力越强,则可以支持越大的物理内存。具体如下表(可见对于64位处理器的寻址范围已经是非常之大
C编译器、链接器、加载器详解
weixin_33827731的博客
12-06 877
一、概述 C语言的编译链接过程要把我们编写的一个c程序(源代码)转换成可以在硬件上运行的程序(可执行代码),需要进行编译和链接。编译就是把文本形式源代码翻译为机器语言形式的目标文件的过程。链接是把目标文件、操作系统的启动代码和用到的库文件进行组织形成最终生成可加载、可执行代码的过程。 过程图解如下:  预处理器:将.c 文件转化成 .i文件,使用的gcc命令是:gcc –E,对应于预...
深入理解计算机系统----第七章链接
qq_40182703的博客
08-22 977
原文链接 https://www.jianshu.com/p/7f27c0316355 目  录 链接是将各种不同文件的代码和数据部分收集(符号解析和重定位)起来并组合成一个单一文件的过程。本章节我们将要学习链接器工作的详细原理。通过对这一方面知识的学习,将有助于理解一些危险的编程错误、分离编译的过程、作用域的实现以及如何利用共享库等等。我们将静态链接和动态链接(加载时共享、运行时共享)两...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值