探索ELF可执行文件的“干货”:段头表和段的基本介绍

最新推荐文章于 2024-03-27 11:48:13 发布
最新推荐文章于 2024-03-27 11:48:13 发布
阅读量575 收藏
点赞数
分类专栏: 内核级病毒与木马攻防战 文章标签: 操作系统 黑客技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tyler_download/article/details/109562884
版权
本文深入探讨了ELF可执行文件的段数据结构,包括段头表、段类型、段属性等。通过实例解析了如.init、.fini、.text、.rodata、.data、.bss等段的作用,以及延迟绑定在.plt和.got段中的实现。了解这些内容对于理解Linux系统如何加载和执行程序以及黑客技术至关重要。
摘要由CSDN通过智能技术生成

可执行文件的数据结构通常都很复杂和繁琐。原因在于程序在加载到内存中执行时需要经过一系列非常复杂的步骤。例如要计算数据或代码被加载到虚拟内存时的位置,计算重定向数值,实现不同代码的链接等。

本节我们一点一滴的了解段的数据格式和作用,这对我们后面了解Linux系统如何加载运行程序,并掌握相关的高级hack技术有非常重要的作用,首先我们看段头对应的数据结构,它用于描述ELF文件中某个段的基本特征:

typedef  struct {
uint32_t sh_name; #段名
uint32_t sh_type; #段的类型
uint64_t sh_flags; #段标志位
uint64_t sh_addr; #段被加载到内存中的位置
uint64_t sh_offset; #段对应数据在ELF文件中的偏移
uint64_t sh_size; #段的大小
uint64_t sh_link; #与该段有关系的其他段对应的段头在段头表中的下标
uint32_t sh_info;  #与该段有关的信息
uint64_t sh_addralign;  #段是否需要字节对齐、
uint64_t sh_entsize; #如果段含有表结构,该字段对应表中每一项的大小
}Elf64_Shdr;

用于描述段性质的段头数据结构以表格的方式存储在ELF文件中。表中每一项就对应上面描述的数据结构。该结构中的第一个字段用于指向段的名称。名称当然得对应字符串,但sh_name却是一个四字节整形,那是因为所有字符串都被存储在字符串段中,这个段里面的数据全是以0结尾的字符

了解本专栏 订阅专栏 解锁全文
tyler_download
关注
专栏目录
订阅专栏
详解ELF可执行文件格式:读取头部信息和程序表头
tyler_download的专栏
09-05 1001
要想实现ELF文件的入口劫持,不深入掌握其运行原理与组成结构那是不可能的。ELF的内部结构复杂,加载逻辑难以理解,因此我们需要通过切香肠的方式,将这个困难的技术点一点一滴的去攻克。 这一节我们先掌握如何读取头部信息和程序表头,我们先看ELF文件的大致结构: ELF文件格式最重要的就是所谓的,特别是其中的代码和数据。对应上图就是.text,.data两个。每个都对应一个表来描述,而若干隔断会组成一个整体,它对应一个program,而后者则由program header table来指向,讲解EL
ELF文件解析之 ELF头 程序头表 节头表-补充之前文章代码 只支持32位 出版
ylcangel的专栏
07-20 2723
#ifndef UTIL_H#define UTIL_H#include #include #include #include #include #include #include #include #include "Types.h"#include "Helper.h"#define GET_SIZE(n) (sizeof(n))#define PRINT_PRE_FIVE_BYTE(p) p
ELF文件的
b1049112625的博客
01-19 722
本篇文章接着上一篇继续讲解本篇文章讲解ELF文件中的不同类型
程序运行之ELF文件的
最新发布
03-27 1010
从下面结果看到除了代码,数据和BSS以外,还有.rodata(只读数据), .comment(注释信息),.note.GNU-stack(堆栈提示)。比如.text的偏移位置是0x40. 代表ELF的header占据的空间为0x00-0x40。另外GCC还提供了自定义,比如你可能希望变量或者某些部分代码能够放到你指定的中去实现特定的功能,比如满足硬件内存和I/O的地址布局。hex代表的是三个的总长度。.shstrtab : 是各个的名称表,实际上是由各个的名字组成的一个字符串数组。
ELF格式文件由哪些组成?
主要记录嵌入式学习与开发过程。
03-13 744
Linux系统下,C/C++源码进行汇编之后生成的.o目标文件,或者链接之后生成的可执行程序文件,它们一般是ELF文件格式(Executable and Linking Format,可执行与可连接格式)。Linux上的目标文件(Relocatable File)、可执行文件(Executable File)、动态链接库文件(Shared Object File)、coredump文件(Core Dump File)都是ELF格式。text:代码,存储编译后的二进制机器码。
【静态链接】第2章---------------------目标文件(ELF格式表)
u013476840的专栏
03-02 1291
########  该系列博文为书籍《程序员的自我修养》的笔记 ########## 【说明】              前面我们介绍了文件头,里面含有大量文件的信息,其中有一个e_shoff 成员,叫做表偏移,它来指示表在文件中的偏移值。 【表是什么】              我们前面看到了,ELF文件中把指令和数据分成了很多,比如.text比如.data等
Android 加载执行ELF可执行文件
05-08
在Android系统中,执行外部程序通常涉及到对二进制可执行文件(如ELF)的加载和运行。本文将深入探讨Android如何加载和执行ELF(Executable and Linkable Format)可执行文件,以及如何在Android应用中实现这一过程...
patchelf:一个用于修改ELF可执行文件的动态链接器和RPATH的小实用程序
04-30
PatchELF是用于修改现有ELF可执行文件和库的简单实用程序。 特别是,它可以执行以下操作: 更改可执行文件的动态加载程序(“ ELF解释程序”): $ patchelf --set-interpreter /lib/my-ld-linux.so.2 my-program ...
ELF可执行文件运行过程简介
10-16
ELF可执行文件运行过程简介 白伟冬 高清 PPT
ELF嵌入式可执行文件格式介绍
02-14
ELF嵌入式可执行文件格式介绍,可行性文件中各个的意义
3-7课:彰显地位的缩进和作为限制的类型
YeJuliaLi的博客
09-22 257
Python的缩进(indent) 结构特征 现在我们来了解一下Python的结构特性:划分代码块——Python使用空格缩进(indent)划分代码块,而不是像其他高级语言那样,用大括号或者关键词来划分。 这一点非常重要,一方面它使得Python看起来更像自然语言,增加了Python的可读性。 但另一方面,这样做等于放弃了显性地划分代码块,而是采用了一种半隐性的形式,使得初学者有时容易混淆代码块...
【1000个Linux内存知识-007】-ELF文件中的Segment和节Section的区别是什么?代码和数据还是节?.bss .data是什么?【readlef -l】
技术札记
08-07 992
(注意这里加载到内存后,在linux按照页映射到物理内存,页表里面就会指定权限,从而进一步就会影响平时经常出现的Segment Fault,所谓的错误就是一个地址访问的时候发现不是合法的,怎么判断不是合法的,就是通过虚拟地址访问页表访问到物理页的时候页的属性可能不具有写的属性,就是错误了。节头对于程序的执行来说不是必需的,没有节头表,程序仍可以正常执行,因为节头表没有对程序的内存布局进行描述,对程序内存布局的描述是程序头表的任务。ELF 程序头是对二进制文件中的描述,是程序装载必需的一部分。
ELF初步学习
codeMonkey的专栏
11-24 1975
ELF介绍
可执行目标文件的结构
小尘_OnMyWay的博客
05-04 1177
可执行目标文件的结构: ELF头:以一个16字节的序列开始,这个序列描述了生成该文件的系统的字的大小和字节顺序,ELF头剩下的部分包含帮助链接器语法分析和解释目标文件的信息。(ELF头的大小、目标文件的类型、机器类型、节头部表的文件偏移、节头部表中条目的大小和数量) 段头表(可执行文件.out才有这部分):包含各个的信息。 .text:已编译程序的机器代码。 .rodata:只读数据,比如printf语句中的格式串和开关语句的跳转表。 .data:已初始化的全局变量和静态C变量。 .bss:未初始化的全
深入理解操作系统(18)第七章:链接(2)符号解析+重定位+可执行目标文件(强弱符合/多个同名全局变量规则/静态库背景/libc.a和printf.o/链接器解析符号/重定位步骤,表目,类型/段头表
哈尼的博客
12-30 1755
深入理解操作系统(18)第七章:链接(2)符号解析+重定位+可执行目标文件(强符号弱符合/多个同名全局变量的规则/静态库背景,demo/libc.a和printf.o/链接器解析符号步骤/重定位的两个步骤/重定位表目,类型/段头表)1. 符号解析1.1 符号解析定义1.1.1 本地符号解析:1.1.2 全局符号解析:1.2 链接器如何解析多重定义的全局符号1.2.1 强符号和弱符合1.2.2 同名全局变量的三个规则!!!(重要)1.2.3 同名全局变量的三个规则例子说明1.3 与静态库连接1.3.1 静态库
ELF文件头和
b1049112625的博客
01-18 1282
现代x86-64Linux和Unix系统使用可执行可链接格式(Execut- ableand LinkableFormat, ELF),与ELF同类型的文件是windows上的PE文件和MacOS-X上的Mach-O文件本篇文章讲述ELF文件的文件头和表。
ELF中与动态链接相关的
Virtual_Func的博客
09-28 3102
在Linux 下,动态链接器 ld.so 是一个共享对象,操作系统同样通过映射的方式将其加载到进程的地址空间中。操作系统在加载完动态链接后,将控制权交给动态链接器的入口地址,动态链接器执行一系列自身的初始化操作,而后根据当前的环境参数,对可执行文件进行动态链接工作,完成后将操作系统的控制权交给可执行文件的入口地址。 动态链接使用了很多的信息,以下简述这些: 1 .interp 动态链
ELF文件中(section)的概念
lzx的博客
06-17 1266
(Section)划分 文件(Section)一般可分为以下几个区域 .text. :代码 .rodata:只读数据 .data: 已初始化全局数据 .bss:未初始化全局数据。因为为初始化变量没有具体的值,所以无需在目标文件中分配用于保存值的空间,也就是在目标文件中不会占有实际的磁盘空间,仅仅是一个占位符。区分已初始化和为初始化全局变量是为了提高空间利用率。 .symtab:符号表(symbol table)。在程序中被定义和引用的函数名和全局变量名都属于符号,与这些符号相关的信息都保存在符
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值