20135337——linux实践三:ELF文件格式分析(32位系统)

最新推荐文章于 2024-06-06 11:25:36 发布
最新推荐文章于 2024-06-06 11:25:36 发布
阅读量121 收藏
点赞数
原文链接:http://www.cnblogs.com/zzzz5/p/5527450.html
版权

ELF文件格式分析

744834-20160525160245491-1220044521.png
744834-20160525160253913-1681637792.png

可重定位文件

744834-20160525160306491-1010225040.png

十六进制形式显示内容

744834-20160525160316194-2041459494.png

显示各个段、符号表相关信息

744834-20160525160328881-2000920760.png

744834-20160525160528959-804053105.png

查看各个段信息

elf文件头信息

744834-20160525160458256-984038754.png

段表

744834-20160525160518600-723524117.png

符号表信息

744834-20160525160552147-98522491.png

查看堆栈

744834-20160525160608334-1394759576.png

具体分析

1.ELF文件头信息(小字节优先,均十六进制)
744834-20160525160632897-124107231.png

第一行:

7f45 4c46 (DEL E L F)  0101 (32位对象 小端法)  0100(文件头版本) 0000 0000 0000 0000
第二行:

0001(重定位文件) 0003(intel80386处理器)  0000 0001(当前版本)
0000 0000(没有入口点)
0000 0000(程序表头偏移地址,没有程序头表)
第三行:

0000 0214(段表偏移地址)
0000 0000 (未知处理器特定标识符)
0034(ELF文件头大小) 由此可知section headers table中每个header的大小是52字节;
0000(程序表头大小,重定位文件没有程序头表) 
0000(程序入口个数,重定位文件没有程序头表)
0028(段表头大小为64字节)

第四行:

000d(段表头入口个数有13个)
000a(段名串表索引)由此可知.shstrtab段(符号表)的信息在段表的索引号是10;

由elf头知,段表从0x0000 0214开始,每个节区大小0x0028,共有0x000d个节区,第0x000a为段名串表的索引号;

744834-20160525160838038-1797300687.png

第一节区:为空

744834-20160525160828850-1288160689.png

第二节区:

744834-20160525160853616-1712646925.png

第三节区:

744834-20160525160905788-1957585486.png

第四节区:

744834-20160525160920256-1762676214.png

五:

744834-20160525160932319-1440359178.png

六:

744834-20160525160945147-1252038176.png

七:

744834-20160525160957116-1018036654.png

八:

744834-20160525161006084-176754001.png

九:

744834-20160525161018834-1547292176.png

十:

744834-20160525161037413-311062722.png

十一:(索引号为a)

744834-20160525161053444-1987765096.png

十二:

744834-20160525161104116-200770799.png

十三:

744834-20160525161116741-1155033898.png

分析

第二节区:

744834-20160525161138006-1581247153.png

001f 0000 :此节区段名在段名串表中的偏移是0000 001f 
0034 0000 :段的起始位置是0000 0034
002e 0000 :段大小是0000 002e
第十一节区:

744834-20160525161224053-1996812757.png

找到起始位置000001b4,大小0000005f的段名串表

744834-20160525161348225-497841116.png

由2e6c 6574可知,偏移为0000001f的第二节区名,对应ASCII码为.text,可知第二节区为.text段的信息:段起始位置0x0000 0034;段的大小0x0000 002e
.text段

744834-20160525161415928-1504672399.png
744834-20160525161421413-1584310577.png

对应的ASCII码翻译出来对应着MAIN函数的机器代码
(以此类推,不再赘述!)

对应代码:
#include <stdio.h>
main()
{
printf("elf");
}

转载于:https://www.cnblogs.com/zzzz5/p/5527450.html

weixin_34268610
关注
【Tool】ELF 和 AXF 文件分析详解
产品线负责人
03-13 5646
ELF(Executable and Linking Format)是一个定义了目标文件内部信息如何组成和组织的文件格式。 内核会根据这些信息加载可执行文件,内核根据这些信息可以知道从文件哪里获取代码,从哪里获取初始化数据,在哪里应该加载共享库等信息。 栈的地址是向下生长,堆的地址是向上生长: 1、ELF 文件类型 ELF 文件有下面种类型: 1)目标文件 $ gcc -c ...
千里之行始于足下——编译器助手(binutils与elf文件
yiye_01的专栏
12-12 1448
任何技艺的提升都在于积累与总结;而对工具与流程的认识,有利于我们更深入的理解系统结构与执行环境。 任何东西都要硬币一样有正反两面: 感谢GNU,为我们提供了一整套完整的开发工具与运行环境,让我们能够更容易地开发与理解软件系统。 唾弃GNU,为我们提供了一整套完整的开发工具与执行环境,让我们在复杂的软件环境沉重的学习,同时也丧失了自我的“创造力”。 然而对于工具与环境的把控,也正是提升与提
ELF文件格式定义
究理观心
07-17 775
ELF文件格式32位及64位的两种,本质上差别不是很大,主要关注ELF 32位文件处理方式。 整体文件格式 ELF为Executable and Linking Format的缩写,为编译生成的目标文件,编译生成的目标文件有几种格式 relocatable file、executable file 和 shared Object file种,linking file 及 Executio...
20135337——Linux实践ELF文件格式(64位系统,简单分析
weixin_34195142的博客
05-25 189
ELF文件格式简单分析 (具体分析见上一篇ELF文件格式32位系统ELF-header 第一行: 457f 464c :魔数; 0201 :64位系统,小端法 01 :文件头版本 剩余默认0; 第二行: 0001 :重定位文件 003e :x86-64处理器体系结构 0000 0001 :当前版本 0000 0000 0000 0000 :没有入口点 第行: 0000 0000 0...
ELF文件格式
最新发布
biu801的博客
06-06 893
ELF(Executable and Linkable Format)是一种常见的可执行文件和可链接文件格式,主要用于Linux和类Unix系统ELF 文件结构及相关常数被定义在 /usr/include/elf.h 里,因为 ELF 文件在各种平台下都通用,ELF文件有 32 位版本和 64 位版本。32 位版本与 64 位版本的 ELF 文件的格式基本是一样的(部分结构体为了优化对齐后大小调整了成员的顺序),只不过有些成员的大小不一样。
Linux系统典型文件格式ELF
黑马程序员官方博客
02-14 2598
Linux系统使用过程,我们经常会看到elf32-i386、ELF 64-bit LSB等字样。那么究竟ELF是什么呢? 当我们使用gcc编译工具编译c程序会得到一个二进制的文件,想当然的使用vim编辑工具将其打开,结果看到如下内容: 当然了,大部分同学不会这样做。数据是以二进制形式存储的,而vi只是一个文本编辑工具。那么数据究竟是怎样存储,以什么样的格式存储成二进制文件呢?是一个一个挨...
ELF文件格式分析
qq_27011361的博客
07-18 2534
一、概述 1.ELF全称Executable and Linkable Format,可执行连接格式,ELF格式的文件用于存储Linux程序。ELF文件(目标文件)格式主要种: 可重定向文件文件保存着代码和适当的数据,用来和其他的目标文件一起来创建一个可执行文件或者是一个共享目标文件。(目标文件或者静态库文件,即linux通常后缀为.a和.o的文件) 可执行文件文件保存着一个用来执行的...
64/32位Linux系统的差异(地址空间布局,系统调用)对比分析
tugouxp的专栏
05-09 2091
映射地址:可以看到,对应的地址0x7fd9b8c00000是PSE页,映射了10M,是PMD级的大页映射,也就是2M页面的映射。连续影射了5个PMD大页。这些大页的分配是在mmap后,执行memset(addr, 0x5a, ...)时通过page fault流程进行分配的,对应执行hugetlb_fault的执行流程。
ARM学习报告001——映象文件及执行机理.rar_ARM学习报告_arm_arm-elf-tools
09-23
ARM-ELF-tools就是一套用于处理ARM平台的ELF(Executable and Linkable Format)格式的工具集,包括了编译器(arm-linux-gcc)、链接器(ld)、调试器(gdb)等。ELF是一种广泛应用的可执行文件和共享库格式,它包含...
怎样创建真正很小的Linux下的ELF可执行文件————X86-64 Ubuntu实践
hjs_hust的专栏
12-17 1610
/*** ***by hjs.hust ***hjs.hust@gmail.com ***2012-12-17 ***/ 参考:http://www.muppetlabs.com/~breadbox/software/tiny/teensy.html  相关软件工具:     readelf:readelf显示一个或多个elf格式的目标文件信息,还可以反汇编
以foobar可执行文件为例,详解解释ELF文件格式
weixin_34148508的博客
05-14 699
foobar文件ELF header。7F454C46表示这是一个ELF文件。 e_type=02 表明它是一个可执行文件 e_machine=03 表明运行该程序需要的体系结构为Intel 80386 e_version 这个成员确定文件的版本 e_entry程序的入口地址。文件foobar的入口地址为0x8...
程序破解及ELF文件格式分析
happylzs2008的专栏
05-22 736
https://www.jianshu.com/p/7a75324e98ab 程序破解 NOP、JNE、JE、JMP、CMP汇编指令的机器码 NOP:NOP指令即“空指令”。执行到NOP指令时,CPU什么也不做,仅仅当做一个指令执行过去并继续执行NOP后面的一条指令。(机器码:90) JNE:条件转移指令,如果不相等则跳转。(机器码:75) JE:条件转移指令,如果相等则跳转。(机器码:74) JMP:无条件转移指令。段内直接短转Jmp short(机器码:EB)段内直接近转移Jmp near(
操作系统内核解析(1):ELF文件的开端
lzx的博客
06-16 417
先来看一个源文件 #include<stdio.h> int main() { printf("Hello World\n"); return 0; } ➜ C ./testC Hello World% gcc编译文件可以得到Hello World\n的输出,但是这个printf是怎么进行调用内核的? ➜ C strace ./testC execve("./testC", ["./testC"], 0x7ffc49f31320 /* 27 vars */) = 0 br
ELF文件头结构
北冥有鱼的Blog
05-16 1万+
转自 https://blog.csdn.net/tangyuesb/article/details/54630787ELF文件头结构定义在“/usr/include/elf.h”头文件下,ELF文件32位版本和64位版本,故其头文件结构也有32位结构和64位结构,分别定义为Elf32_Ehdr和Elf64_Ehdr。两种版本文件内容一样,只是有些成员的大小不一样。以下是32位版本的文件头结构E...
Linux 下二进制文件查看和编辑
wellmikelan的专栏
11-10 841
一. 查看 1. xxd - hexdump well@well:~$xxd a.out 0000000: 7f45 4c46 0201 0100 0000 0000 0000 0000  .ELF............ 0000010: 0200 3e00 0100 0000 1004 4000 0000 0000  ..>.......@..... 0000020: 4000 00
表示不同文件类型的魔术数字
www.v5qq.com的技术博客
07-10 358
这里所说的表示不同文件类型的魔术数字,指定是文件的最开头的几个用于唯一区别其它文件类型的字节,有了这些魔术数字,我们就可以很方便的区别不同的文件,这也使得编程变得更加容易,因为我减少了我们用于区别一个文件文件类型所要花费的时间。 比如,一个JPEG文件,它开头的一些字节可能是类似这样的”ffd8 ffe0 0010 4a46 4946 0001 0101 0047 ……JFIF…..G“,这里...
ELF文件格式解析
云守护的专栏
06-23 6315
转自:http://zke1ev3n.me/2015/12/15/ELF%E6%96%87%E4%BB%B6%E6%A0%BC%E5%BC%8F%E8%A7%A3%E6%9E%90/ —本文基本的内容都是来源于《程序员的自我修养》,之所以摘录下来是为了方便查阅,还有一部分表格是来源于滕启明写的《ELF文件格式分析》。顺便安利一下这本书,是本程序员必读的好书,看了好几遍,每次看都有新收获。
ELF格式文件详细分析
热门推荐
飘零过客
06-12 3万+
ELF(Executable and Linkable Format)即可执行连接文件格式,是一种比较复杂的文件格式,但其应用广泛
C语言学习期间遇到的所有问题及解决-在15PB
KD的疯狂实验室
04-12 3040
3月15日 动态申请数组返回问题
计算机系统实验报告——链接与ELF格式探索
实验的目标是使学生深入理解链接的作用、工作步骤,并能运用Linux工具进行ELF文件分析和修改。 实验报告详细列出了实验的各个章节,包括: 1. **实验基本信息** - 实验目的:主要是为了理解链接器在程序编译...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值