关于ELF文件格式的理解与读取

最新推荐文章于 2024-01-11 19:23:29 发布
最新推荐文章于 2024-01-11 19:23:29 发布
阅读量217 收藏 1
点赞数
文章标签: 硬件工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44820962/article/details/132645518
版权

1、ELF Header

注:以下只讨论64位的情况

该段结构体如下:

typedef struct {
        unsigned char   e_ident[EI_NIDENT]; //16 B (B for bytes)
        Elf64_Half      e_type; // 2 B
        Elf64_Half      e_machine; // 2 B
        Elf64_Word      e_version; // 4 B
        Elf64_Addr      e_entry; // 8 B
        Elf64_Off       e_phoff; // 8 B
        Elf64_Off       e_shoff; // 8 B
        Elf64_Word      e_flags; // 4 B
        Elf64_Half      e_ehsize; // 2 B
        Elf64_Half      e_phentsize; // 2 B
        Elf64_Half      e_phnum; // 2 B
        Elf64_Half      e_shentsize; // 2 B
        Elf64_Half      e_shnum; // 2 B
        Elf64_Half      e_shstrndx; // 2 B
} Elf64_Ehdr;

我们可以结合使用readelf -as ‘elf文件名’命令来查看:图1
图1
可以看到ELF Header与上述结构体一一对应,其中具体含义可以自己百度,推荐:

https://blog.csdn.net/helowken2/article/details/113739946

上图再往下可以看到Section Header节头表,其中e_shnum表示Number of section headers,为10,如果我们想要读取节头表,我们就需要节头表的字符表.shstrrab,可以知道.shstrrab在最后。而.shstrrab节点的索引号在ehdr中用e_shstrndx来表示,
如图2:
在这里插入图片描述

2、Section Header

结构体如下:

typedef struct {
	Elf64_Word	sh_name; // 4 B (B for bytes)
	Elf64_Word	sh_type; // 4 B
	Elf64_Xword	sh_flags; // 8 B
	Elf64_Addr	sh_addr; // 8 B
	Elf64_Off	sh_offset; // 8 B
	Elf64_Xword	sh_size; // 8 B
	Elf64_Word	sh_link; // 4 B
	Elf64_Word	sh_info; // 4 B
	Elf64_Xword	sh_addralign; // 8 B
	Elf64_Xword	sh_entsize; // 8 B
} Elf64_Shdr

一个结构体,可以用来描述图2中的一个节头表。该结构体元素的具体涵义可以自己百度。
所以推导出获取.shstrrab节点的方法为:

	Elf64_Ehdr ehdr[1];//定义ELF 头
	FILE *fp;
	fp = fopen(argv[1],"rb");//首先使用文件指针打开elf文件
	if(fp==NULL)
		exit(EXIT_FAILURE);
	fread(ehdr, sizeof(Elf64_Ehdr), 1, fp);//然后读取该文件的elf头至ehdr中

	int count = ehdr->e_shnum;    //获取节头表数量
	Elf64_Shdr shdr[count];		//定义节头表数量
	fseek(fp, ehdr->e_shoff, SEEK_SET);	//将指针偏移到节头表位置
	fread(shdr, sizeof(Elf64_Shdr), count, fp);	//读取所有的节头表,本例中共10个节头表

	int shstrtabSize = shdr[ehdr->e_shstrndx].sh_size;	/*先读取.shstrtab段大小,ehdr->e_shstrndx
	表示.shstrtab索引号,shdr[ehdr->e_shstrndx]就表示.shstrtab节点,
	shdr[ehdr->e_shstrndx].sh_size 表示该节点的大小*/
	char shstrtabName[shstrtabSize];
	
	fseek(fp, shdr[ehdr->e_shstrndx].sh_offset, SEEK_SET);//sh_offset表示该节点偏移量,将指针偏移至该节点
	fread(shstrtabName, sizeof(char), shstrtabSize, fp);//将.shstrtab节点内容全部读取到shstrtabName中

通过以上方法,可以获取.shstrtab的内容

3、获取各个节头表名字

上文中已经使用shstrtabName获取到了.shstrtab的内容,该内容为所有节头表的名字,但是需要各个名字的索引。

for(int i=0;i<count;i++){
		char *name;
		name = shstrtabName+shdr[i].sh_name;/*shstrtabName为名字字符串的起始地址(基址),
		shdr[i].sh_name则作为各个节头表名字的所以(偏址),两者相加,得出各个节头表名字*/
		printf("%s\n",name);
	}

如图3:
在这里插入图片描述

4、获取符号表信息

符号表,也就是节头表中.symtab表的内容如下图所示,其中TYPE为FUNC表示调用到的子函数,可以用这一特点来制作ftrace功能。各个表项具体意义可以百度。
符号表如图4:
在这里插入图片描述
符号表属于程序表分类,程序表使用结构体如下:

typedef struct {
	Elf64_Word	st_name; // 4 B (B for bytes)
	unsigned char	st_info; // 1 B
	unsigned char	st_other; // 1 B
	Elf64_Half	st_shndx; // 2 B
	Elf64_Addr	st_value; // 8 B
	Elf64_Xword	st_size; // 8 B
} Elf64_Sym

获取符号表方式如下:
1、符号表的name全部存储在.strtab节头表中,因此需要先存储.strtab的内容,方式类似第“2、Section Header”段中所述。

for(int i=0;i<count;i++){
		char *name;
		name = shstrtabName+shdr[i].sh_name;
		if(strcmp(".strtab", name) == 0){
			strtabAddr = shdr[i].sh_offset;
			strtabSize = shdr[i].sh_size;
		}
	}

首先通过获取节头表名字来比较该节点是否为.strtab节点,如果是,则记录下其偏移量以及大小

		char *name;
		name = shstrtabName+shdr[i].sh_name;
		if(strcmp(".symtab", name) == 0){
			printf("i = %d\n",i);
			int symtabAddr = shdr[i].sh_offset;
			int symtabSize = shdr[i].sh_size;
			int symbolSize = shdr[i].sh_entsize;
			int symtabNum = symtabSize/symbolSize;

然后再通过同样的方式来找到.symtab节点,并记录下偏移量、.symtab的整体大小、.symtab每一个表项的大小、计算出.symtab共有几个表项。

			Elf64_Sym sym[symtabNum];
			fseek(fp, symtabAddr, SEEK_SET);
			fread(sym, sizeof(Elf64_Sym), symtabNum, fp);

将.symtab全部存储进sym中。

			fseek(fp, strtabAddr, SEEK_SET);
			fread(name, sizeof(char), strtabSize, fp);
			
			for(int j=0;j<symtabNum;j++){
				printf("value:0x%lx\t",sym[j].st_value);
				printf("TYPE:%d\t",sym[j].st_info & 0xf);
				printf("name:%s\t",name+sym[j].st_name);	// name为基址,sym[j].st_name为偏址
				printf("\n");
			}
		}

然后将.strtab内容存储进name中,那么就可以通过name+sym[j].st_name的方式来找到符号表相应表项的名字。

5、总结

如图所示:
在这里插入图片描述
各个不同的结构体表示不同级别的节点。

6、示例代码

#include <stdio.h>
#include <stdlib.h>
#include <elf.h>
#include <string.h>

void symtab64_print(Elf64_Ehdr* ehdr,FILE *fp){
	int count = ehdr->e_shnum;    //节头表数量
	Elf64_Shdr shdr[count];
	
	fseek(fp, ehdr->e_shoff, SEEK_SET);
	int test = fread(shdr, sizeof(Elf64_Shdr), count, fp);
	printf("test=%d,count=%d\n",test,count);
	
	int shstrtabSize = shdr[ehdr->e_shstrndx].sh_size;	//.shstrtab段大小  
	char shstrtabName[shstrtabSize];
	
	fseek(fp, shdr[ehdr->e_shstrndx].sh_offset, SEEK_SET);
	fread(shstrtabName, sizeof(char), shstrtabSize, fp);
	
	int strtabAddr = -1;	//定义.strtab的offset变量
	int strtabSize = -1;
	for(int i=0;i<count;i++){
		char *name;
		name = shstrtabName+shdr[i].sh_name;
		if(strcmp(".strtab", name) == 0){
			strtabAddr = shdr[i].sh_offset;
			strtabSize = shdr[i].sh_size;
		}
	}
	
	for(int i=0;i<count;i++){
		if(strtabAddr==-1 || strtabSize ==-1)
			exit(EXIT_FAILURE);
		char *name;
		name = shstrtabName+shdr[i].sh_name;
		if(strcmp(".symtab", name) == 0){
			printf("i = %d\n",i);
			int symtabAddr = shdr[i].sh_offset;
			int symtabSize = shdr[i].sh_size;
			int symbolSize = shdr[i].sh_entsize;
			int symtabNum = symtabSize/symbolSize;
			
			Elf64_Sym sym[symtabNum];
			fseek(fp, symtabAddr, SEEK_SET);
			fread(sym, sizeof(Elf64_Sym), symtabNum, fp);
			
			fseek(fp, strtabAddr, SEEK_SET);
			fread(name, sizeof(char), strtabSize, fp);
			
			for(int j=0;j<symtabNum;j++){
				printf("value:0x%lx\t",sym[j].st_value);//打印symtab的值
				printf("TYPE:%d\t",sym[j].st_info & 0xf);
				printf("name:%s\t",name+sym[j].st_name);	// name为基址,sym[j].st_name为偏址
				printf("\n");
			}
		}
		else 
			continue;
	}
}

int main(int argc,char *argv[]){
	Elf64_Ehdr ehdr[1];
	if(argc != 2)
		exit(EXIT_FAILURE);
	FILE *fp;
	fp = fopen(argv[1],"rb");
	if(fp==NULL)
		exit(EXIT_FAILURE);
	fread(ehdr, sizeof(Elf64_Ehdr), 1, fp);
	symtab64_print(ehdr,fp);
521zhangxx
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
编程读取ELF文件
bufanq
05-29 7305
一个C语言源程序(.c文件)经过汇编以后生成目标文件(.o文件),目标文件再经过链接生成可执行文件。在linux系统中,目标文件和可执行文件都是ELF格式的,了解ELF文件的结构对于理解程序的编译、链接和装载运行至关重要。ELF文件格式如下图所示,以文件头(ELF Header)开始,后面跟着代码段(.text)、数据段(.data)等。   ELF Header
读取elf文件的工具
10-18
elf文件通过objdump编译后将编译结果导入此exe即可生成cfg.csv 文件,有利于对程序的分析
读取ELF文件
ndzjx的专栏
11-12 740
/* elfparse.c - gcc elfparse.c -o elfparse */ #include <stdio.h> #include <string.h> #include <errno.h> #include <elf.h> #include <unistd.h> #include <stdlib.h> #...
读取Elf文件
02-18
经过源代码编译出来的文件,如果我们不纠结于里面细节的话,并不是太复杂,主要也就是是经过编译后的机器指令和数据。
[Linux][C/C++]通过ELF读取当前进程的符号表并获取符号的版本信息
modisir的博客
06-16 3016
Linux 采用 ELF 作为其可链接可执行文件格式,并提供诸如 nm 之类的工具进行 ELF 符号表的解析。如下例程: #include <pthread.h> int main() { pthread_cond_t cond; pthread_cond_init(&cond, NULL); pthread_cond_destroy(&cond); return 0; } ...
ELF文件格式分析.pdf》与elf解析代码
03-22
通过深入学习`ELF文件格式分析.pdf`文档,并结合`readelf.c`源码,开发者可以更全面地理解ELF格式,这对于编写和调试涉及二进制文件处理的工具或程序大有裨益。同时,掌握ELF知识对于系统级编程和底层软件开发也是必...
ELF 文件格式分析(北京大学实验室出的标准版)
03-19
通过学习这份文档,读者可以掌握如何读取和解析ELF文件理解动态链接机制,以及如何利用ELF格式进行程序调试和分析。 总之,对ELF文件格式有深入的理解对于系统级编程、逆向工程、软件调试以及优化都是至关重要的...
TestDwarf_提取变量_elf文件格式_解析器_
10-02
《深入理解ELF文件格式与解析器开发》 在软件开发领域,ELF(Executable and Linkable Format)文件格式是Unix系统以及类Unix系统如Linux中的标准可执行文件和库文件格式。它不仅包含了程序的机器代码,还包含了...
ELF_File_Format.rar_elf_elf文件格式
09-20
7. **调试信息**:虽然不是必须的,但很多ELF文件会包含调试信息,如DWARF格式的数据,帮助调试器理解源代码与生成的机器代码之间的关系。 8. **程序头表**:对于可执行文件和某些类型的共享对象,存在程序头表,...
使用C语言读取ELF文件的数据部分
ShawnHu的博客
03-19 2914
elf文件的分析,推荐此篇 测试环境: Kali Linux x64 首先生成一个小的elf文件样例: // demo.c #include <stdio.h> int main(int argc, char **argv) // 读取demo.txt文件的内容 { FILE *fp; char buff[256]; fp = fopen("demo.txt", "r")...
objdump命令解析
Linux知识积累
08-26 1303
objdumpobjdump命令是Linux下的反汇编目标文件或者可执行文件的命令,它以一种可阅读的格式让你更多地了解二进制文件可能带有的附加信息。参数选项--arch...
C语言实现读取elf文件的字符串表,符号表
最新发布
qq_57973134的博客
01-11 533
C语言实现读取elf文件的字符串表,符号表
ELF文件加载过程
老鹰不捉小鸡
03-09 2006
加载和动态链接 从编译/链接和运行的角度看,库分为动态链接和静态链接。相应的两种不同的ELF格式映像: 1)一种是静态链接的,在装入/启动其运行时无需装入函数库映像、也无需进行动态连接。 2)另一种是动态连接,需要在装入/启动其运行时同时装入函数库映像并进行动态链接。 Linux内核既支持静态链接的ELF映像,也支持动态链接的ELF映像,GNU规定: 1)把ELF映像的装入/启动入在Linux内核中; 2)把动态链接的实现放在用户空间(glibc),并为此提供一个称为”解释器”(ld-linux.so.2)
剖析ELF文件格式的内容———文件头,段表,符号....(第三章)
u012138730的专栏
09-21 7364
目录 1.extern "C" 1.编译阶段——取名 2.链接阶段——找对应的名 参考: 2.extern变量名 1.extern "C" 在阅读代码的时候,常常会看到下面的代码片段: #ifdef __cplusplus extern "C" { #endif // 写例如dll导出函数的定义 #ifdef __cplusplus } #endif 这是一...
C语言读取elf文件指定位置,readelf命令:用于读取ELF格式文件的详细信息
weixin_31499265的博客
05-23 1840
1.功能简介readelf 用于读取 ELF(Executable and Linkable Format)格式文件的详细信息,包括目标文件、可执行文件、共享目标文件与核心转储文件。1.1 ELF 文件分类(1)可重定位文件(Relocatable File),这类文件包含了代码和数据,用于链接生成可以执行文件或共享目标文件,目标文件和静态链接库均属于可重定位文件,例如*.o或lib*.a文件;(...
linux中的可执行二进制文件执行流程(ELF
gzhu_flyingbird的博客
07-20 3589
LD_PRELOAD,execve,Linux
readelf命令读取elf文件的详细信息
qq_30379221的博客
02-10 367
概述 readelf用于查看elf文件文件信息,关于elf文件及其格式的介绍在【ctf权威竞赛指南笔记】(2)二进制文件中有比较详细的介绍。 常用参数 在这里使用一个elfDemo.rel作为示例,elfDemo.rel是elfDemo.c使用如下指令生成的。 gcc -c elfDemo.c -o elfDemo.rel elfDemo.c内容如下: #include<stdio.h&...
ELF格式文件符号表全解析及readelf命令使用方法
freeking101的博客
10-18 7672
ELF格式文件符号表全解析及readelf命令使用方法
ebpf 字节码elf文件信息读取
hubingsong的博客
08-25 773
对于复杂的ebpf程序来说需要对其map与prog sect进行复杂的编排管理,而这些操作在用户态程序中一般都是基于文件描述符fd来进行的。本文介绍了获取map与prog sect对应的fd的基本方法。
Oracle Solaris 9 - man pages section 4: File Formats-732
08-07
了解这些文件格式对于系统管理员和开发者来说非常重要,因为他们需要能够正确地读取、解析和修改这些文件以进行系统管理和软件开发。 文件格式文档通常会包含以下内容: 1. **配置文件**:如 `/etc/passwd` 和 `/...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值