Linux逆向---ELF格式分析之节头

最新推荐文章于 2023-12-10 22:49:28 发布
最新推荐文章于 2023-12-10 22:49:28 发布
阅读量1k 收藏 3
点赞数 1
文章标签: ELF 节头 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zekdot/article/details/84641949
版权

1.查看节头

段是程序执行的必要组成部分,段可以被分割成若干个节,而节头表是对这些节的位置和大小的描述,主要是链接和调试使用的,而对程序的执行却不是必需的。因为对程序内存布局的描述已经由程序头表描述了,而节头表则是对其的补充。即使节头不存在,节依然存在,只是无法通过节头去引用。

查看程序的节头:

readelf -S hello.out

输出:

共有 31 个节头,从偏移量 0x19e0 开始:

节头:
  [] 名称              类型             地址              偏移量
       大小              全体大小          旗标   链接   信息   对齐
  [ 0]                   NULL             0000000000000000  00000000
       0000000000000000  0000000000000000           0     0     0
  [ 1] .interp           PROGBITS         0000000000400238  00000238
       000000000000001c  0000000000000000   A       0     0     1
  [ 2] .note.ABI-tag     NOTE             0000000000400254  00000254
       0000000000000020  0000000000000000   A       0     0     4
  [ 3] .note.gnu.build-i NOTE             0000000000400274  00000274
       0000000000000024  0000000000000000   A       0     0     4
  [ 4] .gnu.hash         GNU_HASH         0000000000400298  00000298
       000000000000001c  0000000000000000   A       5     0     8
  [ 5] .dynsym           DYNSYM           00000000004002b8  000002b8
       0000000000000060  0000000000000018   A       6     1     8
  [ 6] .dynstr           STRTAB           0000000000400318  00000318
       000000000000003f  0000000000000000   A       0     0     1
  [ 7] .gnu.version      VERSYM           0000000000400358  00000358
       0000000000000008  0000000000000002   A       5     0     2
  [ 8] .gnu.version_r    VERNEED          0000000000400360  00000360
       0000000000000020  0000000000000000   A       6     1     8
  [ 9] .rela.dyn         RELA             0000000000400380  00000380
       0000000000000018  0000000000000018   A       5     0     8
  [10]
最低0.47元/天 解锁文章
zekdot
关注
在缺少高版本glibc的机器上通过修改ELF引用使之成功运行测试实例
Mr_HHH的博客
10-24 1286
问题分析: 本篇文档是在《更改引用高版本glibc的程序到引用低版本的glibc》之后的补充文档,如果以后遇到相同问题,首先看我之前原创的《更改文件引用的高版本glibc到低版本glibc》这篇,然后再来看本篇。 本篇文档将详细记录一个在低版本glibc机器上运行由a.cpp文件编译之后的a文件,由最初的缺少GLIBC_2.14错误提示到最终成功运行的一系列步骤。 1:我们在45.154机器...
ELF节头分析
astrotycoon
12-20 3027
Sections 节 An object file's section header table lets one locate all the file's sections. The section header table is an array of Elf32_Shdr or Elf64_Shdr structures as described below. A section hea...
PE文件的基本结构-3 节表和RVA换算
zhangxinrun的专栏
08-24 1437
<br />PE文件中所有节的属性都被定义在节表中,节表由一系列的IMAGE_SECTION_HEADER结构排列而成,每个结构用来描述一个节,结构的排列顺序和它们描述的节在文件中的排列顺序是一致的。全部有效结构的最后以一个空的IMAGE_SECTION_HEADER结构作为结束,所以节表中总的IMAGE_SECTION_HEADER结构数量等于节的数量加一。节表总是被存放在紧接在PE文件的地方。<br />IMAGE_SECTION_HEADER结构的定义如下:<br />TISHMisc = pack
linux下动态链接过程
leapmotion的博客
06-11 1457
elf文件动态链接
Linux C/C++ 从内存转储中恢复64位ELF可执行文件
最新发布
chen1415886044的博客
12-10 1436
ELF(Executable and Linkable Format)是一种可执行文件和可链接文件的格式,它被广泛用于类Unix系统。ELF文件格式由以下几个部分组成: 1. ELFELF Header):包含了文件的基本属性和结构信息,如文件类型、入口地址、程序表位置等。 2. 程序表(Program Header Table):包含了文件中各个的信息,如代码、数据、堆栈等。每个都有一个对应的程序,其中包含了该在文件中的位置、大小、读写权限等信息。 3. 节头表(Section
Linux逆向---ELF格式分析之文件和程序
zekdot的博客
11-28 2786
Linux下,可以利用vim编辑器来对编译生成后的可执行程序进行编辑,比如说把75jne指令改成74je指令,这样可以在不重新编译的情况下去修改程序的控制流,这样玩感觉还是很有意思的,不过也仅限于此,所以我借了一本书想要学学逆向。。结果发现这本书真的难啃。。如果只是读它的内容的话很快就读过去了,但是会发现读完之后自己还是什么都不知道,于是我决定慢慢读,并且用例子去对照着看,感觉这样或许会有些效果...
vmlinux-to-elf:通过提取内核符号表(kallsyms)从原始内核中恢复可完全分析的.ELF的工具
03-21
该工具允许从vmlinux / vmlinuz / bzImage / zImage内核映像(原始二进制Blob或已存在但已剥离的.ELF文件)中获取具有可恢复功能和可变符号的完全可分析的.ELF文件。 为此,它将在内核中扫描内核符号表( ),这是...
Linux逆向---ELF动态链接
zekdot的博客
12-02 2262
ELF动态链接 静态链接通过将整个库都编译到可执行文件的方式来生成可执行文件,而动态链接则利用共享库来实现可执行文件对共享库中函数的调用,在执行时将共享库加载并绑定到该进程的地址空间中。 事前准备 由于要探究的是共享库,所以我们需要实现一个共享库文件: 首先是文件: add.h: #ifndef ADD_H #define ADD_H int add(int a,int b); #endif ...
Android逆向之旅---SO ELF 文件格式详解
hgfujffg的博客
11-11 318
Android逆向之旅---SO ELF 文件格式详解
ELF文件格式
qq_43680406的博客
08-03 203
动态加载器,在第一次调用函数是由函数来完成的,在将二进制文件加载到内存,该过程中包含了对导入符号的解析。对符号的解析除了plt和got表之外,还有。下面将分析这几个表之间的关系。与.ret.plt对应的结构体为Elf64_Rela,如下// 重定位的偏移量 uint64_t r_info;// 重定位类型和符号索引的组合信息 int64_t r_addend;// 重定位的加数 } Elf64_Rela;还有一个结构体很类似,如下// 重定位的偏移量 uint64_t r_info;
动态链接1 程序员的自我修养第七章笔记
passenger12234的博客
03-12 628
0. 序 预计这篇文章会很长,折腾了挺长时间才差不多捋清楚,主要书上一些地方和现在的实现有一点出入。 1. 概览 与动态链接有关系的节大概有这样一些,.interp, .dynamic, .gnu.hash, .rela.dyn, .rela.plt, .plt, .plt.got, .got, .got.plt。其中.rela.dyn和.rela.plt也可能替换为.rel.dyn, .rel.plt,取决于具体重定位类型的选择。 其中.interp, .dynamic提供动态链接的一些初始信息。 .gn
ELF文件——DWARF源码解析
qq_35018427的博客
12-21 3632
前言 此前LEF文件——栈回溯中只描述了通过exidx进行栈回溯的过程,本文将描述根据eh_frame进行栈回溯的原理及过程。 原理说明 dwarf的核心是一张表格,该表格根据函数的压栈过程获取,以一个函数的汇编代码为例: 0000000000023c80 <_dl_start>: _dl_start(): /usr/src/debug/glibc/2.31+gitAUTOINC+f84949f1c4-r0/git/csu/init-first.c:96 23c80: a9bf7bfd
linux执行文件 no such,Linux运行可执行程序提示:No such file or directory | 码农部落...
weixin_42355204的博客
04-29 1809
这种情况可能有以下2种情况(可能不全,欢迎补充):1、程序位数和系统位数不匹配。比如程序是32位系统为64位。2、程序找不到对应的加载器。这种情况可以按以下情况检查处理:1) 查看当前程序的解释器:我们可以先比较下静态编译的程序和动态编译的程序的区别:以下是静态编译的程序,执行命令:# readelf -l hello-staticElf file type is EXEC (Executable...
ELF格式文件详细分析
热门推荐
飘零过客
06-12 3万+
ELF(Executable and Linkable Format)即可执行连接文件格式,是一种比较复杂的文件格式,但其应用广泛
elf文件中的.plt .rel.dyn .rel.plt .got .got.plt的关系
weixin_30819163的博客
06-21 892
.plt的作用是一个跳板,保存了某个符号在重定位表中的偏移量(用来第一次查找某个符号)和对应的.got.plt的对应的地址 .rel.dyn重定向表,在程序启动时就需要重定位完成。 .rel.plt保存了重定位表的信息,可以使用lazy的连接方式 .got据说是保存了elf文件本身的各个符号的偏移量,即不要动态链接,未证明 .got.plt保存了重定位地址。 比如printf是一个重定位...
Android ELF文件中.got .plt .rel.plt .rel.dyn节的区别和联系
beyond702的专栏
08-03 6846
以下暂时做为自己的笔记,不做详细介绍。 首先打印出来Section Header: 可以看到上面.got和.plt节的类型是PROGBITS,也就是代码;而.rel.dyn和.rel.plt是REL,它们是Elf32_Rel类型的结构体数据。这就是为什么用ida查看ELF文件的时候只能看见.got和.plt节的内容,而用readelf查看的时候只列出来.rel.dyn和.rel
Linux静态库和动态库的分析
Jasmine's Linux World
07-14 2194
Linux静态库和动态库的分析 1.什么是库 在windows平台和linux平台下都大量存在着库。 本质上来说库是一种可执行代码的二进制形式,可以被操作系统载入内存执行。 由于windows和linux的本质不同,因此二者库的二进制是不兼容的。 本文仅限于介绍linux下的库。 2.库的种类 linux下的库有两种:静态库和共享库(动态库)。 二者的不同点在于代码被载入的时刻不同
深入理解Linux二进制分析ELF格式与安全分析
"Learning Linux Binary Analysis (Ryan elfmaster O'neill) 是一本深入解析ELF格式Linux二进制分析的书籍,旨在教授读者如何进行病毒分析、二进制补丁、软件保护等黑客与安全分析师常用的技术。书中通过介绍UNIX/...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值