Linux逆向---ELF符号和重定位

最新推荐文章于 2024-08-21 10:36:00 发布
最新推荐文章于 2024-08-21 10:36:00 发布
阅读量2.4k 收藏 12
点赞数 4
文章标签: ELF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zekdot/article/details/84714673
版权

1.ELF符号

符号是对某些类型的数据或者代码(全局变量、函数等)的符号引用,例如printf函数会在动态符号表.dynsym中存有一个指向该函数的符号条目。

.dynsym保存了引用来自外部文件符号的全局符号,.symtab中还保存了可执行文件的本地符号,如全局变量等,.dynsym保存的符号是.symtab保存的符号的子集。

.dynsym在程序运行时会被分配并装载进内存,主要用于动态链接可执行文件的执行。而.symtab则不会,它主要用来进行调试和链接的。

ELF文件符号项的结构体如下:

typedef struct {
   
	uint32_t      st_name;	//保存了指向符号表中字符串表的偏移地址(.dynstr或.strtab)
	unsigned char st_info;	//制定符号类型及绑定属性
	unsigned char st_other;	//定义符号的可见性
	uint16_t      st_shndx;	//每个符号表的条目的定义都与某些节对应,该变量保存了相关节头表的索引
	Elf64_Addr    st_value;	//存放符号的值(地址或者位置偏移量)
	uint64_t      st_size;	//存放符号的大小
} Elf64_Sym;

这里我们可以观察一个实例:

1.1.symtab符号表分析

首先用readelf -S查看节信息:

  [29] .symtab           SYMTAB           0000000000000000  00001070
       0000000000000648  0000000000000018          30    47     8
  [30] .strtab           STRTAB           0000000000000000  000016b8
       0000000000000216  0000000000000000           0     0     1

然后再用hexedit来查看程序代码:

.symtab节:(这里没有从0x1070顶头截取,0x1310是第28项的起始)

00001310   01 00 00 00  04 00 F1 FF  00 00 00 00  00 00 00 00  ................
00001320   00 00 00 00  00 00 00 00  0C 00 00 00  01 00 15 00  ................
00001330   20 0E 60 00  00 00 00 00  00 00 00 00  00 00 00 00   .`.............
00001340   19 00 00 00  02 00 0E 00  60 04 40 00  00 00 00 00  ........`.@.....
00001350   00 00 00 00  00 00 00 00  1B 00 00 00  02 00 0E 00  ................
00001360   A0 04 40 00  00 00 00 00  00 00 00 00  00 00 00 00  ..@.............
00001370   2E 00 00 00  02 00 0E 00  E0 04 40 00  00 00 00 00  ..........@.....

.strtab节:

最低0.47元/天 解锁文章
zekdot
关注
Linux二进制分析-ELF格式分析及符号重定位
bunner_的博客
03-04 1038
ELF文件类型 ET_NONE:未知类型。 ET_REL:重定位文件。通常是还未被链接到可执行程序中的一段位置独立的代码,例如linux中的.o格式的文件。 ET_EXEC:可执行文件。 ET_DYN:共享目标文件。ELF类型为dynamic,意味着该文件被标记为了一个动态的可连接的目标文件,也称为共享库,这类共享库会在程序运行时被装载并链接到程序的进程镜像中。 ET_CORE:核心文件,在程序崩溃或进程传递了一个SIGSEGV信号(分段违规)时,会在核心文件中记录整个进程的镜像信息ELF文件结构
ELF重定位
RToax
10-30 2306
在工作和学习中,越发发现ELF文件格式的重要性,今天简单谈谈ELF重定位重定位技术实际上是给二进制打补丁的机制,如果使用了动态连接器,可以使用重定位在内存打热补丁。 ELF重定位重定位技术实际上是给二进制打补丁的机制,如果使用了动态连接器,可以使用重定位在内存打热补丁。https://mp.weixin.qq.com/s?__biz=MzAxNjIyNDgzNw==&mid=2247488904&idx=1&sn=78cb9a50f76b471d760e37be0527a02..
[bug] unknown type [0x13] section `.relr.dyn‘ /lib/../lib64/crti.o: unsupported GNU_PROPERTY_TYPE
最新发布
switch_JR的博客
08-21 197
我在编译clucene源码的时候出现这个问题。后来发现是我的toolchain的clangd无法编译动态库。
ELF重定位:Relocation Sections
RToax
03-14 894
Relocation Sections (Linker and Libraries Guide) https://docs.oracle.com/cd/E19120-01/open.solaris/819-0690/6n33n7fct/index.html 目录 Relocation Sections (Linker and Libraries Guide) https://docs.oracle.com/cd/E19120-01/open.solaris/819-0690/6n33n7fct/inde
逆向工程实验——lab9(linuxelf文件逆向
Onlyone_1314的博客
07-01 2091
文章目录第一关:第二关:第三关:第四关:第五关:第六关:第七关-隐藏关: 将bomb拖入linux虚拟机,赋权限4755之后运行: 再用IDA打开bomb: 第一关: 主要目的就是将输入的字符串和Public speaking is very easy.比较。 所以我们输入Public speaking is very easy.即可过关: 第二关: 第二关就是将输入的字符串转换成长度为6的数组: 因为数组的第一个数字如果不为1就爆炸: 所以字符串的第一个数字为1 又因为v3[v1]不等于re
符号表和重定位
侯仕奇的博客
07-01 454
ELF 文件:符号表存储在.symtab或.dynsym段,重定位表存储在.rel.text.rel.data等段。PE 文件:符号表存储在 COFF 符号表部分,重定位表存储在.reloc段。Mach-O 文件:符号表存储在LC_SYMTAB指定的位置,重定位表存储在指定的位置。这些表在程序的加载和执行过程中发挥关键作用,确保符号的正确解析和地址的正确调整。
Linux逆向---ELF动态链接
zekdot的博客
12-02 2280
ELF动态链接 静态链接通过将整个库都编译到可执行文件的方式来生成可执行文件,而动态链接则利用共享库来实现可执行文件对共享库中函数的调用,在执行时将共享库加载并绑定到该进程的地址空间中。 事前准备 由于要探究的是共享库,所以我们需要实现一个共享库文件: 首先是头文件: add.h: #ifndef ADD_H #define ADD_H int add(int a,int b); #endif ...
Linux逆向---ELF格式分析之节头
zekdot的博客
11-29 1093
1.查看节头 段是程序执行的必要组成部分,段可以被分割成若干个节,而节头表是对这些节的位置和大小的描述,主要是链接和调试使用的,而对程序的执行却不是必需的。因为对程序内存布局的描述已经由程序头表描述了,而节头表则是对其的补充。即使节头不存在,节依然存在,只是无法通过节头去引用。 查看程序的节头: readelf -S hello.out 输出: 共有 31 个节头,从偏移量 0x19e0 开始:...
drow -- low-level ELF file analyzer-开源
05-03
drow提供了不同选项来查看ELF文件的各个部分,如头部信息、节区、符号表、重定位信息等。这样的功能对于开发者来说非常实用,因为它们可以深入了解程序是如何被链接和加载到内存中的,以及如何与其他系统组件交互。 ...
Python-Exodus这个工具可以轻松地将LinuxELF二进制文件从一个系统重定位到另一个系统
08-12
Exodus:这个工具可以轻松地将Linux ELF二进制文件从一个系统重定位到另一个系统
syms2elf-master_syms2elf_
09-30
ELF文件格式包含了程序的机器代码、符号表、重定位信息等,它由多个节(Sections)和段(Segments)组成,这些部分分别包含了不同种类的数据。例如,`.text`节通常包含程序的机器代码,`.data`节存储已初始化的全局...
linuxelf重定位理解
大雄不爱吃肉
01-11 1634
准备:可重定位文件(Relocatable file),可执行文件(Executable file),共享文件(Shared object file)。 Relocatable file: an object file that holds code and data suitable for linking with other object files to create a
linux 重定位符号表,ELF格式文件符号表分析
weixin_39738380的博客
05-15 561
1、ELF格式文件的结构和内容a)现在PC平台流行的可执行文件格式(Executable)主要是Windows下的PE(Portable Executable)和linux下的ELF(Executable Linkable Format),他们都是COFF(Common file format)的变种。b)ELF文件的存储结构和内容ELF文件包含了代码、数据,而有些更包含了符号表、调试信息、行号信...
ELF重定位分析
lingedeng的专栏
01-21 1254
1. 变量访问 ///////////////////////////////////////////////////////////// //ml_mainpic_data.c //gcc -fPIC -shared -g -o libmlpicdata.so ml_mainpic_data.c int myglob = 42; int ml_func(int a, int b) { ...
linux动态库重定位过程,linuxelf重定位理解
weixin_30555169的博客
05-13 342
准备:可重定位文件(Relocatable file),可执行文件(Executable file),共享文件(Shared object file)。Relocatable file: an object file that holds code and datasuitable for linking with other object files to create an executabl...
ELF重定位简介
astrotycoon
12-20 3277
Relocation 重定位 Relocation is the process of connecting symbolic references with symbolic definitions. For example, when a program calls a function, the associated call instruction must transfer contr...
linux逆向分析之ELF文件详解
热门推荐
cavalier的学习之路
04-12 1万+
前言 首先如果大家遇到ELF二进制文件的逆向首先考虑的可能就是通过IDA进行静态逆向分析算法,那么我们首先就要了解ELF(Executable and Linking Format)的文件格式。 ELF文件格式主要分为以下几类: 1. 可重定位文件(Relocatable File),这类文件包含了代码和数据,可以被用来链接成可执行文件或共享目标文件,静态链接库也可以归为这一类,如.o文件
深入理解Linux ELF文件格式
"Linux下的ELF文件详解" 在Linux操作系统中,ELF...理解ELF文件的结构和工作原理对于调试、逆向工程和系统级编程都至关重要。通过掌握这些知识,开发者能够更好地理解和处理与程序加载、链接和执行相关的问题。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值