二进制分析 ELF格式

2024-06-03 08:12
文章标签 分析 格式 二进制 elf

本文主要是介绍二进制分析 ELF格式,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

简介: ELF 用于可执行文件,对象文件,共享库及核心转储,是UN IX系统实验室作为二进制接口而开发和发布

组成部分
ELF 头部

该头部是一系列结构化的字节,描述是什么样的二进制文件及在文件的什么地方找到其他内容

可以在 /usr/include/elf.h 或规范中找到其它内型的定义

程序头描述的是一个段在文件中的位置,大小以及它被放进内存后所在的位置和大小
二进制文件中的代码和数据在逻辑上被分为连续的非重叠块
节头指定节的属性,并允许找到节中字节的位置

ELF 头部结构
unsigned char e_ident[16]

/* Magic number and other info */

[0~3]: 幻数,0x7f 说明在处理一个ELF 文件

[4]: EI_CLASS,系统类型,表示用32位还是64位

[5]: EI_DATA,字节顺序(大端还是小段)

[6]: EI_VERSION,使用ELF 规范版本 

[7]: EI_OSABI ,二进制接口,非零表示文件中会使用一些ABI 或OS 的具体扩展名

[8]: EI_ABIVERSION,表示EI_OSABI 字节指定的ABI版本 

[9~15]: EI_PAD,保留字节,供将来使用

uint16_t e_type

 /* Object file type */

指定文件类型,

        ET_REL: 可重定位对象文件

        ET_EXEC: 可执行的二进制文件

        ET_DYN: 动态库

uint16_t e_machine

/* Architecture */

运行架构体系,

        EM_X86_64: 64位x86

        EM_386: 32位x86

        EM_ARM: ARM二进制文件

uint32_t e_versioin

/* Object file version */

使用的ELF 规范版本

uint64_t e_entry

 /* Entry point virtual address */

二进制文件的入口点,应该执行的虚拟地址 

uint64_t phoff

 /* Program header table file offset */

程序表距离开始的偏移量

uint64_t e_shoff

  /* Section header table file offset */

节头表距离开始的偏移量

uint32_t e_flags

/* Processor-specific flags */

处理器标志,ARM,X86,...

uint16_t e_ehsize

/* ELF header size in bytes */

ELF 头部大小

uint16_t e_phentsize

/* Program header table entry size */

程序头表大小

uint16_t e_phum

 /* Program header table entry count */

程序头表程序头数量

uint16_t e_shentsize

/* Section header table entry size */

节头表大小

uint16_t e_shum

 /* Section header table entry count */

节头表节的数量

uint16_t e_eshstrndx

/* Section header string table index */

表示字符串表在节头表中的索引

程序头结构 Elf64_Phdr
uint32_Word  p_type

 /* Segment type */

标识段类型:

        PT_LOAD: 在创建进程时加载到内存中

        PT_DYNAMIC:包含.dynamic 节,告诉解析器如果解析二进制文件用于执行

        PT_INTERT:包含了.interp节该节提供了加载二进制文件的解析器的名称

        ...

uint32_Word  p_flags;  

/* Segment flags */

指定段子啊运行时的访问权限

        PF_X:该段可执行

        PF_W: 该段可写

        PF_R:可读

uint64_Off   p_offset;

 /* Segment file offset */

段起始文件便宜量

uint64_Addr  p_vaddr;

 /* Segment virtual address */

加载的虚拟地址

 uint64_Addr  p_paddr;    

/* Segment physical address */

加载的物理地址,在某些系统上,可以指定段在物理内存的那个地址上执行

uint64_Xword p_filesz; 

 /* Segment size in file */

段大小

uint64_Xword p_memsz;    

 /* Segment size in memory */

内存大小

 uint64_Xword p_align;

 /* Segment alignment */

指定段所需要的内存对齐方式

节头Elf64_Shdr
uint32_Word   sh_name;

/* Section name (string tbl index) */

名字索引,如果为0,表示该节没有索引

init,fini,text,.....

uint32_Word   sh_type; 

  /* Section type */

类型:

        SHT_PROGBITS: 包含了程序数据

        SHT_SYSMATA:  静态符号表

        SHT_DYNSYM: 动态链接器符合表

        SHT_STRTAB: 字符串标

        SHT_REL: 

        SHT_REAL

        ....

uint64_Xword  sh_flags;

/* Section flags */

节标志:

        SHF_WRITE: 指示该节在运行时可写

        SHF_ALLOC: 指示执行二进制文件时讲节的内容加载到虚拟内存中
        SHF_EXECINSTR: 指示该节包含可执行指令

uint64_Addr   sh_addr;  

 /* Section virtual addr at execution */

该节的虚拟地址

uint64_Off    sh_offset;

 /* Section file offset */

该节的文件便宜量

 uint64_Xword  sh_size;

 /* Section size in bytes */

节的大小

uint64_Word   sh_link;

/* Link to another section */

链接到下一个节

 uint64_Word   sh_info; 

/* Additional section information */

存放关于节的额外信息,依赖于节的类型

uint64_Xword  sh_addralign;

/* Section alignment */

在内存中的对齐方式

 uint64_Xword  sh_entsize;

/* Entry size if section holds table */

某些节包含固定大小的条目,该字段指定每个条目的长度字节数,如果为0则并不包含固定长度条目的表格

名称类型说明
.interpPROGBITS

interp字段的值是一个字符串指针,指向文件头中的interp_name字段,用于指定解释器或加载器的名称

例如,如果ELF文件是为C++程序编译的,那么interp_name字段可能包含“ld-linux-x86-64.so.2”的字符串,表示GNU linker(ld)程序。

.note.ABI-tagNOTE

用于存储文件的应用二进制接口(ABI)信息。ABI是一个程序的接口定义,用于描述程序的可执行代码和库之间的交互方式。

包含了文件的ABI版本号、ABI类型(例如,32位或64位)以及其他相关信息

.note.gnu.build-idNOTE

用于存储文件的唯一标识符(build ID)。build ID是一个字符串,用于标识文件的构建过程和源代码。

用于标识文件的构建过程和源代码。它用于帮助诊断和调试问题,因为它可以帮助跟踪文件的来源和构建过程。

.gnu.hashGNU_HASH

用于存储文件的哈希值。哈希值是一个字符串,用于标识文件的内容和结构。

通常由文件的构建过程生成。这个字符串通常包含文件的哈希值,用于帮助诊断和调试问题,因为它可以帮助跟踪文件的内容和结构。

.dynsymDYNSYM

用于存储动态符号表(dynsym)信息。动态符号表是一个数据结构,用于描述程序中的动态符号(例如,库和其他程序中的函数和变量)。

用于帮助程序在运行时查找和链接动态库中的符号。

.dynstrSTRTAB用于存储动态字符串表(dynstr)信息。动态字符串表是一个数据结构,用于存储程序中的动态字符串(例如,库和其他程序中的函数和变量名称)。
.gun.versionVERSYM用于存储文件的GNU版本信息。GNU版本信息是一个字符串,用于标识文件的GNU工具链版本。
.gun.version_rVERNEED用于存储文件的GNU运行时版本信息。GNU运行时版本信息是一个字符串,用于标识文件的GNU运行时库版本。
.rela.dynRELA记录所有变量的动态链接器重定位信息与rela.plt 一起使用
.rela.pltRELA过程的动态链接重定位表
.initPROGBITS在执行其他代码之前的初始化(类似构造函数)
.pltPROGBITS过程链接表(用于延迟绑定:在运行中需要的时候执行)
.plt.gotPROGBITS全局偏移量表(用于延迟绑定)
.textPROGBITS主要代码,包含用户代码,注意节的标志,一般来说可执行就不可写,可写就不可执行,因为可执行又可写就会被攻击者利用,直接覆盖代码来修改程序
.finiPROGBITS主程序运行完成后执行的代码(类似析造函数)
.rodataPROGBITS只读数据,用于存储常量
.en_frame_hdrPROGBITS用于存储程序的执行框架头部信息。执行框架头部是一个数据结构,用于描述程序的执行框架和运行时状态。
.en_framePROGBITS用于存储程序的执行框架信息。执行框架是一个数据结构,用于描述程序的执行框架和运行时状态。
.init_arrayINIT_ARRAY包含一个指向构造函数的指针数组,在main 之前会被依次调用,与init 不同的时它是数据节(指针可被修改,使其方便插入钩子的位置)
.fini_arrayFINT_ARRAY包含指向析构函数数组指针(指针可被修改,使其方便插入钩子的位置)
.jcrPROGBITS
.dynamicDYNAMIC用于存储文件的动态链接信息。动态链接信息是一个数据结构,用于描述程序中的动态链接(例如,库和其他程序中的函数和变量)。
.gotPROGBITS用于存储文件的全局偏移表(got)信息
.got.pltPROGBITS用于存储文件的程序链接表(plt)信息。程序链接表是一个数据结构,用于描述程序中的程序链接(例如,库和其他程序中的函数和变量)。
.dataPROGBITS初始化变量的默认值
.bssPROGBITS为未初始化的变量保留空间
.commentPROGBITS用于存储文件的注释信息。注释信息是一个字符串,用于描述文件的注释信息。
.shstrtabSTRTAB以NULL 结尾的字符串数组,包含所有的节的名称,通过节名称进行索引
.symtabSYMTAB包含一个符合表,该表是一个ELF65_Sym 结构体数组,每个条目都将符合名与二进制文件中的代码和数据相关联,包含符号名的实际字符串保存到strtab 中
.strtabSTRTAB符号名的实际字符串

这篇关于二进制分析 ELF格式的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1026436

相关文章

Android kotlin中 Channel 和 Flow 的区别和选择使用场景分析

《Androidkotlin中Channel和Flow的区别和选择使用场景分析》Kotlin协程中,Flow是冷数据流,按需触发,适合响应式数据处理;Channel是热数据流,持续发送,支持... 目录一、基本概念界定FlowChannel二、核心特性对比数据生产触发条件生产与消费的关系背压处理机制生命周期

怎样通过分析GC日志来定位Java进程的内存问题

《怎样通过分析GC日志来定位Java进程的内存问题》:本文主要介绍怎样通过分析GC日志来定位Java进程的内存问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录一、GC 日志基础配置1. 启用详细 GC 日志2. 不同收集器的日志格式二、关键指标与分析维度1.

MySQL中的表连接原理分析

《MySQL中的表连接原理分析》:本文主要介绍MySQL中的表连接原理分析,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录1、背景2、环境3、表连接原理【1】驱动表和被驱动表【2】内连接【3】外连接【4编程】嵌套循环连接【5】join buffer4、总结1、背景

Mysql常见的SQL语句格式及实用技巧

《Mysql常见的SQL语句格式及实用技巧》本文系统梳理MySQL常见SQL语句格式,涵盖数据库与表的创建、删除、修改、查询操作,以及记录增删改查和多表关联等高级查询,同时提供索引优化、事务处理、临时... 目录一、常用语法汇总二、示例1.数据库操作2.表操作3.记录操作 4.高级查询三、实用技巧一、常用语

在Linux终端中统计非二进制文件行数的实现方法

《在Linux终端中统计非二进制文件行数的实现方法》在Linux系统中,有时需要统计非二进制文件(如CSV、TXT文件)的行数,而不希望手动打开文件进行查看,例如,在处理大型日志文件、数据文件时,了解... 目录在linux终端中统计非二进制文件的行数技术背景实现步骤1. 使用wc命令2. 使用grep命令

python中Hash使用场景分析

《python中Hash使用场景分析》Python的hash()函数用于获取对象哈希值,常用于字典和集合,不可变类型可哈希,可变类型不可,常见算法包括除法、乘法、平方取中和随机数哈希,各有优缺点,需根... 目录python中的 Hash除法哈希算法乘法哈希算法平方取中法随机数哈希算法小结在Python中,

Java Stream的distinct去重原理分析

《JavaStream的distinct去重原理分析》Javastream中的distinct方法用于去除流中的重复元素,它返回一个包含过滤后唯一元素的新流,该方法会根据元素的hashcode和eq... 目录一、distinct 的基础用法与核心特性二、distinct 的底层实现原理1. 顺序流中的去重

利用Python脚本实现批量将图片转换为WebP格式

《利用Python脚本实现批量将图片转换为WebP格式》Python语言的简洁语法和库支持使其成为图像处理的理想选择,本文将介绍如何利用Python实现批量将图片转换为WebP格式的脚本,WebP作为... 目录简介1. python在图像处理中的应用2. WebP格式的原理和优势2.1 WebP格式与传统

关于MyISAM和InnoDB对比分析

《关于MyISAM和InnoDB对比分析》:本文主要介绍关于MyISAM和InnoDB对比分析,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录开篇:从交通规则看存储引擎选择理解存储引擎的基本概念技术原理对比1. 事务支持:ACID的守护者2. 锁机制:并发控制的艺

C++ 函数 strftime 和时间格式示例详解

《C++函数strftime和时间格式示例详解》strftime是C/C++标准库中用于格式化日期和时间的函数,定义在ctime头文件中,它将tm结构体中的时间信息转换为指定格式的字符串,是处理... 目录C++ 函数 strftipythonme 详解一、函数原型二、功能描述三、格式字符串说明四、返回值五