26.ELF文件解析

2024-04-22 00:20
文章标签 解析 elf 26

本文主要是介绍26.ELF文件解析,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

ELF文件及objdump/readelf命令

文章目录

  • ELF文件及objdump/readelf命令
    • ELF文件结构分析
    • 使用`od`命令读取`ELF`文件
    • 使用`readelf`命令读取`ELF`文件
    • 使用`objdump`命令分析`ELF`文件
      • reference


欢迎访问个人网络日志🌹🌹知行空间🌹🌹


ELF(Executable and Linked Format)是UNIX系统实验室(USL)作为应用程序二进制接口(Application Binary Interface)开发和发布的可执行链接格式。ELF文件是Linux目标文件格式既参与程序执行也参与程序链接。

可以从程序执行和程序链接两个角度来分析ELF文件:

从链接角度从执行角度
ELF HeaderELF Header
Program Header Table(Optional)Program Header Table
Section 1Segment 1
Section 2Segment 2
Section …Segment …
Section NSegment N
Section header tableSection header table(optional)

ELF文件结构分析

ELF Header部分位于文件的开头,包括用于标识文件是不是ELF文件的标识位,program header/Section header的偏移量,program headers个数,section headers个数等信息。

program headers记录了segment的分布,用来保存程序加载到内存中所需要的信息。因此从程序运行的角度来看是必须的。譬如其中DYNAMIC部分,指定了ELF文件加载时动态链接器需要的信息。

section header记录了ELF包含的哪些section及其位置。从文件链接角度来看,Section部分主要由text\data\rodata\bss等不同部分组成。

使用od命令读取ELF文件

od命令用于将指定文件内容以八进制、十进制、十六进制、浮点格式或ASCII编码字符方式显示。通常用于显示或查看文件中不能直接显示在终端的字符。od命令系统默认的显示方式是八进制,名称源于Octal Dump

后面支持的参数:

  • -A,文件偏移量的输出格式,可选值为doxn之一,分别表示decimal/octal/hexnone
  • -t输出的格式,如-x1用一个十六进制数表示的输出的值,类型后追加参数z会在每一行后输出对应十六进制数对应的可打印字符。

更多od命令的使用方法可以参考man od手册,使用od命令查看ELF文件的方式如下:

od -t x1z -A x tc
# 000000 7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00  >.ELF............<
# 000010 02 00 3e 00 01 00 00 00 90 10 40 00 00 00 00 00  >..>.......@.....<
# 000020 40 00 00 00 00 00 00 00 50 31 00 00 00 00 00 00  >@.......P1......<
# 000030 00 00 00 00 40 00 38 00 0b 00 40 00 1b 00 1a 00  >....@.8...@.....<

十六进制数7f 45 4c 46对应的Ascii码分别是.ELF用来标识文件是ELF文件。

使用readelf命令读取ELF文件

readelf命令是专门用来读取ELF文件中内容的命令。readelf命令和objdump提供的功能类似,但是它显示的信息更为具体。

readelf命令支持的参数选项:

  • -h打印ELF Header信息
  • -l打印ELF文件中的program-headers|--segments信息
  • -S打印ELF文件中的--section-headers|--sections信息
  • -s打印符号信息,符号指向一个语言层面的实体,如变量Object和函数Func。ELF文件中的符号表(symbol table)存放着前面提到的Elf64_Sym,表示该文件内已经定义或者需要引用的符号。
  • -a打印所有的headers信息

使用示例:

readelf -r tc# Relocation section '.rela.dyn' at offset 0x618 contains 3 entries:
#   Offset          Info           Type           Sym. Value    Sym. Name + Addend
# 000000403ff0  000700000006 R_X86_64_GLOB_DAT 0000000000000000 __libc_start_main@GLIBC_2.2.5 + 0
# 000000403ff8  000800000006 R_X86_64_GLOB_DAT 0000000000000000 __gmon_start__ + 0
# 000000404080  000a00000005 R_X86_64_COPY     0000000000404080 _ZSt4cout@GLIBCXX_3.4 + 0# Relocation section '.rela.plt' at offset 0x660 contains 6 entries:
#   Offset          Info           Type           Sym. Value    Sym. Name + Addend
# 000000404018  000900000007 R_X86_64_JUMP_SLO 0000000000401030 _ZSt4endlIcSt11char_tr@GLIBCXX_3.4 + 0
# 000000404020  000100000007 R_X86_64_JUMP_SLO 0000000000000000 _ZStlsISt11char_traits@GLIBCXX_3.4 + 0
# 000000404028  000200000007 R_X86_64_JUMP_SLO 0000000000000000 _Znwm@GLIBCXX_3.4 + 0
# 000000404030  000300000007 R_X86_64_JUMP_SLO 0000000000000000 _ZdlPvm@CXXABI_1.3.9 + 0
# 000000404038  000400000007 R_X86_64_JUMP_SLO 0000000000000000 _ZNSolsEPFRSoS_E@GLIBCXX_3.4 + 0
# 000000404040  000600000007 R_X86_64_JUMP_SLO 0000000000000000 _ZNSolsEi@GLIBCXX_3.4 + 0

使用objdump命令分析ELF文件

odreadelf命令可以读取ELF文件中的信息,如果想看具体每一个Section/Segment部分的内容,可以使用objdump命令。该命令还能执行反汇编操作。

这里先说个题外话,dump单词的含义,这里是指to move information from a computer's memory to another place or device翻译过来是将内存信息转存,如coredump文件。

objdump命令支持的参数选项:

  • ‵-a`展示文件的头信息,类型
  • -f展示文件的头信息更详细
  • -h查看ELF支持哪些Section信息
  • -j name只展示名字为nameSection部分的信息。
  • ‵-x展示所有的section`信息
  • -d反编译程序
  • -s展示指定section部分的所有信息

使用:

objdump -f tc# tc:     file format elf64-x86-64
# architecture: i386:x86-64, flags 0x00000112:
# EXEC_P, HAS_SYMS, D_PAGED
# start address 0x0000000000401090objdump -d -S tc# Disassembly of section .fini:# 00000000004012e8 <.fini>:
#   4012e8:       f3 0f 1e fa             endbr64 
#   4012ec:       48 83 ec 08             sub    $0x8,%rsp
#   4012f0:       48 83 c4 08             add    $0x8,%rsp
#   4012f4:       c3                      retq   

reference

1.https://ivanzz1001.github.io/records/post/linuxops/2018/08/27/linux-od-comand
2.https://www.bluepuni.com/archives/elf-symbols/
3.https://evshary.com/2018/05/06/ELF-format/

这篇关于26.ELF文件解析的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/924401

相关文章

Qt实现网络数据解析的方法总结

《Qt实现网络数据解析的方法总结》在Qt中解析网络数据通常涉及接收原始字节流,并将其转换为有意义的应用层数据,这篇文章为大家介绍了详细步骤和示例,感兴趣的小伙伴可以了解下... 目录1. 网络数据接收2. 缓冲区管理(处理粘包/拆包)3. 常见数据格式解析3.1 jsON解析3.2 XML解析3.3 自定义

Golang HashMap实现原理解析

《GolangHashMap实现原理解析》HashMap是一种基于哈希表实现的键值对存储结构,它通过哈希函数将键映射到数组的索引位置,支持高效的插入、查找和删除操作,:本文主要介绍GolangH... 目录HashMap是一种基于哈希表实现的键值对存储结构,它通过哈希函数将键映射到数组的索引位置,支持

Python使用getopt处理命令行参数示例解析(最佳实践)

《Python使用getopt处理命令行参数示例解析(最佳实践)》getopt模块是Python标准库中一个简单但强大的命令行参数处理工具,它特别适合那些需要快速实现基本命令行参数解析的场景,或者需要... 目录为什么需要处理命令行参数?getopt模块基础实际应用示例与其他参数处理方式的比较常见问http

Python利用ElementTree实现快速解析XML文件

《Python利用ElementTree实现快速解析XML文件》ElementTree是Python标准库的一部分,而且是Python标准库中用于解析和操作XML数据的模块,下面小编就来和大家详细讲讲... 目录一、XML文件解析到底有多重要二、ElementTree快速入门1. 加载XML的两种方式2.

Java的栈与队列实现代码解析

《Java的栈与队列实现代码解析》栈是常见的线性数据结构,栈的特点是以先进后出的形式,后进先出,先进后出,分为栈底和栈顶,栈应用于内存的分配,表达式求值,存储临时的数据和方法的调用等,本文给大家介绍J... 目录栈的概念(Stack)栈的实现代码队列(Queue)模拟实现队列(双链表实现)循环队列(循环数组

java解析jwt中的payload的用法

《java解析jwt中的payload的用法》:本文主要介绍java解析jwt中的payload的用法,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录Java解析jwt中的payload1. 使用 jjwt 库步骤 1:添加依赖步骤 2:解析 JWT2. 使用 N

Python中__init__方法使用的深度解析

《Python中__init__方法使用的深度解析》在Python的面向对象编程(OOP)体系中,__init__方法如同建造房屋时的奠基仪式——它定义了对象诞生时的初始状态,下面我们就来深入了解下_... 目录一、__init__的基因图谱二、初始化过程的魔法时刻继承链中的初始化顺序self参数的奥秘默认

Java 正则表达式URL 匹配与源码全解析

《Java正则表达式URL匹配与源码全解析》在Web应用开发中,我们经常需要对URL进行格式验证,今天我们结合Java的Pattern和Matcher类,深入理解正则表达式在实际应用中... 目录1.正则表达式分解:2. 添加域名匹配 (2)3. 添加路径和查询参数匹配 (3) 4. 最终优化版本5.设计思

使用Java将DOCX文档解析为Markdown文档的代码实现

《使用Java将DOCX文档解析为Markdown文档的代码实现》在现代文档处理中,Markdown(MD)因其简洁的语法和良好的可读性,逐渐成为开发者、技术写作者和内容创作者的首选格式,然而,许多文... 目录引言1. 工具和库介绍2. 安装依赖库3. 使用Apache POI解析DOCX文档4. 将解析

Java字符串处理全解析(String、StringBuilder与StringBuffer)

《Java字符串处理全解析(String、StringBuilder与StringBuffer)》:本文主要介绍Java字符串处理全解析(String、StringBuilder与StringBu... 目录Java字符串处理全解析:String、StringBuilder与StringBuffer一、St