Linux及安全实践四——ELF文件格式分析

一、ELF文件格式概述

1. ELF:是一种对象文件的格式,用于定义不同类型的对象文件中都放了什么东西、以及都以什么样的格式去放这些东西。

二、分析一个ELF文件

以一个最简单的helloworld程序为例

1. ELF文件头

使用工具查看ELF文件头:readelf -h obj

在/usr/include/elf.h中可以找到文件头结构定义:

大小总共为64字节,换算成十六进制为0x40。在十六进制代码中找到前0x40字节,即为文件头信息部分(阅读时注意反序问题):

(1)identification

第一部分:占四个字节。7f 45 4c 46,对应ASCII码.ELF,表示这是一个ELF对象。

第二部分:占一个字节。02表示是一个64位对象。

第三部分:占一个字节。01表示是小端表示法。

第四部分:占一个字节。01表示文件头版本。

其余默认为0。

(2)information

e_type:两个字节,01 00表示是一个重定位文件。

e_machine:两个字节,3e 00表示是intel80386处理器体系结构。

e_version:四个字节,01 00 00 00表示是当前版本。

e_entry:八个字节,00 00 00 00 00 00 00 00表示当前程序没有入口点。

e_phoff:八个字节,00 00 00 00 00 00 00 00表示没有程序头表。

e_shoff:八个字节,90 02 00 00 00 00 00 00表示段表的偏移地址在00 00 00 00 00 00 02 90处。

e_flags:四个字节,00 00 00 00表示未知处理器特定标志#define EF_SH_UNKNOWN 0x0。

e_ehsize:两个字节,40 00表示elf文件头大小为00 40(64个字节)。

e_phentsize:两个字节,00 00表示重定位文件没有程序头表。

e_phnum:两个字节,00 00表示重定位文件没有程序头表。

e_ehentsize:两个字节,40 00 表示段头大小为00 40(64字节),section header table中每个header的大小。

e_shnum:两个字节,0d 00表示段表入口有13个,即段表有13段。

e_shstrndx:两个字节,0a 00 表示段表字符串在段表中的索引号,.shstrab段的段表索引号为00 0a,即10。

2. 通过文件头找到各个节

使用工具查看段表信息:readelf -S obj

(1)找到段表

在文件头中e_shoff可以找到段表偏移地址00 00 00 00 00 00 02 90,从这个地址去查找段表。

段表长度由e_ehentsize为00 40(64字节)。

段表个数由e_shnum可知有13个。

/usr/include/elf.h中可以找到段表结构:

(2)分析一个段表

第一个段:全为零,不表示任何段。

第二个段:

sh_name:四个字节,20 00 00 00表示该段名称在.shstrtab中偏移量,为.test节。

sh_type:四个字节,01 00 00 00表示这个段拥有程序所定义的信息,其格式和含义完全由该程序确定,这里表示PROGBITS。

sh_flags:八个字节,06 00 00 00 00 00 00 00表示alloc和execute。

sh_addr:八个字节,00 00 00 00 00 00 00 00表示是section在内存中的虚拟地址,.o文件不需要执行,这里都是0。

sh_offset:八个字节,40 00 00 00 00 00 00 00表示是section与文件头之间的偏移。

sh_size:八个字节,11 00 00 00 00 00 00 00表示文件里面section占用的大小。

sh_link:四个字节,00 00 00 00表示没有链接信息。

sh_info:四个字节,00 00 00 00表示没有辅助信息。

sh_addralign:八个字节,01 00 00 00 00 00 00 00表示字节对齐长度。

sh_entsize:八个字节,00 00 00 00 00 00 00 00表示没有入口。(3)所有段表

第三个段:

段名:.rel.text

类型:RELA

标志:info

相对文件头偏移:0x1e0

占用大小:0x30

第四个段:

段名:.data

类型:PROGBITS

标志:write、alloc

相对文件头偏移:0x51

占用大小:0

第五个段:

段名:.bss

类型:NOBITS

标志:write、alloc

相对文件头偏移:0x51

占用大小:0

第六个段:

段名:.rodata

类型:PROGBITS

标志:alloc

相对文件头偏移:0x51

占用大小:0x0b

第七个段:

段名:.comment

类型:PROGBITS

标志:merge、strings

相对文件头偏移:0x5c

占用大小:0x26

第八个段:

段名:.note.GNU-stack

类型:PROGBITS

标志:无

相对文件头偏移:0x82

占用大小:0

第九个段:

段名:.eh_frame

类型:PROGBITS

标志:alloc

相对文件头偏移:0x88

占用大小:0x38

第十个段:

段名:.rela.eh_frame

类型:RELA

标志:info

相对文件头偏移:0x210

占用大小:0x18

第十一段:

段名:.shstrtab

类型:STRTAB

标志:无

相对文件头偏移:0x228

占用大小:0x61

第十二段:

段名:.symtab

类型:STRTAB

标志:无

相对文件头偏移:0xc0

占用大小:0x0108

第十三段:

段名:.strtab

类型:STRTAB

标志:无

相对文件头偏移:0x1c8

占用大小:0x11

三、理解常见节

1. .text节:本节中是可执行指令的集合

通过刚才的信息,我们可以从文件中偏移0x40处找到大小为0x11的 .text节:

可以通过反汇编该程序来查看:

2. .rodata:本节是只读数据,ro代表read only

从偏移0x51处找到大小为0x0b的 .rodata节:

使用ASCII码对照表翻译数据为hello 5309,即.c文件中的字符串:

2. .comment:本节用来存放编译器版本信息

从偏移0x5c处找到大小为0x26的 .comment节:

3. .symtab:本节存放所有section中定义的符号名字,一般是变量、函数shstrtab及symtab经常引用strtab中的字符串

从偏移0xc0处找到大小为0x0108的 .symtab节:

4. .strtab:本节是段表的字符串表

从偏移0x1c8处找到大小为0x11的 .strtab节:

数据用“0”分隔出了三部分,用ASCII码翻译:

65 6c 66 2e 63:elf.c

6d 61 69 6e:main

70 75 74 73:puts

Linux及安全实践四——ELF文件格式分析的更多相关文章

  1. Linux课题实践四——ELF文件格式分析

    2.4   ELF文件格式分析 20135318 刘浩晨 ELF全称Executable and Linkable Format,可执行连接格式,ELF格式的文件用于存储Linux程序.ELF文件(目 ...

  2. 20135218 实践四 ELF文件格式分析

    一 :概述 ELF全称Executable and Linkable Format,可执行连接格式,ELF格式的文件用于存储Linux程序.ELF文件(目标文件)格式主要三种: (1)可重定向文件:文 ...

  3. linux第三次实践:ELF文件格式分析

    linux第三次实践:ELF文件格式分析 标签(空格分隔): 20135328陈都 一.概述 1.ELF全称Executable and Linkable Format,可执行连接格式,ELF格式的文 ...

  4. Linux实践:ELF文件格式分析

    标签(空格分隔): 20135321余佳源 一.基础知识 ELF全称Executable and Linkable Format,可执行连接格式,ELF格式的文件用于存储Linux程序.ELF文件(目 ...

  5. 20135337——linux实践三:ELF文件格式分析(32位系统)

    ELF文件格式分析 可重定位文件 十六进制形式显示内容 显示各个段.符号表相关信息 查看各个段信息 elf文件头信息 段表 符号表信息 查看堆栈 具体分析 1.ELF文件头信息(小字节优先,均十六进制 ...

  6. 实践2.4 ELF文件格式分析

    实践2.4 ELF文件格式分析 1.ELF文件头 查看/usr/include/elf.h文件: #define EI_NIDENT (16) typedef struct { unsigned ch ...

  7. linux实践之ELF文件分析

    linux实践之ELF文件分析 下面开始elf文件的分析. 我们首先编写一个简单的C代码. 编译链接生成可执行文件. 首先,查看scn15elf.o文件的详细信息. 以16进制形式查看scn15elf ...

  8. 20135306 2.4 ELF文件格式分析

    2.4   ELF文件格式分析 20135306 黄韧 ELF全称Executable and Linkable Format,可执行连接格式,ELF格式的文件用于存储Linux程序.ELF文件(目标 ...

  9. Linux课程实践四:ELF文件格式分析

    一.ELF文件格式概述 1. ELF文件 ELF:Executable and Linking Format,是一种对象文件的格式,用于定义不同类型的对象文件(Object files)中都放了什么东 ...

随机推荐

  1. linux shell 压缩解压命令

    .tar 解包:tar xvf FileName.tar打包:tar cvf FileName.tar DirName(注:tar是打包,不是压缩!)———————————————.gz解压1:gun ...

  2. javascript this(上)

    javascript的this指向的是一个函数运行时动态绑定对象. this的4种常见的指向: 作为对象的方法调用 var obj={ name:"姚小白", getName:fu ...

  3. c++虚继承与虚函数

    学习继承与多态时看到这两个概念,记录整理. 虚继承与虚函数都是用virtual关键字实现,虚继承为了防止多重继承,而虚函数为了实现多态. 是几个例子. 虚继承: class A{}; class B: ...

  4. 使用git-premit时的问题

    package.json 相关配置如下 { "scripts": { "lint": "eslint pages/* component/* --fi ...

  5. [linux] LVM磁盘管理(针对xfs和ext4不同文件系统)

    简单来说就是:PV:是物理的磁盘分区VG:LVM中的物理的磁盘分区,也就是PV,必须加入VG,可以将VG理解为一个仓库或者是几个大的硬盘LV:也就是从VG中划分的逻辑分区如下图所示PV.VG.LV三者 ...

  6. 安装macOS Sierra后怎么找回“任何来源”选项

    安装macOS Sierra后,会发现系统偏好设置的“安全与隐私”中默认已经去除了允许“任何来源”App的选项,无法运行一些第三方应用(提示xx.app已经损坏).如果需要恢复允许“任何来源”的选项, ...

  7. 第二次作业(homework-02)成绩公布

    学位后三位和对应成绩: 057 0008 4011 4012 7014 5015 5017 6018 0019 0026 2027 7036 0038 7.5046 7048 6.5051 0061 ...

  8. 第十三次作业psp

    psp 进度条 代码累积折线图 博文累积折线图 psp饼状图

  9. Team Member Introduction and Division of Work

    Team leader Name:宋天舒 Student Number:12061166 Interested In: Information safety. Responsible For: Des ...

  10. JAVA开发环境的熟悉

    北京电子科技学院(BESTI) 实 验 报 告 课程:Java程序设计 班级:1352 姓名:马悦 学号:20135235 成绩: 指导教师:娄嘉鹏 实验日期:2015.4.13 实验密级: 预习程度 ...