一、ELF的部分结构定义

  1. elf header(定义在/usr/include/elf.h)//64位的系统ELF文件头包括以下两个部分

    #define EI_NIDENT (16)
    
typedef struct
    
{
    
  	unsigned char	e_ident[EI_NIDENT];/* Magic number 	and other info */
    
Elf32_Half	e_type;			/* Object file type */
    
Elf32_Half	e_machine;		/* Architecture */
    
Elf32_Word	e_version;		/* Object file version */
    
Elf32_Addr	e_entry;		/* Entry point virtual address */
    
Elf32_Off	e_phoff;		/* Program header table file offset */
    
Elf32_Off	e_shoff;		/* Section header table file offset */
    
Elf32_Word	e_flags;		/* Processor-specific flags */
    
Elf32_Half	e_ehsize;		/* ELF header size in bytes */
    
Elf32_Half	e_phentsize;		/* Program header table entry size */
    
Elf32_Half	e_phnum;		/* Program header table entry count */
    
Elf32_Half	e_shentsize;		/* Section header table entry size */
    
Elf32_Half	e_shnum;		/* Section header table entry count */
    
Elf32_Half	e_shstrndx;		/* Section header string table index */
    
} 	Elf32_Ehdr;  //32位

typedef struct
    
{
    
unsigned char	e_ident[EI_NIDENT];	/* Magic number 	and other info */
    
Elf64_Half	e_type;			/* Object file type */
    
Elf64_Half	e_machine;		/* Architecture */
    
Elf64_Word	e_version;		/* Object file version */
    
Elf64_Addr	e_entry;		/* Entry point virtual address */
    
Elf64_Off	e_phoff;		/* Program header table file offset */
    
Elf64_Off	e_shoff;		/* Section header table file offset */
    
Elf64_Word	e_flags;		/* Processor-specific flags */
    
Elf64_Half	e_ehsize;		/* ELF header size in bytes */
    
Elf64_Half	e_phentsize;		/* Program header 	table entry size */
    
Elf64_Half	e_phnum;		/* Program header 	table entry count */
    
Elf64_Half	e_shentsize;		/* Section header 	table entry size */
    
Elf64_Half	e_shnum;		/* Section header 	table entry count */
    
Elf64_Half	e_shstrndx;		/* Section header 	string table index */
    
} Elf64_Ehdr;//64位

  2. section header

    typedef struct
    
{
    
Elf32_Word	sh_name;		/* Section name (string tbl index) */
    
Elf32_Word	sh_type;		/* Section type */
    
Elf32_Word	sh_flags;		/* Section flags */
    
Elf32_Addr	sh_addr;		/* Section virtual addr at execution */
    
Elf32_Off	sh_offset;		/* Section file offset */
    
Elf32_Word	sh_size;		/* Section size in bytes */
    
Elf32_Word	sh_link;		/* Link to another section */
    
Elf32_Word	sh_info;		/* Additional section information */
    
Elf32_Word	sh_addralign;		/* Section alignment */
    
Elf32_Word	sh_entsize;		/* Entry size if section holds table */
    
} Elf32_Shdr;

typedef struct
    
{
    
Elf64_Word	sh_name;		/* Section name (string tbl index) */
    
Elf64_Word	sh_type;		/* Section type */
    
Elf64_Xword	sh_flags;		/* Section flags */
    
Elf64_Addr	sh_addr;		/* Section virtual addr at execution */
    
Elf64_Off	sh_offset;		/* Section file offset */
    
Elf64_Xword	sh_size;		/* Section size in bytes */
    
Elf64_Word	sh_link;		/* Link to another section */
    
Elf64_Word	sh_info;		/* Additional section information */
    
Elf64_Xword	sh_addralign;		/* Section alignment */
    
Elf64_Xword	sh_entsize;		/* Entry size if section holds table */
    
} Elf64_Shdr;

二、实践部分

hexdump hello.o

1.64位的文件头是64字节,具体如下

第一行:

(对应e_ident[EI_NIDENT]):实际表示内容为7f45 4c46 0201 0100 0000 0000 0000 0000。

前四个字节7f45 4c46(0x45,0x4c,0x46是’e','l','f'对应的ASCⅡ)是一个魔数(magic number),表示这是一个ELF对象,接下来的一个字节02表示是一个64位对象(32位的对象是01),再接下来的一个字节01表示采用小端法表示,再接下来的一个字节01表示文件头版本,剩下的默认都设置为0。

第二行:

e_type(两个字节)值为0x0001,表示是一个重定位文件。

e_machine(两个字节)值为0x003e,表示是X86-64的处理器体系结构。

e_version(四个字节)值为0x00000001,表示是当前版本。

e_entry(八个字节)值为0x0000000000000000,表示没有入口点。

第三行:

e_phoff(八个字节)值为0x0000000000000000,表示没有程序头表。

e_shoff(八个字节)值为0x00000000000002b0,表示段表的偏移地址。

第四行:

e_flags(四个字节)值为0x00000000,表示未知处理器特定标志(#define EF_SH_UNKNOWN 0x0);

e_ehsize(两个字节)值为0x0040,表示elf文件头大小;

e_phentsize(两个字节)值均为0x0000,因为重定位文件没有程序头表。

e_phnum(两个字节)的值为0x0000,因为重定位文件没有程序头表。

e_ehentsize(两个字节)值为0x0040表示段头大小为64个字节(由这里知道section header table里面每个header的大小)。

e_shnum(两个字节)值为0x000d,表示段表入口有13个(由这里知道段表有13个段)。

e_shstrndx(两个字节)值为0x000a,表示段名串表的在段表中的索引号(由这里知道.shstrtab段(符号表)的信息在段表的索引号是10)。

2.由ELF头可知段表从000002b0开始,每个节区大小为0040,共有000d个节区,第000a为段名串表的索引号。

以上就是我们找到的section header table,然后我们再通过其找到各个section。

3.找具体section,如节区(2f0-320)

typedef struct

{

  Elf64_Word	sh_name;		/* Section name (string tbl index) */

  Elf64_Word	sh_type;		/* Section type */

  Elf64_Xword	sh_flags;		/* Section flags */

  Elf64_Addr	sh_addr;		/* Section virtual addr at execution */

  Elf64_Off	sh_offset;		/* Section file offset */

  Elf64_Xword	sh_size;		/* Section size in bytes */

  Elf64_Word	sh_link;		/* Link to another section */

  Elf64_Word	sh_info;		/* Additional section information */

  Elf64_Xword	sh_addralign;		/* Section alignment */

  Elf64_Xword	sh_entsize;		/* Entry size if section holds table */

} Elf64_Shdr;

由Elf64_Word sh_name;得知此节区段名在段命串表中的偏移00000020

Elf64_Off sh_offset;段的起始位置00000040

Elf64_Xword sh_size段的大小00000031

使用objdump -x hello.o检验

4.readelf -h hello.o

5.readelf -s hello.o

linux实践——ELF分析的更多相关文章

  1. LINUX实践--ELF分析

    一.ELF文件头(定义在/usr/include/elf.h)中 二.实践部分 第一行 对应e_ident[EI_NIDENT]:实际表示内容为7f45 4c46 0101 0100 0000 000 ...

  2. linux实践之ELF文件分析

    linux实践之ELF文件分析 下面开始elf文件的分析. 我们首先编写一个简单的C代码. 编译链接生成可执行文件. 首先,查看scn15elf.o文件的详细信息. 以16进制形式查看scn15elf ...

  3. linux实践之程序破解

    linux实践之程序破解 这次的实践是文件破解,让我们从login可执行文件开始吧! 首先我们执行一下这个可执行程序 ①我们希望在不知道密码的情况下,能够登陆进去.且无论密码是什么,都是提示“on y ...

  4. 《Unix/Linux网络日志分析与流量监控》获2015年度最受读者喜爱的IT图书奖

    <Unix/Linux网络日志分析与流量监控>获2015年度最受读者喜爱的IT图书奖.刊登在<中华读书报>( 2015年01月28日 19 版) 我的2015年新作刊登在< ...

  5. Linux 可执行文件 ELF结构 及程序载入执行

    Linux下ELF文件类型分为以下几种: 1.可重定位文件,比如SimpleSection.o: 2.可运行文件,比如/bin/bash. 3.共享目标文件,比如/lib/libc.so. 在Linu ...

  6. 01-Coredump核心转存&&Linux程序地址分析【转】

    转自:http://www.itwendao.com/article/detail/404132.html 目录(?)[-] 一Core Dump核心转存 二Linux程序地址分析 一Core Dum ...

  7. Linux内核源代码分析方法

    Linux内核源代码分析方法   一.内核源代码之我见 Linux内核代码的庞大令不少人"望而生畏",也正由于如此,使得人们对Linux的了解仅处于泛泛的层次.假设想透析Linux ...

  8. linux用户进程分析

           经过实验3的介绍.我们须要来点实在的.所以将我们理解的流程用于linux系统的分析.换句话说.通过类比的方式去进行描写叙述与理解linux相关的部分. 本节的内容非常详实.并且也分析 ...

  9. [Linux实践] macOS平台Homebrew更新brew update卡死,完美解决

    [Linux实践] macOS 平台 Homebrew 更新 brew update 卡死,完美解决 版本2020.01.05 摘要: 使用brew install [软件包]安装软件包时,卡在Upd ...

随机推荐

  1. chrome和搜狗浏览器的js问题

    1.在chrome中如果是js添加颜色必须用"#00CC00",必须加#号...不然会出问题,但是在搜狗浏览器中可以没有#号也能正确识别...

  2. Weblogic11g下调WebService出现的一系列问题

    Weblogic11g下调WebService出现的一系列问题 今天在远程测试机上测试前天写的调用WebService接口方法,遇到的问题还真多啊! 首先说明一下weblogic加载jar包的顺序: ...

  3. DLL分类

    使用def文件简化dll导出 VS查看DLL接口

  4. 通过java来批量生成身份证号

    通过java来批量生成身份证号,方便来测试程序. package com.diyvc.controller.user; import java.util.Calendar; import java.u ...

  5. CentOS下SSH无密码登录的配置

    1.确认本机sshd的配置文件(需要root权限) $ gedit /etc/ssh/sshd_config 找到以下内容,并去掉注释符"#" RSAAuthentication ...

  6. BusyBox Init

    嵌入式系统内核启动后的第一个程序就是init,一般位于/sbin/init(一般是符号链接到/bin/busybox), 但有些也会直接放在根目录下如linuxrc,busybox的init不支持多级 ...

  7. MyDiary,《你的名字。》同款日记应用

    新海城导演的新作<你的名字.>已经于 12 月 2 日在国内公映,这部评价极高的动画电影无论在剧情还是美术上都相当出色,是一部不容错过的好片.如果你还没有看过,赶快趁着还没下档买票去看看吧 ...

  8. Java 如何有效地避免OOM:善于利用软引用和弱引用

    Java 如何有效地避免OOM:善于利用软引用和弱引用 想必很多朋友对OOM(OutOfMemory)这个错误不会陌生,而当遇到这种错误如何有效地解决这个问题呢?今天我们就来说一下如何利用软引用和弱引 ...

  9. 电磁兼容设计经验(转载 原文电子科技大学硕士毕业论文DDS扩频技术研究)

    2 Corinthians 1:3-4“[Praise to the God of All Comfort] Praise be to the God and Father of our Lord J ...

  10. [翻译]为你的服务器选择正确的.NET

    英文原文 By Daniel Roth ASP.NET 5 is based on the .NET Execution Environment (DNX), which supports runni ...