一、ELF的部分结构定义

  1. elf header(定义在/usr/include/elf.h)//64位的系统ELF文件头包括以下两个部分

    #define EI_NIDENT (16)
    
typedef struct
    
{
    
  	unsigned char	e_ident[EI_NIDENT];/* Magic number 	and other info */
    
Elf32_Half	e_type;			/* Object file type */
    
Elf32_Half	e_machine;		/* Architecture */
    
Elf32_Word	e_version;		/* Object file version */
    
Elf32_Addr	e_entry;		/* Entry point virtual address */
    
Elf32_Off	e_phoff;		/* Program header table file offset */
    
Elf32_Off	e_shoff;		/* Section header table file offset */
    
Elf32_Word	e_flags;		/* Processor-specific flags */
    
Elf32_Half	e_ehsize;		/* ELF header size in bytes */
    
Elf32_Half	e_phentsize;		/* Program header table entry size */
    
Elf32_Half	e_phnum;		/* Program header table entry count */
    
Elf32_Half	e_shentsize;		/* Section header table entry size */
    
Elf32_Half	e_shnum;		/* Section header table entry count */
    
Elf32_Half	e_shstrndx;		/* Section header string table index */
    
} 	Elf32_Ehdr;  //32位

typedef struct
    
{
    
unsigned char	e_ident[EI_NIDENT];	/* Magic number 	and other info */
    
Elf64_Half	e_type;			/* Object file type */
    
Elf64_Half	e_machine;		/* Architecture */
    
Elf64_Word	e_version;		/* Object file version */
    
Elf64_Addr	e_entry;		/* Entry point virtual address */
    
Elf64_Off	e_phoff;		/* Program header table file offset */
    
Elf64_Off	e_shoff;		/* Section header table file offset */
    
Elf64_Word	e_flags;		/* Processor-specific flags */
    
Elf64_Half	e_ehsize;		/* ELF header size in bytes */
    
Elf64_Half	e_phentsize;		/* Program header 	table entry size */
    
Elf64_Half	e_phnum;		/* Program header 	table entry count */
    
Elf64_Half	e_shentsize;		/* Section header 	table entry size */
    
Elf64_Half	e_shnum;		/* Section header 	table entry count */
    
Elf64_Half	e_shstrndx;		/* Section header 	string table index */
    
} Elf64_Ehdr;//64位

  2. section header

    typedef struct
    
{
    
Elf32_Word	sh_name;		/* Section name (string tbl index) */
    
Elf32_Word	sh_type;		/* Section type */
    
Elf32_Word	sh_flags;		/* Section flags */
    
Elf32_Addr	sh_addr;		/* Section virtual addr at execution */
    
Elf32_Off	sh_offset;		/* Section file offset */
    
Elf32_Word	sh_size;		/* Section size in bytes */
    
Elf32_Word	sh_link;		/* Link to another section */
    
Elf32_Word	sh_info;		/* Additional section information */
    
Elf32_Word	sh_addralign;		/* Section alignment */
    
Elf32_Word	sh_entsize;		/* Entry size if section holds table */
    
} Elf32_Shdr;

typedef struct
    
{
    
Elf64_Word	sh_name;		/* Section name (string tbl index) */
    
Elf64_Word	sh_type;		/* Section type */
    
Elf64_Xword	sh_flags;		/* Section flags */
    
Elf64_Addr	sh_addr;		/* Section virtual addr at execution */
    
Elf64_Off	sh_offset;		/* Section file offset */
    
Elf64_Xword	sh_size;		/* Section size in bytes */
    
Elf64_Word	sh_link;		/* Link to another section */
    
Elf64_Word	sh_info;		/* Additional section information */
    
Elf64_Xword	sh_addralign;		/* Section alignment */
    
Elf64_Xword	sh_entsize;		/* Entry size if section holds table */
    
} Elf64_Shdr;

二、实践部分

hexdump hello.o

1.64位的文件头是64字节,具体如下

第一行:

(对应e_ident[EI_NIDENT]):实际表示内容为7f45 4c46 0201 0100 0000 0000 0000 0000。

前四个字节7f45 4c46(0x45,0x4c,0x46是’e','l','f'对应的ASCⅡ)是一个魔数(magic number),表示这是一个ELF对象,接下来的一个字节02表示是一个64位对象(32位的对象是01),再接下来的一个字节01表示采用小端法表示,再接下来的一个字节01表示文件头版本,剩下的默认都设置为0。

第二行:

e_type(两个字节)值为0x0001,表示是一个重定位文件。

e_machine(两个字节)值为0x003e,表示是X86-64的处理器体系结构。

e_version(四个字节)值为0x00000001,表示是当前版本。

e_entry(八个字节)值为0x0000000000000000,表示没有入口点。

第三行:

e_phoff(八个字节)值为0x0000000000000000,表示没有程序头表。

e_shoff(八个字节)值为0x00000000000002b0,表示段表的偏移地址。

第四行:

e_flags(四个字节)值为0x00000000,表示未知处理器特定标志(#define EF_SH_UNKNOWN 0x0);

e_ehsize(两个字节)值为0x0040,表示elf文件头大小;

e_phentsize(两个字节)值均为0x0000,因为重定位文件没有程序头表。

e_phnum(两个字节)的值为0x0000,因为重定位文件没有程序头表。

e_ehentsize(两个字节)值为0x0040表示段头大小为64个字节(由这里知道section header table里面每个header的大小)。

e_shnum(两个字节)值为0x000d,表示段表入口有13个(由这里知道段表有13个段)。

e_shstrndx(两个字节)值为0x000a,表示段名串表的在段表中的索引号(由这里知道.shstrtab段(符号表)的信息在段表的索引号是10)。

2.由ELF头可知段表从000002b0开始,每个节区大小为0040,共有000d个节区,第000a为段名串表的索引号。

以上就是我们找到的section header table,然后我们再通过其找到各个section。

3.找具体section,如节区(2f0-320)

typedef struct

{

  Elf64_Word	sh_name;		/* Section name (string tbl index) */

  Elf64_Word	sh_type;		/* Section type */

  Elf64_Xword	sh_flags;		/* Section flags */

  Elf64_Addr	sh_addr;		/* Section virtual addr at execution */

  Elf64_Off	sh_offset;		/* Section file offset */

  Elf64_Xword	sh_size;		/* Section size in bytes */

  Elf64_Word	sh_link;		/* Link to another section */

  Elf64_Word	sh_info;		/* Additional section information */

  Elf64_Xword	sh_addralign;		/* Section alignment */

  Elf64_Xword	sh_entsize;		/* Entry size if section holds table */

} Elf64_Shdr;

由Elf64_Word sh_name;得知此节区段名在段命串表中的偏移00000020

Elf64_Off sh_offset;段的起始位置00000040

Elf64_Xword sh_size段的大小00000031

使用objdump -x hello.o检验

4.readelf -h hello.o

5.readelf -s hello.o

linux实践——ELF分析的更多相关文章

  1. LINUX实践--ELF分析

    一.ELF文件头(定义在/usr/include/elf.h)中 二.实践部分 第一行 对应e_ident[EI_NIDENT]:实际表示内容为7f45 4c46 0101 0100 0000 000 ...

  2. linux实践之ELF文件分析

    linux实践之ELF文件分析 下面开始elf文件的分析. 我们首先编写一个简单的C代码. 编译链接生成可执行文件. 首先,查看scn15elf.o文件的详细信息. 以16进制形式查看scn15elf ...

  3. linux实践之程序破解

    linux实践之程序破解 这次的实践是文件破解,让我们从login可执行文件开始吧! 首先我们执行一下这个可执行程序 ①我们希望在不知道密码的情况下,能够登陆进去.且无论密码是什么,都是提示“on y ...

  4. 《Unix/Linux网络日志分析与流量监控》获2015年度最受读者喜爱的IT图书奖

    <Unix/Linux网络日志分析与流量监控>获2015年度最受读者喜爱的IT图书奖.刊登在<中华读书报>( 2015年01月28日 19 版) 我的2015年新作刊登在< ...

  5. Linux 可执行文件 ELF结构 及程序载入执行

    Linux下ELF文件类型分为以下几种: 1.可重定位文件,比如SimpleSection.o: 2.可运行文件,比如/bin/bash. 3.共享目标文件,比如/lib/libc.so. 在Linu ...

  6. 01-Coredump核心转存&&Linux程序地址分析【转】

    转自:http://www.itwendao.com/article/detail/404132.html 目录(?)[-] 一Core Dump核心转存 二Linux程序地址分析 一Core Dum ...

  7. Linux内核源代码分析方法

    Linux内核源代码分析方法   一.内核源代码之我见 Linux内核代码的庞大令不少人"望而生畏",也正由于如此,使得人们对Linux的了解仅处于泛泛的层次.假设想透析Linux ...

  8. linux用户进程分析

           经过实验3的介绍.我们须要来点实在的.所以将我们理解的流程用于linux系统的分析.换句话说.通过类比的方式去进行描写叙述与理解linux相关的部分. 本节的内容非常详实.并且也分析 ...

  9. [Linux实践] macOS平台Homebrew更新brew update卡死,完美解决

    [Linux实践] macOS 平台 Homebrew 更新 brew update 卡死,完美解决 版本2020.01.05 摘要: 使用brew install [软件包]安装软件包时,卡在Upd ...

随机推荐

  1. 软件测试作业1--描述Error

    记忆犹新的错误: 上个学期选修了可视化这门课程,最后大作业用d3实现,在使用d3读取csv数据的时候出现了以下Error: 我先是在代码中读取了某csv格式的数据,并且将其存入变量root中,然后对r ...

  2. SQL基础(1)-创建及修改表

    1. 建表语句 CREATE TABLE fdh_client_info ( id varchar2(50) primary key, name varchar2(30) not null, sex ...

  3. windows 下my.ini的配置优化

    线上有若干WIN环境下的MySQL,需要进行优化配置,列出以下参数方便查阅 # For advice on how to change settings please see # http://dev ...

  4. 烂泥:ubuntu安装vmtools

    本文由秀依林枫提供友情赞助,首发于烂泥行天下. 最近由于工作需要,需要使用桌面版的linux系统,所以就选择了ubuntu.同时为了方便使用,就在VM中安装ubuntu. 但是为了文件以及操作的方便就 ...

  5. 制作nginx和php的rpm包

    rpm包的制作真几把烦,制作php的rpm花了我3天时间,因为是根据线上环境来做的,依赖的第三方库太多,本来想把所有的第三方库做进php包,后来发现在rpmbuild -bb的时候非常耗时,而且乱七八 ...

  6. Listview的点击事件

    上篇文章总结了如何自定义listview的显示内容,然而listview不能只是提供显示功能,还必须能够点击它显示一些东西: listView.setOnItemClickListener(new O ...

  7. 使用selenium实现右键另存为保存文件

    1.需要借住autoit工具和Robot类,下载地址:https://www.autoitscript.com/site/autoit/downloads/ 2.autoit的使用不再详细讲解.如下图 ...

  8. 【读书笔记《Android游戏编程之从零开始》】14.游戏开发基础(Bitmap 位图的渲染与操作)

    Bitmap 是图形类,Android 系统支持的图片格式有 png.jpg.bmp 等. 对位图操作在游戏中是很重要的知识点,比如游戏中需要两张除了大小之外其他完全相同的图,那么如果会对位图进行缩放 ...

  9. 【问题&解决】解决 Android SDK下载和更新失败“Connection to https://dl-ssl.google.com refused”的问题

    缘由: 更新sdk,遇到了更新下载失败问题: Fetching https://dl-ssl.google.com/android/repository/addons_list-2.xmlFetche ...

  10. C++ macro(宏)使用小结

    谈起C++中的宏,我们第一个想到的应该就是“#define”,它的基本语法长得像这样: #define macroname(para1, para2, para3, ... ,paran) macro ...