转载于:http://www.cnblogs.com/xingyun/archive/2011/12/10/2283149.html

 

我们知道函数名就是一个内存地址,这个地址指向函数的入口。调用函数就是压入参数,保存返回地址,然后跳转到函数名指向的代码。问题是,如果函数在共享库中,共享库加载的地址本身就不确定,函数地址也就不确定了,那如何调用共享库中的函数呢?这就是本文要回答的。

我们先来看一小段代码(test.c):

#include <stdio.h>
void hello_world(void) {     printf("Hello world!\n");
    return; }
int main(int argc, char* argv[]) {     hello_world();
    return 0; }


编译并反汇编:


gcc -g test.c -o test objdump -S test






void hello_world(void) {  80483b4:       55                      push   %ebp  80483b5:       89 e5                   mov    %esp,%ebp  80483b7:       83 ec 08                sub    $0x8,%esp         printf("Hello world!\n");  80483ba:       c7 04 24 b4 84 04 08    movl   $0x80484b4,(%esp)  80483c1:       e8 2a ff ff ff          call   80482f0 <puts@plt>
        return; }  80483c6:       c9                      leave  80483c7:       c3                      ret
080483c8 <main>:
int main(int argc, char* argv[]) {  80483c8:       8d 4c 24 04             lea    0x4(%esp),%ecx  80483cc:       83 e4 f0                and    $0xfffffff0,%esp  80483cf:       ff 71 fc                pushl  -0x4(%ecx)  80483d2:       55                      push   %ebp  80483d3:       89 e5                   mov    %esp,%ebp  80483d5:       51                      push   %ecx  80483d6:       83 ec 04                sub    $0x4,%esp         hello_world();  80483d9:       e8 d6 ff ff ff          call   80483b4 <hello_world>
        return 0;  80483de:       b8 00 00 00 00          mov    $0x0,%eax }






调用hello_world时,汇编代码对应于call   80483b4 <hello_world>,这是个绝对地址。hello_world是在可执行文件中,可执行文件是加载到一个固定地址的,因此hello_world的地址是确定的。


调用printf时,汇编代码对应于call   80482f0 <puts@plt>,这是个绝对地址。但函数名却是puts@plt,这是怎么回事呢?puts@plt显然是编译器加的一个中间函数,我们看一下这个函数对应的汇编代码:




080482f0 <puts@plt>:  80482f0:   ff 25 2c 96 04 08       jmp    *0x804962c  80482f6:   68 10 00 00 00          push   $0x10  80482fb:   e9 c0 ff ff ff          jmp     <_init+0x30>






现在我们用调试器分析一下:


gdb test


(gdb) b main Breakpoint 1 at 0×80483d9: file test.c, line 12. (gdb) r Starting program: /root/test/plt/test


Breakpoint 1, main () at test.c:12 12 hello_world();


puts@plt先跳到*0×804962c,我们看看*0×804962c里有什么? (gdb) x 0×804962c 0×804962c <_GLOBAL_OFFSET_TABLE_+20>:   0×080482f6


*0×804962c等于0×080482f6,这正是puts@plt中的第二行汇编代码的地址。也就是说puts@plt整个函数会顺序执行,直到跳转到0×80482c0.


再来看看0×80482c0处有什么,通过汇编可以看到: ff 25 20 96 04 08 jmp    *0×8049620


又跳到了*0×8049620,转的弯真多,没关系,我们再看*0×8049620: (gdb) x 0×8049620 0×8049620 <_GLOBAL_OFFSET_TABLE_+8>:    0×009ce4c0 (gdb) x /wa 0×009ce4c0 0×9ce4c0 <_dl_runtime_resolve>: 0×8b525150


原来转来转去就是为了调用函数_dl_runtime_resolve, _dl_runtime_resolve的功能就是找到要调用函数(puts)的地址。


为什么不直接调用_dl_runtime_resolve,而要转这么多圈子呢?


先执行完这个函数hello_world: (gdb) n


再回头来看看puts@plt的第一行代码:


80482f0:   ff 25 2c 96 04 08 jmp    *0×804962c


(gdb) x 0×804962c 0×804962c <_GLOBAL_OFFSET_TABLE_+20>:   0xa39a60 <puts> 对比前面的: (gdb) x 0×804962c 0×804962c <_GLOBAL_OFFSET_TABLE_+20>:   0×080482f6


也就是说第一次执行时,通过_dl_runtime_resolve解析到函数地址,并保存puts的地址到0×804962c里,以后执行时就直接调用了。


转自:http://apps.hi.baidu.com/share/detail/24654313


--------------------------------------------




/*如果是第一次的函数调用,它所走的路线就是我在上图中用红线标出的,而要是在第二次以后调用,那就是蓝线所标明的。*/


最后我们讨论ELF文件的动态连接机制。每一个外部定义的符号在全局偏移表 (Global Offset Table GOT)中有相应的条目,如果符号是函数则在过程连接表(Procedure Linkage Table PLT)中也有相应的条目,且一个PLT条目对应一个GOT条目。对外部定义函数解析可能是整个ELF文件规范中最复杂的,下面是函数符号解析过程的一个 描述。


1:代码中调用外部函数func,语句形式为call 0xaabbccdd,地址0xaabbccdd实际上就是符号func在PLT表中对应的条目地址(假设地址为标号.PLT2)。


2:PLT表的形式如下


.PLT0: pushl          4(%ebx)           /* GOT表的地址保存在寄存器ebx中 */ jmp            *8(%ebx) nop; nop nop; nop .PLT1: jmp            *name1@GOT(%ebx) pushl          $offset jmp            .PLT0@PC .PLT2: jmp            *func@GOT(%ebx) pushl          $offset jmp            .PLT0@PC


3:查看标号.PLT2的语句,实际上是跳转到符号func在GOT表中对应的条目。


4:在符号没有重定位前,GOT表中此符号对应的地址为标号.PLT2的下一条语句,即是pushl offset,其中 offset,其中
offset是符号func的重定位偏移量。注意到这是一个二次跳转。


5:在符号func的重定位偏移量压栈后,控制跳到PLT表的第一条目(.PLT0),把GOT[1]的内容(放置了用来标识特定库的代码)压栈,并跳转到GOT[2]对应的地址。


6:GOT[2]对应的实际上是动态符号解析函数的代码,在对符号func的地址解析后,会把func在内存中的地址设置到GOT表中此符号对应的条目中。


7:当第二次调用此符号时,GOT表中对应的条目已经包含了此符号的地址,就可直接调用而不需要利用PLT表进行跳转。


动态连接是比较复杂的,但为了获得灵活性的代价通常就是复杂性。其最终目的是把GOT表中条目的值修改为符号的真实地址,这也可解释节.got包含在可读可写段中。




												


											
Linux动态链接之GOT与PLT的更多相关文章
	

    
								
  1. 再探Linux动态链接 -- 关于动态库的基础知识
		
      在近一段时间里,由于多次参与相关专业软件Linux运行环境建设,深感有必要将这些知识理一理,供往后参考. 编译时和运行时 纵观程序编译整个过程,细分可分为编译(Compiling,指的是语言到平台 ...
    
		
    2. 
						
  2. 再探Linux动态链接 -- 关于动态库的基础知识(Dynamic Linking on Linux Revisited)
		
      在近一段时间里,由于多次参与相关专业软件Linux运行环境建设,深感有必要将这些知识理一理,供往后参考. 编译时和运行时 纵观程序编译整个过程,细分可分为编译(Compiling,指的是语言到平台 ...
    
		
    3. 
						
  3. 【转】Linux动态链接(4)ldd与ldconfig
		
    原文网址:http://tsecer.blog.163.com/blog/static/15018172012414105551345/ 一.动态链接工具ldd和ldconfig是动态链接的两个重要辅 ...
    
		
    4. 
						
  4. 实例分析ELF文件动态链接
		
    参考文献: <ELF V1.2> <程序员的自我修养---链接.装载与库>第6章 可执行文件的装载与进程 第7章 动态链接 <Linux GOT与PLT> 开发平台 ...
    
		
    5. 
						
  5. Linux 动态库剖析
		
    进程与 API 动态链接的共享库是 GNU/Linux® 的一个重要方面.该种库允许可执行文件在运行时动态访问外部函数,从而(通过在需要时才会引入函数的方式)减少它们对内存的总体占用.本文研究了创建和 ...
    
		
    6. 
						
  6. Linux动态连接器
		
    转自:Chapter 9. Dynamic Linking 参考:Linux动态链接器 Linux加载启动可执行程序的过程(一)内核空间加载ELF的过程 Linux加载启动可执行程序的过程(二)解释器 ...
    
		
    7. 
						
  7. 程序的链接和装入及Linux下动态链接的实现
		
    http://www.ibm.com/developerworks/cn/linux/l-dynlink/ 程序的链接和装入及Linux下动态链接的实现 程序的链接和装入存在着多种方法,而如今最为流行 ...
    
		
    8. 
						
  8. 深入了解GOT,PLT和动态链接
		
    之前几篇介绍exploit的文章, 有提到return-to-plt的技术. 当时只简单介绍了 GOT和PLT表的基本作用和他们之间的关系, 所以今天就来详细分析下其具体的工作过程. 本文所用的依然是 ...
    
		
    9. 
						
  9. Linux Debugging(七): 使用反汇编理解动态库函数调用方式GOT/PLT
		
    本文主要讲解动态库函数的地址是如何在运行时被定位的.首先介绍一下PIC和Relocatable的动态库的区别.然后讲解一下GOT和PLT的理论知识.GOT是Global Offset Table,是保 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. easyUI datagrid中checkbox选中事件以及行点击事件,翻页之后还可以选中
			
    DataGrid其中与选择,勾选相关 DataGrid属性:singleSelect boolean 如果为true,则只允许选择一行. false ctrlSelect boolean 在启用多行选 ...
    
			
    2. 
						
  2. java浮点数精度问题解决方法
			
    基础知识回顾: BigDecimal.setScale()方法用于格式化小数点setScale(1)表示保留一位小数,默认用四舍五入方式 setScale(1,BigDecimal.ROUND_DOW ...
    
			
    3. 
						
  3. Java String字符串的不可变
			
    Java 通过把String类设计为final使类不可继承,将变量value设置为private并且是final的,且value没有setter方法,不可修改. 为什么这么设计: 1.字符串常量池的需 ...
    
			
    4. 
						
  4. 「CF803C」 Maximal GCD
			
    题目链接 戳我 \(Solution\) 令\(gcd\)为\(x\),那么我们将整个序列\(/x\),则序列的和就变成了\(\frac{n}{x}\),所以\(x\)必定为\(n\)的约数所以现在就 ...
    
			
    5. 
						
  5. TCP->IP输出 之 ip_queue_xmit、ip_build_and_send_pkt、ip_send_unicast_reply
			
    概述 ip_queue_xmit是ip层提供给tcp层发送回调,大多数tcp发送都会使用这个回调,tcp层使用tcp_transmit_skb封装了tcp头之后,调用该函数,该函数提供了路由查找校验. ...
    
			
    6. 
						
  6. LeetCode 23. 合并K个排序链表(Merge k Sorted Lists)
			
    题目描述 合并 k 个排序链表,返回合并后的排序链表.请分析和描述算法的复杂度. 示例: 输入: [   1->4->5,   1->3->4,   2->6 ] 输出: ...
    
			
    7. 
						
  7. leetcode1281 整数的各位积和之差
			
    class Solution { public: int subtractProductAndSum(int n) { ; ; ){ ; n/=; prod*=r; add+=r; } int res ...
    
			
    8. 
						
  8. HttpServletRequest中getRemoteUser和getUserPrincipal方法
			
    HttpServletRequest是一个接口类,继承自ServletRequest,并且又新增了许多抽象方法,getRemoteUser()方法和getUserPrincipal()方法就在其中.许 ...
    
			
    9. 
						
  9. springmvc+mybatis多数据源切换
			
    前文:之前练习SSM时配置的都是单数据源,现在项目需求多数据源,所以自己查阅了以下资料,在controller中手动切换数据源成功,以下的配置细节. 实际上应该在dao层进行注解的方式切换,使用AOP ...
    
			
    10. 
						
  10. 2019.11.18【每天学点SAP小知识】Day4 - ABAP 7.40新语法 FOR
			
    "今天学习一下FOR的语法,常用的2个语法. FOR wa|<fs> IN itab [INDEX INTO idx] [cond] "FOR i = … [THEN  ...
    
			
    11.