一、ELF的部分结构定义

  1. elf header(定义在/usr/include/elf.h)//64位的系统ELF文件头包括以下两个部分

    #define EI_NIDENT (16)
    
typedef struct
    
{
    
  	unsigned char	e_ident[EI_NIDENT];/* Magic number 	and other info */
    
Elf32_Half	e_type;			/* Object file type */
    
Elf32_Half	e_machine;		/* Architecture */
    
Elf32_Word	e_version;		/* Object file version */
    
Elf32_Addr	e_entry;		/* Entry point virtual address */
    
Elf32_Off	e_phoff;		/* Program header table file offset */
    
Elf32_Off	e_shoff;		/* Section header table file offset */
    
Elf32_Word	e_flags;		/* Processor-specific flags */
    
Elf32_Half	e_ehsize;		/* ELF header size in bytes */
    
Elf32_Half	e_phentsize;		/* Program header table entry size */
    
Elf32_Half	e_phnum;		/* Program header table entry count */
    
Elf32_Half	e_shentsize;		/* Section header table entry size */
    
Elf32_Half	e_shnum;		/* Section header table entry count */
    
Elf32_Half	e_shstrndx;		/* Section header string table index */
    
} 	Elf32_Ehdr;  //32位

typedef struct
    
{
    
unsigned char	e_ident[EI_NIDENT];	/* Magic number 	and other info */
    
Elf64_Half	e_type;			/* Object file type */
    
Elf64_Half	e_machine;		/* Architecture */
    
Elf64_Word	e_version;		/* Object file version */
    
Elf64_Addr	e_entry;		/* Entry point virtual address */
    
Elf64_Off	e_phoff;		/* Program header table file offset */
    
Elf64_Off	e_shoff;		/* Section header table file offset */
    
Elf64_Word	e_flags;		/* Processor-specific flags */
    
Elf64_Half	e_ehsize;		/* ELF header size in bytes */
    
Elf64_Half	e_phentsize;		/* Program header 	table entry size */
    
Elf64_Half	e_phnum;		/* Program header 	table entry count */
    
Elf64_Half	e_shentsize;		/* Section header 	table entry size */
    
Elf64_Half	e_shnum;		/* Section header 	table entry count */
    
Elf64_Half	e_shstrndx;		/* Section header 	string table index */
    
} Elf64_Ehdr;//64位

  2. section header

    typedef struct
    
{
    
Elf32_Word	sh_name;		/* Section name (string tbl index) */
    
Elf32_Word	sh_type;		/* Section type */
    
Elf32_Word	sh_flags;		/* Section flags */
    
Elf32_Addr	sh_addr;		/* Section virtual addr at execution */
    
Elf32_Off	sh_offset;		/* Section file offset */
    
Elf32_Word	sh_size;		/* Section size in bytes */
    
Elf32_Word	sh_link;		/* Link to another section */
    
Elf32_Word	sh_info;		/* Additional section information */
    
Elf32_Word	sh_addralign;		/* Section alignment */
    
Elf32_Word	sh_entsize;		/* Entry size if section holds table */
    
} Elf32_Shdr;

typedef struct
    
{
    
Elf64_Word	sh_name;		/* Section name (string tbl index) */
    
Elf64_Word	sh_type;		/* Section type */
    
Elf64_Xword	sh_flags;		/* Section flags */
    
Elf64_Addr	sh_addr;		/* Section virtual addr at execution */
    
Elf64_Off	sh_offset;		/* Section file offset */
    
Elf64_Xword	sh_size;		/* Section size in bytes */
    
Elf64_Word	sh_link;		/* Link to another section */
    
Elf64_Word	sh_info;		/* Additional section information */
    
Elf64_Xword	sh_addralign;		/* Section alignment */
    
Elf64_Xword	sh_entsize;		/* Entry size if section holds table */
    
} Elf64_Shdr;

二、实践部分

hexdump hello.o

1.64位的文件头是64字节,具体如下

第一行:

(对应e_ident[EI_NIDENT]):实际表示内容为7f45 4c46 0201 0100 0000 0000 0000 0000。

前四个字节7f45 4c46(0x45,0x4c,0x46是’e','l','f'对应的ASCⅡ)是一个魔数(magic number),表示这是一个ELF对象,接下来的一个字节02表示是一个64位对象(32位的对象是01),再接下来的一个字节01表示采用小端法表示,再接下来的一个字节01表示文件头版本,剩下的默认都设置为0。

第二行:

e_type(两个字节)值为0x0001,表示是一个重定位文件。

e_machine(两个字节)值为0x003e,表示是X86-64的处理器体系结构。

e_version(四个字节)值为0x00000001,表示是当前版本。

e_entry(八个字节)值为0x0000000000000000,表示没有入口点。

第三行:

e_phoff(八个字节)值为0x0000000000000000,表示没有程序头表。

e_shoff(八个字节)值为0x00000000000002b0,表示段表的偏移地址。

第四行:

e_flags(四个字节)值为0x00000000,表示未知处理器特定标志(#define EF_SH_UNKNOWN 0x0);

e_ehsize(两个字节)值为0x0040,表示elf文件头大小;

e_phentsize(两个字节)值均为0x0000,因为重定位文件没有程序头表。

e_phnum(两个字节)的值为0x0000,因为重定位文件没有程序头表。

e_ehentsize(两个字节)值为0x0040表示段头大小为64个字节(由这里知道section header table里面每个header的大小)。

e_shnum(两个字节)值为0x000d,表示段表入口有13个(由这里知道段表有13个段)。

e_shstrndx(两个字节)值为0x000a,表示段名串表的在段表中的索引号(由这里知道.shstrtab段(符号表)的信息在段表的索引号是10)。

2.由ELF头可知段表从000002b0开始,每个节区大小为0040,共有000d个节区,第000a为段名串表的索引号。

以上就是我们找到的section header table,然后我们再通过其找到各个section。

3.找具体section,如节区(2f0-320)

typedef struct

{

  Elf64_Word	sh_name;		/* Section name (string tbl index) */

  Elf64_Word	sh_type;		/* Section type */

  Elf64_Xword	sh_flags;		/* Section flags */

  Elf64_Addr	sh_addr;		/* Section virtual addr at execution */

  Elf64_Off	sh_offset;		/* Section file offset */

  Elf64_Xword	sh_size;		/* Section size in bytes */

  Elf64_Word	sh_link;		/* Link to another section */

  Elf64_Word	sh_info;		/* Additional section information */

  Elf64_Xword	sh_addralign;		/* Section alignment */

  Elf64_Xword	sh_entsize;		/* Entry size if section holds table */

} Elf64_Shdr;

由Elf64_Word sh_name;得知此节区段名在段命串表中的偏移00000020

Elf64_Off sh_offset;段的起始位置00000040

Elf64_Xword sh_size段的大小00000031

使用objdump -x hello.o检验

4.readelf -h hello.o

5.readelf -s hello.o

linux实践——ELF分析的更多相关文章

  1. LINUX实践--ELF分析

    一.ELF文件头(定义在/usr/include/elf.h)中 二.实践部分 第一行 对应e_ident[EI_NIDENT]:实际表示内容为7f45 4c46 0101 0100 0000 000 ...

  2. linux实践之ELF文件分析

    linux实践之ELF文件分析 下面开始elf文件的分析. 我们首先编写一个简单的C代码. 编译链接生成可执行文件. 首先,查看scn15elf.o文件的详细信息. 以16进制形式查看scn15elf ...

  3. linux实践之程序破解

    linux实践之程序破解 这次的实践是文件破解,让我们从login可执行文件开始吧! 首先我们执行一下这个可执行程序 ①我们希望在不知道密码的情况下,能够登陆进去.且无论密码是什么,都是提示“on y ...

  4. 《Unix/Linux网络日志分析与流量监控》获2015年度最受读者喜爱的IT图书奖

    <Unix/Linux网络日志分析与流量监控>获2015年度最受读者喜爱的IT图书奖.刊登在<中华读书报>( 2015年01月28日 19 版) 我的2015年新作刊登在< ...

  5. Linux 可执行文件 ELF结构 及程序载入执行

    Linux下ELF文件类型分为以下几种: 1.可重定位文件,比如SimpleSection.o: 2.可运行文件,比如/bin/bash. 3.共享目标文件,比如/lib/libc.so. 在Linu ...

  6. 01-Coredump核心转存&&Linux程序地址分析【转】

    转自:http://www.itwendao.com/article/detail/404132.html 目录(?)[-] 一Core Dump核心转存 二Linux程序地址分析 一Core Dum ...

  7. Linux内核源代码分析方法

    Linux内核源代码分析方法   一.内核源代码之我见 Linux内核代码的庞大令不少人"望而生畏",也正由于如此,使得人们对Linux的了解仅处于泛泛的层次.假设想透析Linux ...

  8. linux用户进程分析

           经过实验3的介绍.我们须要来点实在的.所以将我们理解的流程用于linux系统的分析.换句话说.通过类比的方式去进行描写叙述与理解linux相关的部分. 本节的内容非常详实.并且也分析 ...

  9. [Linux实践] macOS平台Homebrew更新brew update卡死,完美解决

    [Linux实践] macOS 平台 Homebrew 更新 brew update 卡死,完美解决 版本2020.01.05 摘要: 使用brew install [软件包]安装软件包时,卡在Upd ...

随机推荐

  1. Entity Framework 异常档案

    1.异常 The model backing the 'DBContext' context has changed since the database was created.Consider u ...

  2. Showing progress bar in a status bar pane

    在工具卡显示进度条,原文链接:http://www.codeproject.com/Articles/35/Showing-progress-bar-in-a-status-bar-pane 1.构造 ...

  3. SQL Server游标的使用【转】

    游标是邪恶的! 在关系数据库中,我们对于查询的思考是面向集合的.而游标打破了这一规则,游标使得我们思考方式变为逐行进行.对于类C的开发人员来着,这样的思考方式会更加舒服. 正常面向集合的思维方式是: ...

  4. html的<head><title><meta>

    head <head>用来标记HTML的头部,里面通常需要包括标题,基础信息,源信息等,定义在HTML头部的内容往往不会在网页上直接显示 title <title>的内容设置在 ...

  5. CentOS 6.5安装MongoDB

    1.创建mongodb.repo文件在/etc/yum.repos.d/目录下创建文件mongodb.repo,它包含MongoDB仓库的配置信息,内容如下: [mongodb] name=Mongo ...

  6. poj 2391 Ombrophobic Bovines(最大流+floyd+二分)

    Ombrophobic Bovines Time Limit: 1000MSMemory Limit: 65536K Total Submissions: 14519Accepted: 3170 De ...

  7. NUL 与 NULL

    NUL 与 NULL 在C语言中,字符串表示为字符的数组.字符串最后一个字符为空字符 ('\0'),官方将其定义为 NUL ,而 NULL 是一个宏,其定义如下: #define NULL ((voi ...

  8. HDU 5084 HeHe --找规律

    题意: 给出矩阵M,求M*M矩阵的r行c列的数,每个查询跟前一个查询的结果有关. 解法: 观察该矩阵得知,令ans = M*M,则 ans[x][y] = (n-1-x行的每个值)*(n-1+y列的每 ...

  9. nginx 一二事(3) - 反向代理以及负载均衡

    先来说说正向代理 就是普通的代理,记得高中年代偷跑去网吧是要办卡的 题外话: 就是这货...相信很多80同龄人都有吧...    回到正题,那正向代理就不让你直接访问网络,而需要登录一下网吧的某个系统 ...

  10. AC日记——斗地主(dfs)

    题目描述 牛牛最近迷上了一种叫斗地主的扑克游戏.斗地主是一种使用黑桃.红心.梅花.方片的A到K加上大小王的共54张牌来进行的扑克牌游戏.在斗地主中,牌的大小关系根据牌的数码表示如下:3<4< ...