C 读取ELF文件的程序头内容
如何从ELF文件中单独提取可加载的程序头? 通过使用readelf检查二进制文件,可以获得类似以下内容的输出:C 读取ELF文件的程序头内容,c,linux,ubuntu,linux-kernel,elf,C,Linux,Ubuntu,Linux Kernel,Elf,如何从ELF文件中单独提取可加载的程序头? 通过使用readelf检查二进制文件,可以获得类似以下内容的输出: $ readelf -l helloworld Elf file type is EXEC (Executable file) Entry point 0x400440 There are 9 program headers, starting at offset 64 Program Headers: Type Offset Vir
$ readelf -l helloworld
Elf file type is EXEC (Executable file)
Entry point 0x400440
There are 9 program headers, starting at offset 64
Program Headers:
Type Offset VirtAddr PhysAddr
FileSiz MemSiz Flags Align
PHDR 0x0000000000000040 0x0000000000400040 0x0000000000400040
0x00000000000001f8 0x00000000000001f8 R E 8
INTERP 0x0000000000000238 0x0000000000400238 0x0000000000400238
0x000000000000001c 0x000000000000001c R 1
[Requesting program interpreter: /lib64/ld-linux-x86-64.so.2]
LOAD 0x0000000000000000 0x0000000000400000 0x0000000000400000
0x000000000000070c 0x000000000000070c R E 200000
LOAD 0x0000000000000e10 0x0000000000600e10 0x0000000000600e10
0x0000000000000230 0x0000000000000238 RW 200000
DYNAMIC 0x0000000000000e28 0x0000000000600e28 0x0000000000600e28
0x00000000000001d0 0x00000000000001d0 RW 8
NOTE 0x0000000000000254 0x0000000000400254 0x0000000000400254
0x0000000000000044 0x0000000000000044 R 4
GNU_EH_FRAME 0x00000000000005e4 0x00000000004005e4 0x00000000004005e4
0x0000000000000034 0x0000000000000034 R 4
GNU_STACK 0x0000000000000000 0x0000000000000000 0x0000000000000000
0x0000000000000000 0x0000000000000000 RW 10
GNU_RELRO 0x0000000000000e10 0x0000000000600e10 0x0000000000600e10
0x00000000000001f0 0x00000000000001f0 R 1
Section to Segment mapping:
Segment Sections...
00
01 .interp
02 .interp .note.ABI-tag .note.gnu.build-id .gnu.hash .dynsym .dynstr .gnu.version .gnu.version_r .rela.dyn .rela.plt .init .plt .text .fini .rodata .eh_frame_hdr .eh_frame
03 .init_array .fini_array .jcr .dynamic .got .got.plt .data .bss
04 .dynamic
05 .note.ABI-tag .note.gnu.build-id
06 .eh_frame_hdr
07
08 .init_array .fini_array .jcr .dynamic .got
问题回答如何将可加载的头映射到内存(和何处),但没有指定从何处(从何处偏移和大小)读取给定二进制文件中的节。是否由当前程序标题的字段p_offset和p_filesz确定?
struct Proghdr{
struct Proghdr {
uint32_t p_type;
uint32_t p_offset;
uint32_t p_va;
uint32_t p_pa;
uint32_t p_filesz;
uint32_t p_memsz;
uint32_t p_flags;
uint32_t p_align;
};
struct Elf *elf_header = ...
struct Proghdr *ph;
if (elf_header->e_magic != ELF_MAGIC)
goto bad;
ph = (struct Proghdr *) ((uint8_t *) elf_header + elf_header->e_phoff);
eph = ph + ELFHDR->e_phnum;
for (; ph < eph; ph++)
if(ph->p_type == PT_LOAD)
/*read_pload (dst address in memory, how many bytes to read, offset in the file) */
read_pload(ph->p_pa, ph->p_memsz, ph->p_offset);
uint32_t p_类型;
uint32_t p_偏移量;
uint32_t p_va;
uint32_t p_pa;
uint32_t p_文件;
uint32_t p_memsz;
uint32_t p_旗;
uint32_t p_对齐;
};
结构Elf*Elf_头=。。。
结构Proghdr*ph;
如果(精灵头->精灵魔法!=精灵魔法)
变坏;
ph=(结构程序*)((uint8_t*)elf_头+elf_头->e_-phoff);
eph=ph+ELFHDR->e_phnum;
对于(;php_类型==PT_负载)
/*read_pload(内存中的dst地址、要读取的字节数、文件中的偏移量)*/
读取p盘(ph->p盘,ph->p盘,ph->p盘偏移量);
struct Proghdr{
uint32_t p_类型;
uint32_t p_偏移量;
uint32_t p_va;
uint32_t p_pa;
uint32_t p_文件;
uint32_t p_memsz;
uint32_t p_旗;
uint32_t p_对齐;
};
结构Elf*Elf_头=。。。
结构Proghdr*ph;
如果(精灵头->精灵魔法!=精灵魔法)
变坏;
ph=(结构程序*)((uint8_t*)elf_头+elf_头->e_-phoff);
eph=ph+ELFHDR->e_phnum;
对于(;php_类型==PT_负载)
/*read_pload(内存中的dst地址、要读取的字节数、文件中的偏移量)*/
读取p盘(ph->p盘,ph->p盘,ph->p盘偏移量);
它是由当前程序头的字段p_offset和p_filesz确定的吗
是的,没错
它是由当前程序头的字段p_offset和p_filesz确定的吗
是的,完全正确。通过读取
e_phoff
获取程序头表地址,通过读取e_phnum
获取头计数(头数),通过从elf文件头读取e_phentsize
获取每个头的大小。诀窍是每个标题的大小都是相同的e_phentsize
。因此,在每次e_phnum
之后,新的头开始,totale_phnum
的头通过读取e_phoff
获得程序头表地址,通过读取e_phnum
获得头计数(头数),通过读取elf文件头获得每个头的大小。诀窍是每个标题的大小都是相同的e_phentsize
。因此,在每次e_phentsize
之后,都会启动新的标题,并且totale_phnum
的标题,为什么不检查readelf
的源代码呢?建议添加ELF
标记。@alk源代码很长,可能会有更多的注释。从无到有。。。尤其是如果它是免费的为什么不检查readelf
的源代码?建议添加ELF
标记。@alk源代码很长,可能会有更多的注释。没有来自无的。。。尤其是如果它是免费的@“读取”包含3个参数:文件描述符、要读取的缓冲区和长度。你给它:物理地址,内存大小,文件偏移量。没有任何意义。你不认为这是一个重要的细节吗?另外,用非标准签名命名自己的函数read
,这是一个非常糟糕的主意(TM)。当然。这是一个32位的代码,它用20行代码回答了这个问题,其中简单的“是”就足够了,但如果不是这样就可以了。第一个问题是“如何从ELF文件中单独提取可加载的程序头?”我回答了这两个问题。无论如何,谢谢您的帮助,祝您好运。@explainread
包含3个参数:文件描述符、要读取的缓冲区和长度。你给它:物理地址,内存大小,文件偏移量。没有任何意义。你不认为这是一个重要的细节吗?另外,用非标准签名命名自己的函数read
,这是一个非常糟糕的主意(TM)。当然。这是一个32位的代码,它用20行代码回答了这个问题,其中简单的“是”就足够了,但如果不是这样就可以了。第一个问题是“如何从ELF文件中单独提取可加载的程序头?”我回答了这两个问题。无论如何,谢谢你的帮助,祝你好运。