如何提取ELF文件(C程序的可执行文件)的数据?
编辑:仍然没有答案有效,输出为:如何提取ELF文件(C程序的可执行文件)的数据?,c,assembly,gcc,executable,elf,C,Assembly,Gcc,Executable,Elf,编辑:仍然没有答案有效,输出为: 401bc0 3d2a323d 333a7b3d 3a3a =*2=3:{=:: 我尝试将=*2=3:{=::作为密码,但它是错误的(注意使用little endian) 我不同意提供的答案,最重要的是我不明白为什么我所做的是错误的,我正在检查一个ELF格式的可执行文件(来自C) 现在,我知道以下大小为10的字符数组包含一个秘密密码,我想找到它 另外,我知道它位于地址0x401bc0 char foor [10] = {0x??,
401bc0 3d2a323d 333a7b3d 3a3a =*2=3:{=::
我尝试将=*2=3:{=::作为密码,但它是错误的(注意使用little endian)
我不同意提供的答案,最重要的是我不明白为什么我所做的是错误的,我正在检查一个ELF格式的可执行文件(来自C) 现在,我知道以下大小为10的字符数组包含一个秘密密码,我想找到它 另外,我知道它位于地址
0x401bc0
char foor [10] = {0x??, 0x??, 0x??, 0x??, 0x??, 0x??, 0x??, 0x??, 0x??, 0x??, };
因此,我打开elf文件,计算0xbc0字节(等于4660)并开始写入我看到的前10个(为什么我只计算0xbc0?因为根据使用readelf命令的第二次输出,我看到内存中的节加载从0x400000开始,其偏移量在我的文件中为0x0),我得到:
char foo[10] = {0xC3, 0x82, 0x66, 0xC6, 0x92, 0xC3, 0xB9, 0x03, 0x0F, 0xE2,};
但这是错误的,为什么
我怎么知道呢,当我把这个字符数组转换成一个字符串并把它作为输入输入输入到我的程序时,它会说密码是错误的
我的ELF文件(如果太长,很抱歉):
加上我得到了这个:
readelf-l prog.html
Elf file type is EXEC (Executable file)
Entry point 0x4004fc
There are 9 program headers, starting at offset 64
Program Headers:
Type Offset VirtAddr PhysAddr
FileSiz MemSiz Flags Align
PHDR 0x0000000000000040 0x0000000000400040 0x0000000000400040
0x00000000000001f8 0x00000000000001f8 R E 0x8
INTERP 0x0000000000000238 0x0000000000400238 0x0000000000400238
0x000000000000001c 0x000000000000001c R 0x1
[Requesting program interpreter: /lib64/ld-linux-x86-64.so.2]
LOAD 0x0000000000000000 0x0000000000400000 0x0000000000400000
0x0000000000001d14 0x0000000000001d14 R E 0x200000
LOAD 0x0000000000001e10 0x0000000000601e10 0x0000000000601e10
0x000000000000022c 0x0000000000000230 RW 0x200000
DYNAMIC 0x0000000000001e28 0x0000000000601e28 0x0000000000601e28
0x00000000000001d0 0x00000000000001d0 RW 0x8
NOTE 0x0000000000000254 0x0000000000400254 0x0000000000400254
0x0000000000000044 0x0000000000000044 R 0x4
GNU_EH_FRAME 0x0000000000001bcc 0x0000000000401bcc 0x0000000000401bcc
0x000000000000003c 0x000000000000003c R 0x4
GNU_STACK 0x0000000000000000 0x0000000000000000 0x0000000000000000
0x0000000000000000 0x0000000000000000 RWE 0x10
GNU_RELRO 0x0000000000001e10 0x0000000000601e10 0x0000000000601e10
0x00000000000001f0 0x00000000000001f0 R 0x1
Section to Segment mapping:
Segment Sections...
00
01 .interp
02 .interp .note.ABI-tag .note.gnu.build-id .gnu.hash .dynsym .dynstr .gnu.version .gnu.version_r .rela.dyn .rela.plt .init .plt .text .fini .rodata .eh_frame_hdr .eh_frame
03 .init_array .fini_array .jcr .dynamic .got .got.plt .data .bss
04 .dynamic
05 .note.ABI-tag .note.gnu.build-id
06 .eh_frame_hdr
07
08 .init_array .fini_array .jcr .dynamic .got
student@ubuntu18:~/Desktop/HW3$
我想你的算术错了 第一个加载段在地址0x400000处加载,大小为0x1d14,因此它确实包括从0x401bc0开始的10个字节,在偏移量
0x401bc0-0x400000=0x1bc0
处加载到此段中。该段从文件中的偏移量0开始,因此您需要查看文件中的偏移量0x1bc0
,而不是偏移量0xbc0
0x1bc0
为十进制7104
(十进制中的
0xbc0
是3008,而不是4660。心算要记住的一个好事实是0x1000=4096
是一页。因此0x1bc0
必须介于4096和8192之间,同样0xbc0
必须小于4096。这就是我一眼就能看出你的数学有问题的原因。)我想你的算术错了
第一个加载段在地址0x400000处加载,大小为0x1d14,因此它确实包括从0x401bc0开始的10个字节,在偏移量0x401bc0-0x400000=0x1bc0
处加载到此段中。该段从文件中的偏移量0开始,因此您需要查看文件中的偏移量0x1bc0
,而不是偏移量0xbc0
0x1bc0
为十进制7104
(十进制中的
0xbc0
是3008,而不是4660。心算要记住的一个好事实是0x1000=4096
是一页。因此0x1bc0
必须介于4096和8192之间,同样0xbc0
必须小于4096。这就是我一眼就能看出你的数学有问题的原因。)文件不是这样工作的。此外,0x401bc0
等于十进制4201408
,而不是4660
。更不用说文本可执行内容的帖子是并没有意义的。字符编码(不管是什么)如果这是一个二进制文件提取练习,只需打开文件,然后fseek()
0x401bc0字节,然后读取接下来的10个字节。您可能无法在其中写入任何有意义的内容,因为实际密码在保存和解码之前会进行编码,以便与用户提供的密码进行比较。在这10个字符中输入的内容可能与输入的10个字符不匹配密码。使用objdump-s
获取二进制文件的十六进制转储并查找相关字节。@DavidC.Rankin请注意我的更新,这不是文件的工作方式。此外,0x401bc0
等于十进制4201408
,而不是4660
。更不用说文本可执行内容的post了。字符enco如果这是一个二进制文件提取练习,只需打开文件,然后fseek()
0x401bc0字节,然后读取接下来的10个字节。您可能无法在其中写入任何有意义的内容,因为实际密码在保存和解码之前会进行编码,以便与用户提供的密码进行比较。在这10个字符中输入的内容可能与输入的10个字符不匹配密码。使用objdump-s
获取二进制文件的十六进制转储并查找相关字节。@DavidC.Rankin注意我的更新hi,这也不起作用,我从文件中复制了前7116个字节并粘贴到这里(转换为十六进制),然后我获取了7104-7113字节(从0开始计数)然后将这些字节转换为字符串,但答案也是错误的。我得到了这些字节:bf e2 80 b0 c3 82 66 c6 92 c3,它们转换为:?Ãf,这是错误的抱歉,将这些文件发布为“可打印的”字符是无用的。正如Clifford所说,我们需要看到整件事情的十六进制转储,或可下载的二进制文件。确保检查您使用的工具是否以十进制或十六进制显示偏移量。因此换句话说,我不能使用复制粘贴?顺便说一句,我遵循了另一个答案,其中说:“使用objdump-s获取二进制文件的十六进制转储并查找相关字节。“但是对于未来的读者来说,答案是错误的:删除了以前的一些错误评论。objdump-s
显然显示了大端dwords,即使在一个小端系统上也是如此。我不知道。嗨,这也不起作用,我从文件中复制了前7116个字节并粘贴在这里(转换为十六进制),然后我获取了7104-7113字节(我从0开始计数)然后将这些字节转换为字符串,但答案也是错误的。我得到了这些字节:bf e2 80 b0 c3 82 66 c6 92 c3,它转换为:?Ãf,这是错误的抱歉,将这些文件发布为“可打印的”字符是无用的。正如Clifford所说,我们需要看到整件事情的十六进制转储,或可下载的二进制文件。请确保检查您使用的工具是否以十进制或十六进制显示偏移量。因此,换句话说,我不能使用复制粘贴?顺便说一句,我是follo