elf文件解析器

最新推荐文章于 2025-07-20 10:28:33 发布
最新推荐文章于 2025-07-20 10:28:33 发布
阅读量3.4k 收藏 16
点赞数 4
CC 4.0 BY-SA版权
文章标签: C elf文件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Ck_Max/article/details/87912043
本文介绍了一个C语言编写的ELF文件解析器,用于打印出所有segments和sections及其映射关系。程序首先检查文件是否为ELF格式,然后读取并解析head、section和segment信息。通过遍历解析的数据,展示每个section和segment的相关属性,如名称、偏移量、大小等。

前两天网上投递了简历,面试了一家C++公司,然后对面负责人给我发了一份笔试题,题目是:

请写出一个ELF文件解析器, 需要能打印出所有segmentssections,并列出每个sectionsegment的映射关系。

首先了解elf是什么,它的结构是怎么样的,然后去读一下别人的源码,读懂之后,自己开始编码。

源码如下("elf.h" 头文件见后文),它会报warning,但是貌似不太影响最后结果:

#include<stdlib.h>
#include<stdio.h>
#include "elf.h"

int main(int argc, char* argv[])
{
    // 参数错误
    if(argc < 2)
    {
        printf("invalid arguments\n");
        exit(0);
    }

    // 打开文件
    FILE *fp;
    fp = fopen(argv[1], "r");
    if (NULL == fp)
    {
        printf("fail to open the file");
        exit(0);
    }

    // 解析head
    Elf64_Ehdr elf_head;
    int shnum, a;

    // 读取 head 到elf_head
    a = fread(&elf_head, sizeof(Elf64_Ehdr), 1, fp);
    if (0 == a)
    {
        printf("fail to read head\n");
        exit(0);
    }

    // 判断elf文件类型
    if(elf_head.e_ident[0] != 0x7F ||
        elf_head.e_ident[1] != 'E' ||
        elf_head.e_ident[2] != 'L' ||
        elf_head.e_ident[3] != 'F')
    {
        printf("Not a ELF file\n");
        exit(0);
    }

    // 解析section 分配内存 section * 数量
    Elf64_Shdr *shdr = (Elf64_Shdr*)malloc(sizeof(Elf64_Shdr) * elf_head.e_shnum);
    if (NULL == shdr)
    {
        printf("shdr malloc failed\n");
        exit(0);
    }

    // 设置fp偏移量 offset
    a = fseek(fp, elf_head.e_shoff, SEEK_SET);
    if(0 != a)
    {
        printf("\nfaile to fseek\n");
        exit(0);
    }

    // 读取section 到 shdr, 大小为shdr * 数量
    a = fread(shdr, sizeof(Elf64_Shdr) * elf_head.e_shnum, 1, fp);
    if (0 == a)
    {
        printf("\nfail to read section\n");
        exit(0);
    }

    // 重置指针位置
    rewind(fp);

    // 将fp指针移到 字符串表偏移位置处
    fseek(fp, shdr[elf_head.e_shstrndx].sh_offset, SEEK_SET);
    
    // 第e_shstrndx项是字符串表 定义 字节 长度 char类型 数组
    char shstrtab[shdr[elf_head.e_shstrndx].sh_size];
    char *temp = shstrtab;

    // 读取内容
    a = fread(shstrtab, shdr[elf_head.e_shstrndx].sh_size, 1, fp);
    if (0 == a)
    {
        printf("\nfaile to read\n");
    }

    // printf("\n\节的信息: \n");
    // 遍历
    // for (int i = 0; i < elf_head.e_shnum; i++)
    // {
    // temp = shstrtab;
    // temp = temp + shdr[i].sh_name;
    // printf("节的名称: %s\n", temp);
    // printf("节首的偏移: %x\n", shdr[i].sh_offset);
    // printf("节的大小: %x\n", shdr[i].sh_size);
    // printf("节尾的地址: %x\n", shdr[i].sh_offset + shdr[i].sh_size);
    // printf("\n");
    // }


    // 解析 segment
    Elf64_Phdr *phdr = (Elf64_Phdr*)malloc(sizeof(Elf64_Phdr) * elf_head.e_phnum);
    a = fseek(fp, elf_head.e_phoff, SEEK_SET);
    a = fread (phdr, sizeof(Elf64_Phdr) * elf_head.e_phnum, 1, fp);
    rewind(fp);
    fseek(fp, phdr[elf_head.e_shentsize].p_offset, SEEK_SET);
    char phstrtab[phdr[elf_head.e_shentsize].p_filesz];
    a = fread(phstrtab, phdr[elf_head.e_shentsize].p_filesz, 1, fp);
    printf("\n\n段的信息:\n");

    for (int i = 0; i < elf_head.e_phnum; i++)
    {
        printf("%d: \n", i);
        printf(" 该段首相对偏移: %x \n", phdr[i].p_offset);
        printf(" 该段的大小: %x \n", phdr[i].p_memsz);
        printf(" 该段尾相对偏移: %x \n", phdr[i].p_memsz + phdr[i].p_offset);
        printf(" *该段包含的节有:\n");

        for (int j = 0;j < elf_head.e_shnum; j++)
        {
            if (
                (shdr[j].sh_offset > phdr[i].p_offset) && 
                ( (shdr[j].sh_offset + shdr[j].sh_size) < (phdr[i].p_offset + phdr[i].p_memsz) )
               )
            {
                temp = shstrtab;
                temp = temp + shdr[j].sh_name;

                printf(" 节的名称: %s\n", temp);
                printf(" 节首的偏移: %x\n", shdr[j].sh_offset);
                printf(" 节的大小: %x\n", shdr[j].sh_size);
                printf(" 节尾的地址: %x\n", shdr[j].sh_offset + shdr[j].sh_size);
                printf("\n");
            }
        }    
        printf("\n");
    }

    printf("\n");
    return 0;
}

#include<stdlib.h>

#include<stdio.h>

#include "elf.h"

 

int main(int argc, char* argv[])

{

// 参数错误

if(argc < 2)

{

printf("invalid arguments\n");

exit(0);

}

 

// 打开文件

FILE *fp;

fp = fopen(argv[1], "r");

if (NULL == fp)

{

printf("fail to open the file");

exit(0);

}

 

// 解析head

Elf64_Ehdr elf_head;

int shnum, a;

// 读取 head 到elf_head

a = fread(&elf_head, sizeof(Elf64_Ehdr), 1, fp);

if (0 == a)

{

printf("fail to read head\n");

exit(0);

}

 

// 判断elf文件类型

if(elf_head.e_ident[0] != 0x7F ||

elf_head.e_ident[1] != 'E' ||

elf_head.e_ident[2] != 'L' ||

elf_head.e_ident[3] != 'F')

{

printf("Not a ELF file\n");

exit(0);

}

 

// 解析section 分配内存 section * 数量

Elf64_Shdr *shdr = (Elf64_Shdr*)malloc(sizeof(Elf64_Shdr) * elf_head.e_shnum);

if (NULL == shdr)

{

printf("shdr malloc failed\n");

exit(0);

}

// 设置fp偏移量 offset

a = fseek(fp, elf_head.e_shoff, SEEK_SET);

if(0 != a)

{

printf("\nfaile to fseek\n");

exit(0);

}

 

// 读取section 到 shdr, 大小为shdr * 数量

a = fread(shdr, sizeof(Elf64_Shdr) * elf_head.e_shnum, 1, fp);

if (0 == a)

{

printf("\nfail to read section\n");

exit(0);

}

 

// 重置指针位置

rewind(fp);

// 将fp指针移到 字符串表偏移位置处

fseek(fp, shdr[elf_head.e_shstrndx].sh_offset, SEEK_SET);

 

// 第e_shstrndx项是字符串表 定义 字节 长度 char类型 数组

char shstrtab[shdr[elf_head.e_shstrndx].sh_size];

char *temp = shstrtab;

// 读取内容

a = fread(shstrtab, shdr[elf_head.e_shstrndx].sh_size, 1, fp);

if (0 == a)

{

printf("\nfaile to read\n");

}

// printf("\n\节的信息: \n");

// 遍历

// for (int i = 0; i < elf_head.e_shnum; i++)

// {

// temp = shstrtab;

// temp = temp + shdr[i].sh_name;

// printf("节的名称: %s\n", temp);

// printf("节首的偏移: %x\n", shdr[i].sh_offset);

// printf("节的大小: %x\n", shdr[i].sh_size);

// printf("节尾的地址: %x\n", shdr[i].sh_offset + shdr[i].sh_size);

// printf("\n");

// }

 

// 解析 segment

Elf64_Phdr *phdr = (Elf64_Phdr*)malloc(sizeof(Elf64_Phdr) * elf_head.e_phnum);

a = fseek(fp, elf_head.e_phoff, SEEK_SET);

a = fread (phdr, sizeof(Elf64_Phdr) * elf_head.e_phnum, 1, fp);

 

rewind(fp);

fseek(fp, phdr[elf_head.e_shentsize].p_offset, SEEK_SET);

 

char phstrtab[phdr[elf_head.e_shentsize].p_filesz];

a = fread(phstrtab, phdr[elf_head.e_shentsize].p_filesz, 1, fp);

 

printf("\n\n段的信息:\n");

for (int i = 0; i < elf_head.e_phnum; i++)

{

printf("%d: \n", i);

printf(" 该段首相对偏移: %x \n", phdr[i].p_offset);

printf(" 该段的大小: %x \n", phdr[i].p_memsz);

printf(" 该段尾相对偏移: %x \n", phdr[i].p_memsz + phdr[i].p_offset);

printf(" *该段包含的节有:\n");

for (int j = 0;j < elf_head.e_shnum; j++)

{

if ((shdr[j].sh_offset > phdr[i].p_offset) && ((shdr[j].sh_offset + shdr[j].sh_size) < (phdr[i].p_offset + phdr[i].p_memsz)))

{

temp = shstrtab;

temp = temp + shdr[j].sh_name;

printf(" 节的名称: %s\n", temp);

printf(" 节首的偏移: %x\n", shdr[j].sh_offset);

printf(" 节的大小: %x\n", shdr[j].sh_size);

printf(" 节尾的地址: %x\n", shdr[j].sh_offset + shdr[j].sh_size);

printf("\n");

}

}

printf("\n");

 

}

printf("\n");

return 0;

}

 

 

这里用到了一个头文件 "elf.h" ,里面定义了elf文件结构的各种数据结构,能够使解析elf的过程中更加方便:

#ifndef _QEMU_ELF_H

#define _QEMU_ELF_H

#include <inttypes.h>

/* 32-bit ELF base types. */

 

/* 字节 uint8_t

2字节 uint16_t

4字节 uint32_t

8字节 uint64_t */

typedef uint32_t Elf32_Addr;

typedef uint16_t Elf32_Half;

typedef uint32_t Elf32_Off;

typedef int32_t Elf32_Sword;

typedef uint32_t Elf32_Word;

/* 64-bit ELF base types. */

typedef uint64_t Elf64_Addr;

typedef uint16_t Elf64_Half;

typedef int16_t  Elf64_SHalf;

typedef uint64_t Elf64_Off;

typedef int32_t  Elf64_Sword;

typedef uint32_t Elf64_Word;

typedef uint64_t Elf64_Xword;

typedef int64_t Elf64_Sxword;

/* These constants are for the segment types stored in the image headers */

#define PT_NULL 0

#define PT_LOAD 1

#define PT_DYNAMIC 2

#define PT_INTERP 3

#define PT_NOTE 4

#define PT_SHLIB 5

#define PT_PHDR 6

#define PT_LOPROC 0x70000000

#define PT_HIPROC 0x7fffffff

#define PT_MIPS_REGINFO 0x70000000

#define PT_MIPS_OPTIONS 0x70000001

/* Flags in the e_flags field of the header */

/* MIPS architecture level. */

#define EF_MIPS_ARCH_1  0x00000000  /* -mips1 code. */

#define EF_MIPS_ARCH_2  0x10000000  /* -mips2 code. */

#define EF_MIPS_ARCH_3  0x20000000  /* -mips3 code. */

#define EF_MIPS_ARCH_4  0x30000000  /* -mips4 code. */

#define EF_MIPS_ARCH_5  0x40000000  /* -mips5 code. */

#define EF_MIPS_ARCH_32 0x50000000  /* MIPS32 code. */

#define EF_MIPS_ARCH_64 0x60000000  /* MIPS64 code. */

/* The ABI of a file. */

#define EF_MIPS_ABI_O32 0x00001000  /* O32 ABI. */

#define EF_MIPS_ABI_O64 0x00002000  /* O32 extended for 64 bit. */

#define EF_MIPS_NOREORDER 0x00000001

#define EF_MIPS_PIC 0x00000002

#define EF_MIPS_CPIC 0x00000004

#define EF_MIPS_ABI2  0x00000020

#define EF_MIPS_OPTIONS_FIRST 0x00000080

#define EF_MIPS_32BITMODE 0x00000100

#define EF_MIPS_ABI 0x0000f000

#define EF_MIPS_ARCH 0xf0000000

/* These constants define the different elf file types */

#define ET_NONE 0

#define ET_REL 1

#define ET_EXEC 2

#define ET_DYN 3

#define ET_CORE 4

#define ET_LOPROC 0xff00

#define ET_HIPROC 0xffff

/* These constants define the various ELF target machines */

#define EM_NONE 0

#define EM_M32 1

#define EM_SPARC 2

#define EM_386 3

#define EM_68K 4

#define EM_88K 5

#define EM_486 6 /* Perhaps disused */

#define EM_860 7

#define EM_MIPS 8 /* MIPS R3000 (officially, big-endian only) */

#define EM_MIPS_RS4_BE 10 /* MIPS R4000 big-endian */

#define EM_PARISC 15 /* HPPA */

#define EM_SPARC32PLUS 18 /* Sun's "v8plus" */

#define EM_PPC   20 /* PowerPC */

#define EM_PPC64 21 /* PowerPC64 */

#define EM_ARM  40  /* ARM */

#define EM_SH  42 /* SuperH */

#define EM_SPARCV9 43 /* SPARC v9 64-bit */

#define EM_IA_64  50  /* HP/Intel IA-64 */

#define EM_X86_64 62  /* AMD x86-64 */

#define EM_S390 22  /* IBM S/390 */

#define EM_CRIS 76 /* Axis Communications 32-bit embedded processor */

#define EM_V850 87  /* NEC v850 */

#define EM_H8_300H 47 /* Hitachi H8/300H */

#define EM_H8S 48 /* Hitachi H8S */

/*

* This is an interim value that we will use until the committee comes

* up with a final number.

*/

#define EM_ALPHA  0x9026

/* Bogus old v850 magic number, used by old tools. */

#define EM_CYGNUS_V850  0x9080

/*

* This is the old interim value for S/390 architecture

*/

#define EM_S390_OLD 0xA390

/* This is the info that is needed to parse the dynamic section of the file */

#define DT_NULL 0

#define DT_NEEDED 1

#define DT_PLTRELSZ 2

#define DT_PLTGOT 3

#define DT_HASH 4

#define DT_STRTAB 5

#define DT_SYMTAB 6

#define DT_RELA 7

#define DT_RELASZ 8

#define DT_RELAENT  9

#defin

最低0.47元/天 解锁文章

200万优质内容无限畅学
ELF文件解析
lin___的博客
01-25 3992
ELF文件格式 ELF (Executable and Linkable Format)是 UNIX 类操作系统中普遍采用的目标文件格式, 分为三种类型: 1、可重定位文件 (Relocatable File)包含适合于与其他目标文件链接来创建可执行文件或者共享目标文件的代码和数据。 这是由汇编器汇编生成的 .o 文件。后面的链接器(link editor)拿一个或一些 Relocatabl...
ELF文件格式解析
热门推荐
Flass Blog
05-21 4万+
ELF文件格式说明。
elf格式解析工具
10-01
用来解析elf格式文件,如DSP/ccs的编译输出.out文件 或ARM/MDK编译的axf文件,使用mfc设计,使用虚拟列表完美提升工具性能
ELF 文件详解
YoungLime的博客
07-20 1607
ELF(Executable and Linkable Format,可执行与可链接格式)是一种用于二进制文件、可执行文件、目标代码、共享库和核心转储的标准文件格式。它最初由 Unix 系统实验室(USL)设计,现已成为类 Unix 系统(如 Linux、FreeBSD、Android 等)中最常见的文件格式之一。
ELF文件的解析工具源码
02-21
这是一个资源文件解析工具的源码,是转载的这是一个资源文件解析工具的源码,是转载的这是一个资源文件解析工具的源码,是转载的这是一个资源文件解析工具的源码,是转载的
elf文件解析器1.0.0
最新发布
08-09
内容概要:通过自解压安装程序2025080900094405.exe,用户可以快速部署elf文件解析工具。安装过程简单高效,但需注意安装包具有自动清理特性。 适合人群:需要处理elf文件的系统管理员、嵌入式开发者和安全分析人员 ...
ELF 文件解析工具1.7
11-06
ELF文件,大名叫 Executable and Linkable Format。在计算机科学中,是一种用于二进制文件、可执行文件格式 ELF文件由4部分组成,分别是ELF头(ELF header)、程序头表(Program header table)、节(Section)和节...
ELF解析工具 v1.7(elf格式解析工具)
11-05
支持32位/64位elf文件自适应解析、可解析elf文件头、程序头、节头、字符表、符号表、hash表、版本定义表、版本依赖表、动态信息表等。 更多详细介绍请访问:...
TestDwarf_提取变量_elf文件格式_解析器_
10-02
编写ELF文件解析器时,开发者需要处理以下几个关键步骤: 1. 打开并读取ELF文件的头部信息,确定文件类型和架构。 2. 解析程序头表,获取节区布局信息。 3. 遍历节区表,找到包含DWARF调试信息的节区。 4. 使用`...
深入解析ELF文件大小分析工具:elf-size-analyze
gitblog_01023的博客
09-11 1035
深入解析ELF文件大小分析工具:elf-size-analyze 项目介绍 elf-size-analyze 是一个基于Python的ELF文件大小分析工具,旨在帮助开发者深入了解和优化嵌入式系统中的代码大小。该项目源自Zephyr项目的size_report脚本,但经过几乎完全的重写,提供了更强大的功能和更友好的用户界面。通过使用binutils工具集(如readelf、nm、c++filt),...
ELF解析器:恶意软件分析的利器
gitblog_00091的博客
05-09 710
ELF解析器:恶意软件分析的利器 elfparser Cross Platform ELF analysis 项目地址: https://gitcode.com/gh_mirrors/el/elfparser ...
elf文件格式解析
PwnGuo的博客
05-20 6493
linux 恶意软件研究相关工具 及下载地址:https://remnux.org/docs/distro/tools/ 系统: Sysdig(https://pkgs.org/download/sysdig)Unhide(取消隐藏) 反汇编: Vivisect, Udis86, objdump 调试工具: Evan’s Debugger (EDB), GNU Project Debugge...
复现readelf功能的ELF文件解析器开发
为了深入理解和操作ELF文件,本文档将详细介绍如何使用C语言编写一个类似于readelf工具的程序,用于解析ELF文件的头信息、程序头、节区头以及可重定位段和符号表的内容。 ### ELF文件格式基础 ELF(Executable and...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值