ELF解析04 - 字符串表/导入库表/符号表/导入表

最新推荐文章于 2025-09-26 17:51:23 发布
原创 最新推荐文章于 2025-09-26 17:51:23 发布 · 1.6k 阅读 · 25 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端 #开发语言 #java

本文详细解读了DynamicSegment中的子表,特别是字符串表、导入库表和符号表的结构,以及重定位表(如plt和rela.plt)的工作原理,着重讲解了不同类型的重定位和链接器如何处理它们。

本文主要讨论 Dynamic Segment 里面的几个子表。

总体结构介绍

我们先总体看下 Dynamic Segment :

这里我们只需要关心图中两个画圆圈的地方。

第一个是虚拟地址

由于 Dynamic Segment 的子表内容都在可加载段的范围里面,所以对这些子表的访问都是在虚拟内存里面进行的。

p_offset_FROM_FILE_BEGIN 这个值我们可以自己静态分析使用,但是解析的时候不要用这个地址。包括 p_filesz_SEGMENT_FILE_LENGTH  p_memsz_SEGMENT_RAM_LENGTH,这些值都没用。

有一个需要注意的地方,就是p_offset_FROM_FILE_BEGIN 的值要比 p_vaddr_VIRTUAL_ADDRESS 的值要大一个 PAGE 值。这是为啥呢?

是因为第二个可加载段的映射偏差:

可以看到在第二个可加载段在做内存映射的时候就有一个 PAGE 值的偏差,由于只要是放在第二个段里面的内容,就会有一个 PAGE 的偏差。

第二个是子表

第二个画圈的地方说明了,子表有 39 项。但是实际上最后几项都是 NULL:

所以解析子表的时候,不会去先计算子表的大小,然后用 大小/sizeof(xxx) 这样的方式,而是直接从头开始解析,直到遇到 DT_NULL。

子表的结构体是 struct Elf64_Dyn :

typedef struct
{
  Elf64_Sxword d_tag;   /* Dynamic entry type */
  union
    {
      Elf64_Xword d_val;  /* Integer value */
      Elf64_Addr d_ptr;   /* Address value */
    } d_un;
} Elf64_Dyn;

一共16个字节,前8个字节表示类型,后8个字节表示地址(注意表示的是虚拟地址)或者整数值。

我们先研究字符串表,其 type 为 5:

字符串表

我们找到字符串表的虚拟地址位置 0x2328,它是在第一个段里面。其实这个地址也能在 section header 里面找到:

只不过 section header 里面的这个地址容易被篡改而已。

根据第一个段的mmap映射关系,我们知道,其文件位置也是 0x2328,我们跳过去看看:

明显看出,这里确实是字符串表。

这个表要如

最低0.47元/天 解锁文章
剖析ELF文件格式的内容———文件头,段,符号....(第三章)
u012138730的专栏
09-21 8250
目录 1.extern "C" 1.编译阶段——取名 2.链接阶段——找对应的名 参考: 2.extern变量名 1.extern "C" 在阅读代码的时候,常常会看到下面的代码片段: #ifdef __cplusplus extern "C" { #endif // 写例如dll导出函数的定义 #ifdef __cplusplus } #endif 这是一...
GDB 源码分析系列文章三:调试信息的处理、符号表的创建和使用
Dong_HFUT的博客
05-28 1万+
GDB 源码分析系列文章三:调试信息的处理、符号表的创建和使用调试信息和符号表
重学计算机(三、elf文件布局和符号表
酱油师兄的博客
11-28 2630
上一篇写了.o目标文件分析,.o文件只是一个.c文件通过汇编生成的一个可重定位文件,并没有真正进行链接,现在我们就分析一个链接完成后的可执行文件hello_world,经过两个文件的对比,让我们更好的掌握ELF文件
ELF符号表修改
11-05
ELF符号表修改
深入解析ELF文件符号表.symtab
最新发布
本博客聚焦游戏开发技巧、创业实战心得及大学热门课程干货。这里既有技术深度,也有思维广度,无论你是开发者、创业者还是高校学子,都能在这里找到适合自己的成长之路!
09-26 725
本文详细解析ELF文件符号表.symtab的结构与生成算法。符号表是链接和调试的关键数据结构,记录函数、变量等符号的名称、地址和属性信息。文章通过类比通讯录和演员,形象说明符号表的作用,深入分析其64位结构体各字段含义,并系统阐述从源代码编译、汇编到链接的符号表生成全过程。还探讨了符号解析字符串表关联、调试应用等实际场景,最后给出符号冲突优化建议。全文以生动实例和技术细节相结合的方式,帮助读者全面理解ELF符号表的原理与实现。
Linux逆向---ELF动态链接
zekdot的博客
12-02 2399
ELF动态链接 静态链接通过将整个都编译到可执行文件的方式来生成可执行文件,而动态链接则利用共享来实现可执行文件对共享中函数的调用,在执行时将共享加载并绑定到该进程的地址空间中。 事前准备 由于要探究的是共享,所以我们需要实现一个共享文件: 首先是头文件: add.h: #ifndef ADD_H #define ADD_H int add(int a,int b); #endif ...
ELF字符串表分析
astrotycoon
12-20 5166
String Table String table sections hold null-terminated character sequences, commonly called strings. The object file uses these strings to represent symbol and section names. One references a string...
ELF文件系列第四篇ELF文件静态结构中的字符串表符号表
u011298001的博客
12-11 3604
默认字符串表 这节描述默认字符串表字符串表中包含有若干个以’null’结尾的字符串。在ELF文件中,这些字符串通常是符号的名字或者节的名字。当ELF文件的其它部分需要引用某个字符串时,只需要提供该字符串在字符串表中的序号即可。 字符串表中的第一个字符串(序号为 0)永远是”null”,它用于示一个空的名字或者没有名字。所以,字符串表的第一个字节是’null’。字符串表也可以是空的,不含有任...
ELF符号表深度解析:Python精准定位崩溃函数入口(故障排查核心技能)
ELF文件符号表基础概念解析 在Linux系统中,ELF(Executable and Linkable Format)是可执行文件、共享和核心转储的标准格式。它不仅定义了程序的加载布局,还包含了用于链接与调试的关键元数据——其中,符号...
《程序员的自我修养》读书笔记2——使用KEIL研究ELF文件符号表
booksyhay的专栏
09-12 904
代码 参考第4章,使用如下代码: 建立工程: 编译结果: 目标文件分析 先看b.o文件: fromelf -v b.o 打印结果: ======================================================================== ** ELF Header Information File Name: b.o Machine class: ELFCLASS32 (32-bit) Da...
ELF符号表分析
astrotycoon
12-20 9610
Symbol Table An object file's symbol table holds information needed to locate and relocate a program's symbolic definitions and references. A symbol table index is a subscript into this array. Index ...
ELF格式解读-符号表
不会写代码的丝丽
04-30 4317
前言 一个优先的symtab文章 我们常常调试错误说需要符号表,那么符号表是什么?符号表仅仅用来调试? 符号表本质就是一个映射,举个例子:某行二进制汇编代码映射到源码第几行。 符号表的作用: 调试 重定位 调试 window工程有一个*.pdb文件,里面编包含调试符号.可参阅wiki window pdb格式。 在java工程会使用一个叫混淆的技术,混淆后会生成混淆前后的映射文件mapping.txt,这个也可以理解为符号表的一种。 在linux有一个dwarf的文件格式也是专门用于调试的文件。参阅w
ELF(五)符号表
热门推荐
ylcangel的专栏
01-11 1万+
符号表          符号是示每个ELF文件的一个重要部分,因为它保存了程序实现或使用的所有(全局)变量和函数。如果程序引用了一个自身代码未定义的符号,则称之为未定义的符号(例如一般程序中printf函数,就定义在c标准函数中)。此类引用必须在静态链接期间用其他目标模块或者解决,或在加载期间通过动态链接(使用ld-linux.so)解决。nm工具可以生成程序定义和使用的所有符合列
.symtab ELF符号表(转载)
heyangge的博客
11-23 1120
ELF文件中的“符号表(symbol table)”包含的是程序中的符号信息 – 这些符号代的或许是定义(例如定义全局变量时使用的变量名,或者定义函数时使用的函数名),或许代的是引用(例如使用关键字extern声明的变量或函数时使用的符号名称)。当代的是定义时,在链接阶段链接器需要为它们重定位;当代的是引用时,在链接阶段链接器需要在其他编译模块定位到该符号的定义。
字符串表
吉祥如意的博客
01-26 800
字符串的长度往往是不固定的,所以用固定的结构来示它比较困难。 一种很常见的做法是把字符串集中起来存放到一个,然后使用字符串在中的偏移来引用字符串 偏移对应的字符串如下: 这样,引用字符串时,只需要给出一个数字下标即可,不用考虑字符串长度的问题。 ...
字符串、列(操作)
weixin_34206899的博客
08-25 141
字符串的索引与切片: # 索引 s = "QwErTyUiOp"s[0] # Q s[-1] # p s[-3] # i # 切片:顾头不顾尾 s = "QwErTyUiOp"s[0:4]   #QwErs[0:-1]  #QwErTyUiOs[:]   #QwErTyUiOps[0:]   #QwErTyUiOps[0:4:2]  #QEs[0:7:3]  #QrUs...
ELF 文件格式 ------- 符号表
Tang的博客
03-26 2028
为了让链接器能够修改引用外部符号的位置处的机器码,还需要一个重定位,该必然记录了需要修改的机器码在该文件中的位置(offect)以及被引用符号所在符号表的 index,有了需要被修改的位置,有了被引用符号所在该文件符号表的 index,就能够找到被引用符号的 symbal 信息,进而扫描全局符号表,看有没有与这个 symbal 信息相匹配的。通过 symbal 节,能够描述可重定位文件中所有符号的信息,包括该符号的作用域、强还是弱符号,以及该符号是否是外部符号。符号的数据结构描述了一个符号的所有信息。
字符串顺序
caojinpei123的博客
08-06 2253
main.cpp #include<iostream> using std::cin; using std::cout; using std::endl; #define max 100 class SqString { public :     char *base;     int maxlen; public:     SqString();     SqString(char...
linux怎么把文件导入中,linux – ELF文件中的导入在哪里?
weixin_36170766的博客
04-28 227
But you can see in the attached picture, that on the offset 464 there are only zeros.错误:上次我检查时,01,20,29,12等不是“仅零”.I suppose that Import Table starts on offset 528不,不是的.出于某种原因,您希望在ELF文件中找到Microsoft PE样...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

二手的程序员

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值