ELF字符串表分析

最新推荐文章于 2024-01-12 09:52:11 发布
最新推荐文章于 2024-01-12 09:52:11 发布
阅读量5k 收藏 3
点赞数 3
CC 4.0 BY-SA版权
分类专栏: 嵌入式基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/astrotycoon/article/details/42042985

String Table

String table sections hold null-terminated character sequences, commonly called strings. The object file uses these strings to represent symbol and section names. One references a string as an index into the string table section. The first byte, which is index zero, is defined to hold a null character. Likewise, a string table's last byte is defined to hold a null character, ensuring null termination for all strings. A string whose index is zero specifies either no name or a null name, depending on the context. An empty string table section is permitted; its section header's sh_size member would contain zero. Non-zero indexes are invalid for an empty string table.

字符串表节(string table sections)中存储若干以空字符结尾的字符串序列,即通常我们说的字符串。在目标文件中,使用这些字符串来表示符号名称和节的名称。当需要使用这些字符串时,只需要提供字符串在字符串表中的索引值即可。规定字符串表的第一个字节,即索引值为0对应的字节中存储的是空字符。同样的,因为所有的字符串都是空字符结尾,所以字符串表的最后一个字节中存储的也是空字符。索引值为0的字符串代表的是没有名字或者名字为空,这个需要依据上下文来决定。一个空的字符串表是允许的,这种情况下,它的节头表表项成员sh_size数值为0,意思是该节大小为0,所以此时提供一个非零的字符串表索引值是非法的。

A section header's sh_name member holds an index into the section header string table section, as designated by the e_shstrndx member of the ELF header. The following figures show a string table with 25 bytes and the strings associated with various indexes.

一个目标文件中一般包含多个字符串表(.dynstr/.shstrtab/.strtab),其中.shstrtab节中存储的是所有节的名字字符串。节头表表项成员sh_name代表的就是该节在.shstrtab中的索引值,该字符串表所在节的节头表索引值由ELF头中的e_shstrndx成员指出。
 

下图展现的是一个长度为25字节的字符串表。

 

As the example shows, a string table index may refer to any byte in the section. A string may appear more than once; references to substrings may exist; and a single string may be referenced multiple times. Unreferenced strings also are allowed.

从上面的列子中我们可以看到: 
(1)只要是合法的索引值,就可以访问该字符串表中的任何字节。 
(2)一个字符串在字符串表中允许出现多次。 
(3)可以使用合法的索引值访问一个字符串的子串。 
(4)只要提供索引值,一个字符串当然可以引用多次。 
(5)甚至允许从不被引用的字符串的存在。 
 

以下程序用于输出ELF所有字符串表的内容(即sh_type为SHT_STRTAB),模仿readelf的--string-dump=xxx选项:

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <link.h>
#include <sys/mman.h>
#include <sys/stat.h>
#include <fcntl.h>
#include <sys/types.h>
#include <unistd.h>
#include <elf.h>
#include <error.h>
#include <errno.h>
#include <assert.h>

static void print_strtbl(const char *start, size_t len)
{
	assert(start);

	const char *p = start;
	size_t offset = 0;

	for ( ;; ) {
		(void)printf("  [%6x]  %s\n", (unsigned int)offset, p + offset);	
		offset += strlen(p + offset) + 1;
		if (offset >= len) break;
	}
}
 
int main(int argc, char *argv[])
{
	int fd;
	char *file_mmbase;
	struct stat file_status;
	size_t fsize;
	ElfW(Ehdr) *ehdr;
	ElfW(Shdr) *shdrs;
	size_t shnum, shstrndx;
 
	if (argc != 2) {
		error(EXIT_FAILURE, 0, "Usage: %s file-name", argv[0]);
	}
 
	if ((fd = open(argv[1], O_RDONLY)) < 0) {
		error(EXIT_FAILURE, errno, "open %s failed", argv[1]);
	}
 
	if (fstat(fd, &file_status) < 0) {
		error(EXIT_FAILURE, errno, "get file %s info err", argv[1]);
	}
	fsize = (size_t)file_status.st_size;
 
	if ((file_mmbase = mmap(NULL, fsize, PROT_READ, 
				MAP_PRIVATE, fd, (off_t)0)) == MAP_FAILED) {
		error(EXIT_FAILURE, errno, "mmap file %s err", argv[1]);
	}
 
	ehdr = (ElfW(Ehdr) *)file_mmbase;
	shdrs = (ElfW(Shdr) *)(file_mmbase + ehdr->e_shoff);
	shnum = ehdr->e_shnum == 0 ? shdrs[0].sh_size : ehdr->e_shnum;
	shstrndx = ehdr->e_shstrndx == SHN_XINDEX ? shdrs[0].sh_link : ehdr->e_shstrndx;

	for (size_t i = 0; i < shnum; i++) {
		ElfW(Shdr) *shdr = &shdrs[i];	
		if (shdr->sh_type != SHT_STRTAB) continue;

		(void)printf("String dump of section '%s':\n", 
				file_mmbase + shdrs[shstrndx].sh_offset + shdr->sh_name);
		print_strtbl(file_mmbase + shdrs[i].sh_offset, shdrs[i].sh_size);
		(void)printf("\n");
	}
	
	(void)munmap(file_mmbase, fsize);
	(void)close(fd);
	
	exit(EXIT_SUCCESS);
}

程序输出结果如下:

[00:49:39@astrol:/tmp]$ readelf --wide --section-headers print_strtbl | grep STRTAB
  [ 6] .dynstr           STRTAB          0000000000000468 000468 0000dd 00   A  0   0  1
  [27] .strtab           STRTAB          0000000000000000 002790 000322 00      0   0  1
  [28] .shstrtab         STRTAB          0000000000000000 002ab2 0000fe 00      0   0  1
[00:49:53@astrol:/tmp]$ readelf --string-dump=6 print_strtbl 

String dump of section '.dynstr':
  [     1]  libc.so.6
  [     b]  exit
  [    10]  error
  [    16]  putchar
  [    1e]  __assert_fail
  [    2c]  printf
  [    33]  mmap
  [    38]  strlen
  [    3f]  __errno_location
  [    50]  munmap
  [    57]  close
  [    5d]  open
  [    62]  __cxa_finalize
  [    71]  __libc_start_main
  [    83]  __fxstat
  [    8c]  GLIBC_2.2.5
  [    98]  _ITM_deregisterTMCloneTable
  [    b4]  __gmon_start__
  [    c3]  _ITM_registerTMCloneTable

[00:50:06@astrol:/tmp]$ readelf --string-dump=27 print_strtbl 

String dump of section '.strtab':
  [     1]  crtstuff.c
  [     c]  deregister_tm_clones
  [    21]  __do_global_dtors_aux
  [    37]  completed.7696
  [    46]  __do_global_dtors_aux_fini_array_entry
  [    6d]  frame_dummy
  [    79]  __frame_dummy_init_array_entry
  [    98]  print_strtbl.c
  [    a7]  print_strtbl
  [    b4]  __PRETTY_FUNCTION__.4223
  [    cd]  __FRAME_END__
  [    db]  __init_array_end
  [    ec]  _DYNAMIC
  [    f5]  __init_array_start
  [   108]  __GNU_EH_FRAME_HDR
  [   11b]  _GLOBAL_OFFSET_TABLE_
  [   131]  __libc_csu_fini
  [   141]  putchar@@GLIBC_2.2.5
  [   156]  __errno_location@@GLIBC_2.2.5
  [   174]  _ITM_deregisterTMCloneTable
  [   190]  _edata
  [   197]  strlen@@GLIBC_2.2.5
  [   1ab]  mmap@@GLIBC_2.2.5
  [   1bd]  printf@@GLIBC_2.2.5
  [   1d1]  __assert_fail@@GLIBC_2.2.5
  [   1ec]  close@@GLIBC_2.2.5
  [   1ff]  __libc_start_main@@GLIBC_2.2.5
  [   21e]  __data_start
  [   22b]  __gmon_start__
  [   23a]  __dso_handle
  [   247]  _IO_stdin_used
  [   256]  __libc_csu_init
  [   266]  __fxstat@@GLIBC_2.2.5
  [   27c]  __bss_start
  [   288]  munmap@@GLIBC_2.2.5
  [   29c]  main
  [   2a1]  error@@GLIBC_2.2.5
  [   2b4]  open@@GLIBC_2.2.5
  [   2c6]  __fstat
  [   2ce]  exit@@GLIBC_2.2.5
  [   2e0]  __TMC_END__
  [   2ec]  _ITM_registerTMCloneTable
  [   306]  __cxa_finalize@@GLIBC_2.2.5

[00:50:12@astrol:/tmp]$ readelf --string-dump=28 print_strtbl 

String dump of section '.shstrtab':
  [     1]  .symtab
  [     9]  .strtab
  [    11]  .shstrtab
  [    1b]  .interp
  [    23]  .note.ABI-tag
  [    31]  .note.gnu.build-id
  [    44]  .gnu.hash
  [    4e]  .dynsym
  [    56]  .dynstr
  [    5e]  .gnu.version
  [    6b]  .gnu.version_r
  [    7a]  .rela.dyn
  [    84]  .rela.plt
  [    8e]  .init
  [    94]  .plt.got
  [    9d]  .text
  [    a3]  .fini
  [    a9]  .rodata
  [    b1]  .eh_frame_hdr
  [    bf]  .eh_frame
  [    c9]  .init_array
  [    d5]  .fini_array
  [    e1]  .dynamic
  [    ea]  .data
  [    f0]  .bss
  [    f5]  .comment

[00:50:15@astrol:/tmp]$ ./print_strtbl print_strtbl 
String dump of section '.dynstr':
  [     0]  
  [     1]  libc.so.6
  [     b]  exit
  [    10]  error
  [    16]  putchar
  [    1e]  __assert_fail
  [    2c]  printf
  [    33]  mmap
  [    38]  strlen
  [    3f]  __errno_location
  [    50]  munmap
  [    57]  close
  [    5d]  open
  [    62]  __cxa_finalize
  [    71]  __libc_start_main
  [    83]  __fxstat
  [    8c]  GLIBC_2.2.5
  [    98]  _ITM_deregisterTMCloneTable
  [    b4]  __gmon_start__
  [    c3]  _ITM_registerTMCloneTable

String dump of section '.strtab':
  [     0]  
  [     1]  crtstuff.c
  [     c]  deregister_tm_clones
  [    21]  __do_global_dtors_aux
  [    37]  completed.7696
  [    46]  __do_global_dtors_aux_fini_array_entry
  [    6d]  frame_dummy
  [    79]  __frame_dummy_init_array_entry
  [    98]  print_strtbl.c
  [    a7]  print_strtbl
  [    b4]  __PRETTY_FUNCTION__.4223
  [    cd]  __FRAME_END__
  [    db]  __init_array_end
  [    ec]  _DYNAMIC
  [    f5]  __init_array_start
  [   108]  __GNU_EH_FRAME_HDR
  [   11b]  _GLOBAL_OFFSET_TABLE_
  [   131]  __libc_csu_fini
  [   141]  putchar@@GLIBC_2.2.5
  [   156]  __errno_location@@GLIBC_2.2.5
  [   174]  _ITM_deregisterTMCloneTable
  [   190]  _edata
  [   197]  strlen@@GLIBC_2.2.5
  [   1ab]  mmap@@GLIBC_2.2.5
  [   1bd]  printf@@GLIBC_2.2.5
  [   1d1]  __assert_fail@@GLIBC_2.2.5
  [   1ec]  close@@GLIBC_2.2.5
  [   1ff]  __libc_start_main@@GLIBC_2.2.5
  [   21e]  __data_start
  [   22b]  __gmon_start__
  [   23a]  __dso_handle
  [   247]  _IO_stdin_used
  [   256]  __libc_csu_init
  [   266]  __fxstat@@GLIBC_2.2.5
  [   27c]  __bss_start
  [   288]  munmap@@GLIBC_2.2.5
  [   29c]  main
  [   2a1]  error@@GLIBC_2.2.5
  [   2b4]  open@@GLIBC_2.2.5
  [   2c6]  __fstat
  [   2ce]  exit@@GLIBC_2.2.5
  [   2e0]  __TMC_END__
  [   2ec]  _ITM_registerTMCloneTable
  [   306]  __cxa_finalize@@GLIBC_2.2.5

String dump of section '.shstrtab':
  [     0]  
  [     1]  .symtab
  [     9]  .strtab
  [    11]  .shstrtab
  [    1b]  .interp
  [    23]  .note.ABI-tag
  [    31]  .note.gnu.build-id
  [    44]  .gnu.hash
  [    4e]  .dynsym
  [    56]  .dynstr
  [    5e]  .gnu.version
  [    6b]  .gnu.version_r
  [    7a]  .rela.dyn
  [    84]  .rela.plt
  [    8e]  .init
  [    94]  .plt.got
  [    9d]  .text
  [    a3]  .fini
  [    a9]  .rodata
  [    b1]  .eh_frame_hdr
  [    bf]  .eh_frame
  [    c9]  .init_array
  [    d5]  .fini_array
  [    e1]  .dynamic
  [    ea]  .data
  [    f0]  .bss
  [    f5]  .comment
 

以下是利用libelf库来输出字符串表的内容:

#include <stdio.h>
#include <stdlib.h>
#include <err.h>
#include <fcntl.h>
#include <gelf.h>
#include <stdint.h>
#include <unistd.h>
#include <assert.h>
#include <string.h>

static void print_strtbl(Elf_Scn *scn, size_t len)
{
	assert(scn);

	Elf_Data *data = NULL;
	size_t offset = 0;

	for ( ;; ) {
		if ((data = elf_getdata(scn, data)) == NULL) break;
		
		const char *p = data->d_buf;
		while (p < (char *)data->d_buf + data->d_size) {
			(void)printf("  [%6x]  %s\n", (unsigned int)offset, p);	
			offset += strlen(p) + 1;
			p += strlen(p) + 1;
			if (offset >= len) break;
		}
	}
}

int main(int argc, const char *argv[])
{
	int fd, class;
	Elf *pelf = NULL;
	Elf_Scn *scn = NULL;
	GElf_Shdr shdr;
	size_t shstrndx;

	if (argc != 2)
		errx(EXIT_FAILURE, "usage: %s file-name", argv[0]);

	if (elf_version(EV_CURRENT) == EV_NONE)
		errx(EXIT_FAILURE, "ELF library initializztion "
			"failed: %s", elf_errmsg(-1));

	if ((fd = open(argv[1], O_RDONLY, 0)) < 0)
		errx(EXIT_FAILURE, "open \"%s\" failed", argv[1]);

	if (!(pelf = elf_begin(fd, ELF_C_READ, NULL)))
		errx(EXIT_FAILURE, "elf_begin() failed: %s", elf_errmsg(-1));

	if (elf_kind(pelf) != ELF_K_ELF)
		errx(EXIT_FAILURE, "\"%s\" is not an ELF object.", argv[1]);

	// get elf class ()
	if ((class = gelf_getclass(pelf)) == ELFCLASSNONE)
		errx(EXIT_FAILURE, "getclass() failed: %s.", elf_errmsg(-1));

	// get shstrndx
	if (elf_getshdrstrndx(pelf, &shstrndx) == -1) {
		errx(EXIT_FAILURE, "getshdrstrndx() failed: %s.", elf_errmsg(-1));	
	}

	while (scn = elf_nextscn(pelf, scn)) {
		if (gelf_getshdr(scn, &shdr) != &shdr) {
			errx(EXIT_FAILURE, "gelf_getshdr() failed: %s.", elf_errmsg(-1));	
		}

		if (shdr.sh_type != SHT_STRTAB) continue;

		(void)printf("String dump of section '%s':\n", 
				elf_strptr(pelf, shstrndx, shdr.sh_name));
		print_strtbl(scn, shdr.sh_size);
		printf("\n");
	}	

	(void)elf_end(pelf);
	(void)close(fd);

	exit(EXIT_SUCCESS);
}

参考链接:

String Table

C语言实现读取elf文件的字符串表,符号表
qq_57973134的博客
01-11 1005
C语言实现读取elf文件的字符串表,符号表
ELF(五)符号表
热门推荐
ylcangel的专栏
01-11 1万+
符号表          符号是表示每个ELF文件的一个重要部分,因为它保存了程序实现或使用的所有(全局)变量和函数。如果程序引用了一个自身代码未定义的符号,则称之为未定义的符号(例如一般程序中printf函数,就定义在c标准函数中)。此类引用必须在静态链接期间用其他目标模块或者库解决,或在加载期间通过动态链接(使用ld-linux.so)解决。nm工具可以生成程序定义和使用的所有符合列表。
ELF文件系列第四篇ELF文件静态结构中的字符串表和符号表
u011298001的博客
12-11 3514
默认字符串表 这节描述默认字符串表字符串表中包含有若干个以’null’结尾的字符串。在ELF文件中,这些字符串通常是符号的名字或者节的名字。当ELF文件的其它部分需要引用某个字符串时,只需要提供该字符串在字符串表中的序号即可。 字符串表中的第一个字符串(序号为 0)永远是”null”,它用于表示一个空的名字或者没有名字。所以,字符串表的第一个字节是’null’。字符串表也可以是空的,不含有任...
ELF解析04 - 字符串表/导入库表/符号表/导入表
a5right的博客
01-12 1504
本文主要讨论 里面的几个子表。我们先总体看下 :这里我们只需要关心图中两个画圆圈的地方。由于 的子表内容都在可加载段的范围里面,所以对这些子表的访问都是在虚拟内存里面进行的。 这个值我们可以自己静态分析使用,但是解析的时候不要用这个地址。包括 ,这些值都没用。有一个需要注意的地方,就是 的值要比 的值要大一个 PAGE 值。这是为啥呢?是因为第二个可加载段的映射偏差:可以看到在第二个可加载段在做内存映射的时候就有一个 PAGE 值的偏差,由于只要是放在第二个段里面的内容,就会有一个 PAGE 的
工具接口标准(TIS)可执行链接格式(ELF)规范-卷I-字符串表(String Table)
非凡之家
01-03 1139
本文是对Tool Interface Standard (TIS) Executable and Linking Format (ELF) Specification Version 1.2的翻译 工具接口标准(TIS)可执行链接格式(ELF)规范版本 1.2 翻译以中英对照方式,英语水品有限,如有翻译不当的地方,请谅解。 String Table 字符串表 This secti
字符串表
吉祥如意的博客
01-26 773
字符串的长度往往是不固定的,所以用固定的结构来表示它比较困难。 一种很常见的做法是把字符串集中起来存放到一个表,然后使用字符串在表中的偏移来引用字符串 偏移对应的字符串如下: 这样,引用字符串时,只需要给出一个数字下标即可,不用考虑字符串长度的问题。 ...
elf 加密 - 字符串加密 - 函数加密
06-30
elf 加密项目,功能有:1)字符串加密(.rodata),2)函数加密 加密算法PRESENT(分组密码算法,速度快,实现简单。但可以通过差分分析破解,折中考虑),密钥由blake244生成(单向哈希,SHA-3备选,速度快) ...
Radare2逆向隐写:ELF文件符号表劫持的字符串重构.pdf
最新发布
06-26
从隐写术到编码转换,从音频隐写到文件结构分析,CTF-Misc 教会你用技术的眼睛发现数据中的「彩蛋」。掌握 Stegsolve、CyberChef、Audacity 等工具,合法破解摩斯密码、二维码、LSB 隐写,在虚拟战场中提升网络安全...
ELF符号表隐写:GDB调试器提取动态链接库的隐藏字符串.pdf
06-10
从隐写术到编码转换,从音频隐写到文件结构分析,CTF-Misc 教会你用技术的眼睛发现数据中的「彩蛋」。掌握 Stegsolve、CyberChef、Audacity 等工具,合法破解摩斯密码、二维码、LSB 隐写,在虚拟战场中提升网络安全...
二进制文件隐写:Strings命令挖掘ELF文件中的可疑字符串.pdf
06-10
从隐写术到编码转换,从音频隐写到文件结构分析,CTF-Misc 教会你用技术的眼睛发现数据中的「彩蛋」。掌握 Stegsolve、CyberChef、Audacity 等工具,合法破解摩斯密码、二维码、LSB 隐写,在虚拟战场中提升网络安全...
ELF 文件格式分析(北京大学实验室出的标准版)
03-19
ELF文件由头文件、节区头部表、节区、符号表、字符串表等组成。头文件包含了关于整个ELF文件的基本信息,如文件类型、机器架构、入口点地址等。节区头部表则列出了文件中的所有节区,每个节区包含特定类型的数据,如...
字符串、列表(操作)
weixin_34206899的博客
08-25 125
字符串的索引与切片: # 索引 s = "QwErTyUiOp"s[0] # Q s[-1] # p s[-3] # i # 切片:顾头不顾尾 s = "QwErTyUiOp"s[0:4]   #QwErs[0:-1]  #QwErTyUiOs[:]   #QwErTyUiOps[0:]   #QwErTyUiOps[0:4:2]  #QEs[0:7:3]  #QrUs...
ELF Format 笔记(六)—— 字符串表
weixin_30244889的博客
06-30 187
ilocker:关注 Android 安全(新入行,0基础) QQ: 2597294287 字符串表中包含若干以 null 结尾的字符串,这些字符串通常是 symbol 或 section 的名字。当 ELF 文件的其它部分需要引用字符串时,只需提供该字符串在字符串表中的位置索引即可。 字符串表中首先是一个空串,用于表示一个空名字,所以字符串表的第一个字节是“\0”。 下图展示了一个长度为 ...
解析ELF 所有字符串相关的节
ylcangel的专栏
07-20 1761
只是解析字符串节,不是字符
字符串顺序表
caojinpei123的博客
08-06 2235
main.cpp #include&lt;iostream&gt; using std::cin; using std::cout; using std::endl; #define max 100 class SqString { public :     char *base;     int maxlen; public:     SqString();     SqString(char...
字符串 列表
xixlxl的博客
03-15 638
一.字符串的定义 第一种方式: str = ‘str’ In [1]: str='hello world' In [2]: print str hello world 第二种方式: srt=”str” In [4]: str="hello python" In [5]: print str hello python 第三种方式: str = “”“str”“...
字符串——列表
weixin_52781385的博客
04-29 2045
【字符串的定义:双引号或单引号里边的数据就是字符串】 【输入:可以让用户输入内容】
字符串、列表
into_the_new_world的博客
03-10 449
字符串 def main(): str1 = 'hello, world!' print(len(str1)) # 计算字符串的长度 print(str1.capitalize()) # 首字母大写 'Hello, world' print(str1.upper()) # 字符串全部转变为大写 'HELLO, WORLD' print(str...
重学计算机(三、elf文件布局和符号表)
酱油师兄的博客
11-28 2516
上一篇写了.o目标文件分析,.o文件只是一个.c文件通过汇编生成的一个可重定位文件,并没有真正进行链接,现在我们就分析一个链接完成后的可执行文件hello_world,经过两个文件的对比,让我们更好的掌握ELF文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值