elf文件查找函数的过程

最新推荐文章于 2025-06-19 10:55:51 发布
原创 最新推荐文章于 2025-06-19 10:55:51 发布 · 2.4k 阅读 · 0 ·
CC 4.0 BY-SA版权
本文为博主原创文章,未经博主允许不得转载。
文章标签:

#汇编 #file #table #c

本文详细介绍了如何通过反编译工具objdump来逐步解析ELF格式程序的动态链接过程,包括定位printf函数调用、分析.got.plt和.plt段的内容,以及解释懒惰链接的工作原理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

要反编译的程序:hello.c
#include<stdio.h>
int main()
{
   printf("Hello World!/n");
   return 0;
}
 
1.对hello进行反汇编,并查找包含"printf"的行;
可以看到它调用了地址0x80482b0的函数;
[root@localhost src]# objdump -d hello | grep printf
080482b0 <printf@plt>:
 804838c:       e8 1f ff ff ff          call   80482b0 <printf@plt>

2.对hello的.got.plt部分进行反汇编;
[root@localhost src]# objdump -d -j .got.plt hello                                  
                                                                                    
hello:     file format elf32-i386                                                   
                                                                                    
Disassembly of section .got.plt:                                                    
                                                                                    
08049570 <_GLOBAL_OFFSET_TABLE_>:                                                   
 8049570:       a4 94 04 08 00 00 00 00 00 00 00 00 a6 82 04 08     ................
 8049580:       b6 82 04 08  

3.对hello进行反汇编,并查找包含".rel.plt"的行;
[root@localhost src]# objdump -s hello | grep .rel.plt -A3
Contents of section .rel.plt:
 8048268 7c950408 07010000 80950408 07020000  |...............
Contents of section .init:
 8048278 5589e583 ec08e861 000000e8 b4000000  U......a........

4.显示所有的Section,并查找包含.got.plt 的行;
[root@localhost src]# readelf -S hello | grep .got.plt
  [21] .got.plt          PROGBITS        08049570 000570 000014 04  WA  0   0  4

5.对hello的plt部分进行反汇编,可以看到地址0x80482b0 处的汇编代码,
jmp    *0x8049580 语句的意思是跳转到got,从第二步可以看到,它跳到了got中;
got中的内容为b6 82 04 08 ,它的小字节序是08 04 82 b6;
地址0x080482b又是plt中的push   $0x8,0x8是在重定向表中的偏移量,可以从第三步看到;
jmp    8048290 <_init+0x18>  又跳到了plt的开头;
pushl  0x8049574  0x8049574位于got中;
jmp    *0x8049578      然后调用位于0x8049578 的东西,但是该位置是零。

[root@localhost src]# objdump -d -j .plt hello                     
                                                                   
hello:     file format elf32-i386                                  
                                                                   
Disassembly of section .plt:                                       
                                                                   
08048290 <__libc_start_main@plt-0x10>:                             
 8048290:       ff 35 74 95 04 08       pushl  0x8049574           
 8048296:       ff 25 78 95 04 08       jmp    *0x8049578          
 804829c:       00 00                   add    %al,(%eax)          
        ...                                                        
                                                                   
080482a0 <__libc_start_main@plt>:                                  
 80482a0:       ff 25 7c 95 04 08       jmp    *0x804957c          
 80482a6:       68 00 00 00 00          push   $0x0                
 80482ab:       e9 e0 ff ff ff          jmp    8048290 <_init+0x18>
                                                                   
080482b0 <printf@plt>:                                             
 80482b0:       ff 25 80 95 04 08       jmp    *0x8049580          
 80482b6:       68 08 00 00 00          push   $0x8                
 80482bb:       e9 d0 ff ff ff          jmp    8048290 <_init+0x18>
                                       ....            
这个过程叫做懒惰链接,因为重定向只发生在运行并且需要时,只要链接器完成了第一次查找,
链接器将会修改got表项,使得调用plt中的函数时,直接跳到got中,再跳到真正的函数哪里,而不是像
上面那样回到plt中,将重定向表中的偏移量入栈。   

参考1:http://em386.blogspot.com/2006/10/resolving-elf-relocation-name-symbols.html

内核级病毒与木马攻防:ELF文件的符号表和函数调用追踪
tyler_download的专栏
07-28 667
熟悉编译原理的同学一定了解何为符号,所谓符号其实是一种数据结构,用来描述编程语言中定义的特定对象。例如编程语言中定义的变量,函数都有特定的符号用于描述他们的性质。例如变量对应的符号中包含了变量对应的字符串名称,变量的类型,以及变量对应的内存。函数对应的符号包含了函数名称字符串,函数的返回值类型,函数入口内存地址等,在代码调试时,你把鼠标挪动到变量所在位置,IDE就给你显示出变量当前的取值等信息,这些信息就来自变量对应的符号,我在有关编译原理的两门课程里对符号有非常深入的讲解。 在elf文件中存在两种符号表,
编译过程ELF文件
菜鸟进阶之路
04-19 4045
目录 一、C/C++编译过程 二、ELF文件 三、符号解析和重定位 四、静态链接和动态链接 一、C/C++编译过程 C/C++程序从源代码到可执行文件需要经理预处理(预编译),编译,汇编,链接四个过程: 1、预处理:对源代码中的伪指令(以# 开头的指令)和特殊符号进行处理,如#include指令,预处理会将对应的头文件(即.h文件,声明全局变量和函数,相当于jav...
如何在Linux ELF格式的文件(可执行binary,以及so文件)中定位到对应函数位置
simaowebex的博客
12-16 3046
Linux ELF格式解析 https://en.wikipedia.org/wiki/Executable_and_Linkable_Format readelf -h (headers) readelf -l (segments program headers) readelf -S (sections) readelf -s (symbols) 一个ELF文件结构如下 如何定位一个函
随笔-ELF的动态解析中,函数查找的必要条件
Atlantis's Blog
01-08 519
基本知识,.plt中前一半是jmp跳转.got.plt中存的地址。这个地址一开始是写plt表项中的后一半指令,即push id;jmp xx。这里的id是这个函数在plt中的顺序,一个二进制中是固定的用于指明要找谁。这个xx就是交由动态解析函数去找这个函数。 关于使用到的符号函数,可以用“readelf -r bin”读取.rela.dyn的信息看;同样,可以用“objdump -tT lib...
ATE测试—新手入门学习(一)
最新发布
2501_92513028的博客
06-19 690
CP测试,英文全称Circuit Probing、Chip Probing,也称为晶圆测试或中测,测试对象是整片wafer的每一个Die,目的是确保整片wafer中的每一个Die都能满足器件的特征或者设计规格书,通常包括电压、电流、时序和功能的验证。通过CP测试,可以筛选出不良的DIE,减少封装和测试的成本,同时优化生产流程,提高良品率在CP测试过程中,由于芯片的管脚全部裸露在外,需要使用探针台和探针卡等设备,通过探针将裸露的芯片管脚与测试机相连,进行测试。另一方面,机器能比人识别更加精密的芯片。
elf文件函数方法
逆风水手的博客
04-07 531
其中,-t 选项表示要显示 ELF 文件的符号表,grep 命令用于过滤出包含指定函数名的行。如果输出结果中包含了你的函数名,那么就说明该函数已经被编译进了 ELF 文件
Android readelf 工具查找函数符号
简单记录工作和学习
01-08 1277
readelf 是一个用于显示 ELF 文件的信息的工具,它可以显示 ELF 文件的各个部分的详细信息,例如头部信息、节(section)表、符号表、动态重定位表等。
手动查找elf导出表函数
浅浅徘徊的博客
01-20 1272
char* find_module_by_name(char *name){ FILE* fp = fopen("/proc/self/maps","r"); char line[1024] ={0}; char* ptr = NULL; if(fp){ while (fgets(line,1024,fp)){ if(strs...
Android ELF文件根据函数查找函数位置
qq_16812035的博客
02-22 2062
一、前言 最近一段时间,工作比较空闲,准备研究下so文件上的函数加密和函数名混淆,首先从根据函数名找到对应代码开始。记得很早之前,自己写过一个ELF解析工具,到现在都忘得差不多了,趁现在这个机会,顺便复习下。本文给出两种方法来查找函数代码位置,第一种是直接遍历动态符号表,取出字符串与目标函数名比较,找到之后,根据里面的字段来得到函数代码位置。第二种是根据ELF文件中的hash节来遍历动态符号表,...
ELF文件的加载和动态链接过程
08-03
在本例中,`main`函数调用了`printf`函数,这是一个动态链接库函数,不在ELF文件中定义,因此需要进行动态链接。 动态链接是在程序运行过程中完成的,主要由动态链接器(通常是`/lib64/ld-linux-x86-64.so.2`或`/...
Android 加载执行ELF可执行文件
05-08
3. **加载ELF**:在JNI方法中,使用`dlopen()`函数加载ELF文件,然后通过`dlsym()`获取并调用ELF中的函数。 4. **执行操作**:执行ELF文件中的特定函数,实现需要的功能。 5. **处理结果**:将执行结果从本地代码...
x86和x86-64 ELF二进制文件反编译
01-27
x86和x86-64 ELF二进制文件反编译器-源码
linux-如何ELF文件中包含的函数名称和参数?
weixin_40876882的博客
03-09 2813
如果文件的字节,我肯定会在其中看到一些函数名称. 有什么工具可以帮我列出它们吗? 甚至他们的参数呢? 这应该在目标文件或库中打印所有已定义的符号. nm -C --defined-only /usr/lib64/libQtCore.so nm有很多选项可用于过滤符号,例如-g仅用于显示全局符号,-l用于打印行号(如果您已使用gcc -g启用调试符号)等等. 如果您使用的是ELF格式的二进制文件(看起来像您的情况),则也可以使用readelf readelf -Ws /usr/lib64/
二进制安全-ELF-实验:函数定义对应的源码文件
深度安全实验室
04-15 370
二进制安全-ELF-实验:函数定义对应的源码文件
elf 格式分析----函数解析
inquisiter
04-13 1638
https://github.com/elfmaster/libelfmaster 这里是个不错的解析elf的c代码。 寻找导出函数对应偏移 我感觉文字没有代码明白,看下别人怎么写的,立马明白了。 mem指向elf文件加载的地址连续空间。 typedef struct { unsigned char e_ident[EI_NIDENT]; /* Magic number and other i...
ELF文件 --- 地址偏移
happylzs2008的专栏
06-06 828
http://bdxnote.blog.163.com/blog/#m=0&t=1&c=fks_084074083085081067084084080095092082085071086085083 如何在Linux ELF格式的文件(可执行binary,以及so文件)中定位到对应函数位置 https://blog.youkuaiyun.com/simaowebex/article/details/53691743 在Linux ELF格式的文件中定位到对应函数位置 htt...
在Linux ELF格式的文件中定位到对应函数位置
SweeNeil
11-09 6995
转自: https://blog.youkuaiyun.com/simaowebex/article/details/53691743 1、Linux ELF文件格式解析 readelf -h elfname (headers) readelf -l elfname (segments program headers) readelf -S elfname (sections) readelf ...
C语言实现读取elf文件的字符串表,符号表
qq_57973134的博客
01-11 1030
C语言实现读取elf文件的字符串表,符号表
ELF符号表分析
astrotycoon
12-20 9347
Symbol Table An object file's symbol table holds information needed to locate and relocate a program's symbolic definitions and references. A symbol table index is a subscript into this array. Index ...
elf文件解析过程
03-28
### 解析ELF文件过程 #### 1. 文件头解析 ELF文件的起始部分是文件头(File Header),它提供了关于整个文件的关键元数据。通过读取文件头,可以获取到文件类型、目标机器架构、入口点地址以及其他重要信息。这些信息对于后续解析至关重要[^4]。 ```c typedef struct { unsigned char e_ident[EI_NIDENT]; // ELF 魔数和其他标识符 Elf32_Half e_type; // 文件类型 (可执行, 库等) Elf32_Half e_machine; // 目标硬件平台 Elf32_Word e_version; // 版本号 Elf32_Addr e_entry; // 程序入口点虚拟地址 Elf32_Off e_phoff; // 程序头表偏移量 Elf32_Off e_shoff; // 节头表偏移量 } Elf32_Ehdr; ``` 上述代码展示了ELF文件头的主要字段及其含义。其中 `e_ident` 是一个固定长度数组,用于存储魔数和版本信息;而其他字段则描述了文件的基本属性。 #### 2. 使用工具ELF文件内容 在Linux环境中,有多种命令行工具可以帮助快速浏览和分析ELF文件的内容。常用的工具有: - **readelf**: 显示ELF文件的各种信息,包括头部、节区、段等内容。 - **objdump**: 提供更详细的反汇编功能,能够展示二进制指令流。 - **hexdump/od/vim**: 这些工具允许以十六进制或其他形式直观地观察原始字节序列[^2]。 例如,运行以下命令即可看某个ELF文件的部分详情: ```bash $ readelf -h /path/to/binary ``` 此操作会打印出该二进制文件的全局概述,帮助开发者初步判断其特性。 #### 3. 符号表与重定位表的作用 符号表记录了函数名、变量名及其他命名实体的位置映射关系,便于调试器查找特定位置的数据项或者调用外部库中的方法。另一方面,当链接多个对象模块时,可能会涉及地址调整工作——这就是所谓的“重定位”。因此,重定位表用来指导加载器修改某些内存单元上的数值以便适应最终运行环境下的实际情况[^3]。 以下是符号表条目的一般结构示例: ```c typedef struct { Elf32_Word st_name; /* Symbol name index */ Elf32_Addr st_value; /* Value or address associated with the symbol */ Elf32_Word st_size; /* Size of the symbol */ unsigned char st_info; /* Type and binding attributes */ unsigned char st_other; /* Reserved field */ Elf32_Section st_shndx; /* Section table index where it resides */ } Elf32_Sym; ``` 这里列出了每个符号对应的名称索引、值域大小以及所属分区编号等参数。 --- ### 总结 综上所述,解析ELF文件通常遵循从整体框架入手逐步细化至局部特性的原则。先利用专门设计好的实用程序提取基本信息作为切入点,再深入研究内部组成部分如符号表和重定位机制等功能实现原理[^1]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值