ELF重定位分析

最新推荐文章于 2022-09-12 20:21:30 发布
最新推荐文章于 2022-09-12 20:21:30 发布
阅读量1.3k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: Linux 文章标签: linux ELF Relocation
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lingedeng/article/details/86577774

1. 变量访问

/////////////////////////////////////////////////////////////
//ml_mainpic_data.c
//gcc -fPIC -shared -g -o libmlpicdata.so ml_mainpic_data.c
int myglob = 42;

int ml_func(int a, int b) {
    myglob += a;
    return b + myglob;
}
/////////////////////////////////////////////////////////////

# objdump -d -Mintel libmlpicdata.so

00000000000006b8 <ml_func>:
 6b8:   55                      push   rbp
 6b9:   48 89 e5                mov    rbp,rsp
 6bc:   89 7d fc                mov    DWORD PTR [rbp-0x4],edi
 6bf:   89 75 f8                mov    DWORD PTR [rbp-0x8],esi
 6c2:   48 8b 05 0f 09 20 00    mov    rax,QWORD PTR [rip+0x20090f]        # 200fd8 <_DYNAMIC+0x1c8> 
 6c9:   8b 10                   mov    edx,DWORD PTR [rax]
 6cb:   8b 45 fc                mov    eax,DWORD PTR [rbp-0x4]
 6ce:   01 c2                   add    edx,eax
 6d0:   48 8b 05 01 09 20 00    mov    rax,QWORD PTR [rip+0x200901]        # 200fd8 <_DYNAMIC+0x1c8>
 6d7:   89 10                   mov    DWORD PTR [rax],edx
 6d9:   48 8b 05 f8 08 20 00    mov    rax,QWORD PTR [rip+0x2008f8]        # 200fd8 <_DYNAMIC+0x1c8>
 6e0:   8b 10                   mov    edx,DWORD PTR [rax]
 6e2:   8b 45 f8                mov    eax,DWORD PTR [rbp-0x8]
 6e5:   01 d0                   add    eax,edx
 6e7:   5d                      pop    rbp
 6e8:   c3                      ret 
 
 6c2:   48 8b 05 0f 09 20 00    mov    rax,QWORD PTR [rip+0x20090f] //获取GOT中myglob变量的地址并保存到rax
    该地址在程序正式执行前,在动态连接阶段由动态连接器生成
    rip指针指向下一条指令的地址,上面代码中保存的值0x6c9
    查看.rela.dyn节中,变量地址修改偏移0x200fd8,
    myglob变量与RIP中值的偏移值:0x200fd8-0x6c9=0x20090f
    
 6c9:   8b 10                   mov    edx,DWORD PTR [rax]    //获取myglob变量的值
    
动态连接器执行:
1. 查看可执行文件节头表,定位.dynamic节,确定需要加载的动态库,加载动态库(.dynamic)
# eu-readelf -d driver

Dynamic segment contains 31 entries:
 Addr: 0x0000000000600e08  Offset: 0x000e08  Link to section: [ 6] '.dynstr'
  Type              Value
  NEEDED            Shared library: [libmlpicdata.so]

2. 通过查看libmlpicdata.so节头表,定位.dynamic节,确定重定位信息
# eu-readelf -S libmlpicdata.so 
There are 33 section headers, starting at offset 0x1368:

Section Headers:
[Nr] Name                 Type         Addr             Off      Size     ES Flags Lk Inf Al
[ 0]                      NULL         0000000000000000 00000000 00000000  0        0   0  0
...
[ 3] .dynsym              DYNSYM       0000000000000230 00000230 00000150 24 A      4   2  8
...
[ 7] .rela.dyn            RELA         0000000000000470 00000470 000000d8 24 A      3   0  8
...
[19] .dynamic             DYNAMIC      0000000000200e10 00000e10 000001c0 16 WA     4   0  8
[20] .got                 PROGBITS     0000000000200fd0 00000fd0 00000030  8 WA     0   0  8
[21] .got.plt             PROGBITS     0000000000201000 00001000 00000028  8 WA     0   0  8
[22] .data                PROGBITS     0000000000201028 00001028 00000004  0 WA     0   0  4
...

3. 查看需要重定位的信息, RELA=0x0000000000000470
# eu-readelf -d libmlpicdata.so 

Dynamic segment contains 28 entries:
 Addr: 0x0000000000200e10  Offset: 0x000e10  Link to section: [ 4] '.dynstr'
  Type              Value
  ...
  PLTGOT            0x0000000000201000
  PLTRELSZ          48 (bytes)
  PLTREL            RELA
  JMPREL            0x0000000000000548
  RELA              0x0000000000000470
  RELASZ            216 (bytes)
  RELAENT           24 (bytes)
  ...
  
4. 通过查看libmlpicdata.so节头表, 定位.rela.dyn节, 变量myglob地址修改偏移0x200fd8
# readelf -r libmlpicdata.so 

重定位节 '.rela.dyn' 位于偏移量 0x470 含有 9 个条目:
  Offset          Info           Type           Sym. Value    Sym. Name + Addend
  ...
000000200fd8  000700000006 R_X86_64_GLOB_DAT 0000000000201028 myglob + 0
  ... 
  
#define ELF64_R_SYM(info) ((info)>>32)
#define ELF64_R_TYPE(info) ((Elf64_Word)(info))
#define ELF64_R_INFO(sym, type) (((Elf64_Xword)(sym)<<32)+(Elf64_Xword)(type))

Sym. Value = (Info)>>32 = 000700000006 >> 32 = 0x7 (.dynsym index) = 0000000000201028 (symbol virtual address)
Type = (unsigned ing)000700000006 = 0x6 = R_X86_64_GLOB_DAT

5. 通过查看libmlpicdata.so节头表, 定位.dynsym节,获得myglob变量的偏移0x2010128
eu-readelf -s libmlpicdata.so 

Symbol table [ 3] '.dynsym' contains 14 entries:
 2 local symbols  String table: [ 4] '.dynstr'
  Num:            Value   Size Type    Bind   Vis          Ndx Name
    ...
    7: 0000000000201028      4 OBJECT  GLOBAL DEFAULT       22 myglob  

6. gdb driver

name=./libmlpicdata.so (7 segments), address=0x7ffff7bd9000

(gdb) x/4xg 0x7ffff7dd9fd0
0x7ffff7dd9fd0: 0x0000000000000000      0x00007ffff7dda028
0x7ffff7dd9fe0: 0x0000000000000000      0x0000000000000000

(gdb) p &myglob
$1 = (int *) 0x7ffff7dda028 <myglob>

myglob地址重定位后保存位置绝对地址 = 加载地址(0x7ffff7bd9000) + 重定位改写地址(0x200fd8) = 0x7ffff7dd9fd8
myglob重定位后绝对地址 = 加载地址(0x7ffff7bd9000) + 变量虚拟地址偏移(0x201028) = 0x7ffff7dda028
2. 函数调用

///////////////////////////////////////////////////////
//ml_mainpic.c
//gcc -fPIC -shared -g -o libmlpic.so ml_mainpic.c
int myglob = 42;

int ml_util_func(int a) {
  return a + 1;
}

int ml_func(int a, int b) {
  int c = b + ml_util_func(a);
  myglob += c;
  return b + myglob; 
}
//////////////////////////////////////////////////////

x64: 过程链接表示例
.PLT0:
    pushq GOT+8(%rip) # GOT[1]
    jmp *GOT+16(%rip) # GOT[2]
    nop; nop
    nop; nop
.PLT1:
    jmp *name1@GOTPCREL(%rip) # 16 bytes from .PLT0
    pushq $index1
    jmp .PLT0
.PLT2:
    jmp *name2@GOTPCREL(%rip) # 16 bytes from .PLT1
    pushl $index2
    jmp .PLT0
    
以下步骤介绍了运行时链接程序和程序如何通过过程链接表和全局偏移表来协作解析符号引用。
1. 初始创建程序的内存映像时,运行时链接程序会将全局偏移表中的第二项和第三项设置为特殊值。以下步骤说明了这些值。
2. 进程映像中的每个共享目标文件都有各自的过程链接表,并且控制权仅转移给位于同一目标文件内的过程链接表项。
3. 例如,该程序会调用 name1,以将控制权转移给标签 .PLT1。
4. 第一条指令会跳至全局偏移表项中对应于 name1 的地址。最初,全局偏移表保存下一条 pushq 指令的地址,而不是 name1 的实际地址。
5. 该程序将在栈中推送一个重定位索引 (index1)。该重定位索引是重定位表中一个32位的非负索引。重定位表由动态节(.dynamic)中的 JMPREL 项标识。
指定的重定位项的类型为R_X86_64_JMP_SLOT,其偏移指定了前面的jmp指令中使用的全局偏移表项。该重定位项还包含符号表索引,以供运行时链接程序用于获取引用的符号 name1。
6. 推送该重定位索引后,程序将跳至过程链接表中的第一项 .PLT0。
pushq 指令会在栈中推送全局偏移表的第二项 (GOT+8) 的值,从而为运行时链接程序提供一个字的标识信息。
然后,程序将跳至第三个全局偏移表项 (GOT+16) 中的地址,以继续跳至运行时链接程序。
7. 运行时链接程序将展开栈、检查指定的重定位项、获取符号的值、在全局偏移项表中存储 name1 的实际地址并跳至目标。
8. 过程链接表项的后续执行结果会直接传输给 name1,而不会再次调用运行时链接程序。位于 .PLT1 的 jmp 指令将跳至 name1,而不是对 pushq 指令调用

每一个PLT项都有一个与之对应的GOT slot。
启动时,动态连接器会使用与GOT对应的PLT第二条语句(pushq $index*)的地址填充GOT slot。

静态分析:
# objdump -d libmlpic.so

libmlpic.so:     文件格式 elf64-x86-64
... 

Disassembly of section .plt:
00000000000005e0 <__gmon_start__@plt-0x10>:
 5e0:   ff 35 22 0a 20 00       pushq  0x200a22(%rip)        # 201008 <_GLOBAL_OFFSET_TABLE_+0x8>
 5e6:   ff 25 24 0a 20 00       jmpq   *0x200a24(%rip)        # 201010 <_GLOBAL_OFFSET_TABLE_+0x10>
 5ec:   0f 1f 40 00             nopl   0x0(%rax)

00000000000005f0 <__gmon_start__@plt>:
 5f0:   ff 25 22 0a 20 00       jmpq   *0x200a22(%rip)        # 201018 <_GLOBAL_OFFSET_TABLE_+0x18>
 5f6:   68 00 00 00 00          pushq  $0x0
 5fb:   e9 e0 ff ff ff          jmpq   5e0 <_init+0x20>

0000000000000600 <ml_util_func@plt>:
 600:   ff 25 1a 0a 20 00       jmpq   *0x200a1a(%rip)        # 201020 <_GLOBAL_OFFSET_TABLE_+0x20>
 606:   68 01 00 00 00          pushq  $0x1
 60b:   e9 d0 ff ff ff          jmpq   5e0 <_init+0x20>

Disassembly of section .text:
0000000000000708 <ml_util_func>:
 708:   55                      push   %rbp
 709:   48 89 e5                mov    %rsp,%rbp
 70c:   89 7d fc                mov    %edi,-0x4(%rbp)
 70f:   8b 45 fc                mov    -0x4(%rbp),%eax
 712:   83 c0 01                add    $0x1,%eax
 715:   5d                      pop    %rbp
 716:   c3                      retq   

0000000000000717 <ml_func>:
 717:   55                      push   %rbp
 718:   48 89 e5                mov    %rsp,%rbp
 71b:   48 83 ec 20             sub    $0x20,%rsp
 71f:   89 7d ec                mov    %edi,-0x14(%rbp)
 722:   89 75 e8                mov    %esi,-0x18(%rbp)
 725:   8b 45 ec                mov    -0x14(%rbp),%eax
 728:   89 c7                   mov    %eax,%edi
 72a:   e8 d1 fe ff ff          callq  600 <ml_util_func@plt>
 72f:   8b 55 e8                mov    -0x18(%rbp),%edx
 732:   01 d0                   add    %edx,%eax

# eu-readelf -S libmlpic.so
There are 33 section headers, starting at offset 0x13e0:

Section Headers:
[Nr] Name                 Type         Addr             Off      Size     ES Flags Lk Inf Al
[ 0]                      NULL         0000000000000000 00000000 00000000  0        0   0  0
...
[ 3] .dynsym              DYNSYM       0000000000000238 00000238 00000168 24 A      4   2  8
...
[ 8] .rela.plt            RELA         0000000000000578 00000578 00000048 24 A      3  10  8
...
[10] .plt                 PROGBITS     00000000000005e0 000005e0 00000040 16 AX     0   0 16
...
[19] .dynamic             DYNAMIC      0000000000200e10 00000e10 000001c0 16 WA     4   0  8
[20] .got                 PROGBITS     0000000000200fd0 00000fd0 00000030  8 WA     0   0  8
[21] .got.plt             PROGBITS     0000000000201000 00001000 00000030  8 WA     0   0  8
...

# eu-readelf -r libmlpic.so

Relocation section [ 7] '.rela.dyn' at offset 0x4a0 contains 9 entries:
  Offset              Type            Value               Addend Name
  0x0000000000200df0  X86_64_RELATIVE 000000000000000000   +1744 
  ...

Relocation section [ 8] '.rela.plt' for section [10] '.plt' at offset 0x578 contains 3 entries:
  Offset              Type            Value               Addend Name
  0x0000000000201018  X86_64_JUMP_SLOT 000000000000000000      +0 __gmon_start__
  0x0000000000201020  X86_64_JUMP_SLOT 0x0000000000000708      +0 ml_util_func
  0x0000000000201028  X86_64_JUMP_SLOT 000000000000000000      +0 __cxa_finalize
  

动态分析:
name=./libmlpic.so (7 segments), address=0x7ffff7bd9000

PLT绝对地址 = 加载地址(0x7ffff7bd9000) + 虚拟地址偏移(0x5e0) = 0x7ffff7bd95e0

(gdb) x/8xg 0x7ffff7bd95e0
0x7ffff7bd95e0 <__gmon_start__@plt-0x10>:     0x25ff00200a2235ff      0x00401f0f00200a24
0x7ffff7bd95f0 <__gmon_start__@plt>:        0x006800200a2225ff      0xffffffe0e9000000
0x7ffff7bd9600 <ml_util_func@plt>:          0x016800200a1a25ff      0xffffffd0e9000000
0x7ffff7bd9610 <__cxa_finalize@plt>:        0x026800200a1225ff      0xffffffc0e9000000

0x7ffff7bd9600 <ml_util_func@plt>:      0x016800200a1a25ff      0xffffffd0e9000000
 7ffff7bd9600:   ff 25 1a 0a 20 00       jmpq   *0x200a1a(%rip)        # 201020 <_GLOBAL_OFFSET_TABLE_+0x20>
 7ffff7bd9606:   68 01 00 00 00          pushq  $0x1
 7ffff7bd960b:   e9 d0 ff ff ff          jmpq   5e0 <_init+0x20>

.got节用于保存变量重定位地址,.got.plt节用于保存函数重定位地址。

函数使用的got(.got.plt)绝对地址 = 加载地址(0x7ffff7bd9000) + 虚拟地址偏移(0x201000) = 0x7ffff7dda000
调用ml_util_func之前got内容:
(gdb) x/6xg 0x7ffff7dda000
0x7ffff7dda000: 0x0000000000200e10      0x00007ffff7ff96b0
0x7ffff7dda010: 0x00007ffff7df18a0      0x00007ffff7bd95f6
0x7ffff7dda020: 0x00007ffff7bd9606      0x00007ffff7bd9616

got中第一项为指向.dynamic节的偏移地址,与节信息中的[19] .dynamic对应
got中第二、三项为特殊值,用于调用ld-linux*.so
ml_util_func地址重定位后保存位置绝对地址 = 加载地址(0x7ffff7bd9606) + 偏移(0x200a1a) = 0x7ffff7dda020,其保存的地址为0x00007ffff7bd9606, 即为pushq  $0x1的地址

调用ml_util_func之后got内容:
(gdb) n
9               myglob += c;
(gdb) x/6xg 0x7ffff7dda000
0x7ffff7dda000: 0x0000000000200e10      0x00007ffff7ff96b0
0x7ffff7dda010: 0x00007ffff7df18a0      0x00007ffff7bd95f6
0x7ffff7dda020: 0x00007ffff7bd9708      0x00007ffff7bd9616
(gdb) p &ml_util_func
$1 = (int (*)(int)) 0x7ffff7bd9708 <ml_util_func>

执行函数调用后,ml_util_func地址重定位后保存位置绝对地址 = 0x7ffff7dda020,其保存的地址为0x00007ffff7bd9708, 即为ml_util_func的地址

3. 驱动代码

////////////////////////////////////////////////////////////////////
//driver.c
//gcc -g -std=c99 -Wl,-rpath,. -o driver_data driver.c -L. -lmlpicdata
//gcc -g -std=c99 -Wl,-rpath,. -o driver_func driver.c -L. -lmlpic
#define _GNU_SOURCE

#include <link.h>
#include <stdlib.h>
#include <stdio.h>

static int header_handler(struct dl_phdr_info* info, size_t size, void* data) { 
  printf("name=%s (%d segments), address=%p\n",
    info->dlpi_name, info->dlpi_phnum, (void *)info->dlpi_addr);

  for (int i=0; i<info->dlpi_phnum; ++i) {
    printf("\t\theader %02d: address=%10p\n", i,
      (void *)(info->dlpi_addr + info->dlpi_phdr[i].p_vaddr));
    printf("\t\t\ttype=%u, flags=0x%x\n",
      info->dlpi_phdr[i].p_type, info->dlpi_phdr[i].p_flags);
  }
  printf("\n");
  return 0;
}

extern int ml_func(int, int);

int main(int argc, char* argv[]) {
  dl_iterate_phdr(header_handler, NULL);

  int t = ml_func(argc, argc);
  return t;
}
////////////////////////////////////////////////////////////////////

 

ELF函数重定位问题
ayu_ag的专栏
11-28 5448
一、背景 gcc将代码编译为.o,ld将.o连接为.so或者可执行程序,可执行程序在使用PIC方式的.so时,都会遇到函数重定位的问题,本文对该问题进行分析。 二、静态连接 代码示例: x.c: #include void foo() { printf("foo\n"); }main.c: extern void foo(void); int main(void) {
elf文件连接的理解()-重定位概述
johnzzpcrystal的专栏
06-04 1019
elf文件时linux下的ke
ELF重定位
RToax
10-30 2589
在工作和学习中,越发发现ELF文件格式的重要性,今天简单谈谈ELF重定位重定位技术实际上是给二进制打补丁的机制,如果使用了动态连接器,可以使用重定位在内存打热补丁。 ELF重定位重定位技术实际上是给二进制打补丁的机制,如果使用了动态连接器,可以使用重定位在内存打热补丁。https://mp.weixin.qq.com/s?__biz=MzAxNjIyNDgzNw==&mid=2247488904&idx=1&sn=78cb9a50f76b471d760e37be0527a02..
linuxelf重定位理解
大雄不爱吃肉
01-11 1704
准备:可重定位文件(Relocatable file),可执行文件(Executable file),共享文件(Shared object file)。 Relocatable file: an object file that holds code and data suitable for linking with other object files to create a
ELF格式的重定位原理分析
GetnextWindow的专栏
05-07 6295
前面有篇文章分析ELF格式,也只是让我们对目标文件有了一个大概的了解,并没有说明一个十分重要的问题:重定位,今天重新看了下重定位的资料,终于弄懂了重定位的过程,下面来做一个分析。 我们将使用下面两个源代码中的文件a.c和b.c展开分析: //a.c extern int shared; int main() { int a=100; swap(&a,&shared); } //b.c i
ELF文件系列第五篇ELF文件静态结构中的重定位
u011298001的博客
12-12 3067
重定位 重定位(relocation)是把符号引用与符号定义连接在一起的过程。当程序调用一个函数时,将从当前运行的指令跳转到一个新的指令地址去执行。在编写程序的时候,只需指明所要调用的函数名(即符号引用),在重定位的过程中,函数名会与实际的函数所在地址(即符号定义)联系起来,使程序知道应该跳转到哪里去。 重定位文件必须知道如何修改其所包含的“节”的内容,在构建可执行文件或共享目标文件的时候,把...
ELF重定位Relocation Sections
RToax
03-14 1027
Relocation Sections (Linker and Libraries Guide) https://docs.oracle.com/cd/E19120-01/open.solaris/819-0690/6n33n7fct/index.html 目录 Relocation Sections (Linker and Libraries Guide) https://docs.oracle.com/cd/E19120-01/open.solaris/819-0690/6n33n7fct/inde
典型的ELF重定位目标文件
skywalker_leo的专栏
02-02 6715
夹在ELF头和节头部表之间的都是节。一个典型的ELF重定位目标文件包含下面几个节: .text:已编译程序的机器代码。.rodata:只读数据,比如printf语句中的格式串和开关(switch)语句的跳转表。.data:已初始化的全局C变量。局部C变量在运行时被保存在栈中,既不出现在.data中,也不出现在.bss节中。.bss:未初始化的全局C变量。在目标文件中这个节不占据实际的空间,
Python-Exodus这个工具可以轻松地将LinuxELF二进制文件从一个系统重定位到另一个系统
08-12
Exodus:这个工具可以轻松地将Linux ELF二进制文件从一个系统重定位到另一个系统
ELF obj文件重定位信息分析
01-02
分析ELF obj文件中重定位信息
ELF重定位简介
astrotycoon
12-20 3567
Relocation 重定位 Relocation is the process of connecting symbolic references with symbolic definitions. For example, when a program calls a function, the associated call instruction must transfer contr...
android elf 重定位,elf重定位记录
weixin_28854171的博客
05-27 279
注:部分引用自https://blog.youkuaiyun.com/ylcangel/article/details/18188921一.相关概念:重定位条目:当汇编器生成一个目标模块时,它并不知道数据和代码最终将存放在存储器中的什么位置。它也不知道这个模块引用的任何外部定义的函数和全局变量。所以,无论何时汇编器遇到对最终位置未指定目标引用,它就会生成一个重定位条目,告诉链接器在将目标文件合并可执行文件时如...
ELF学习--重定位文件
weixin_34239592的博客
12-10 148
add.c int data = 1;int bss;const int rodata = 1;int add(int num1, int num2){   int sum = 0;   sum = num1 + num2;   return sum;} 编译add.c成.o文件 gcc -c add.c(-c表示只编译不链接) file add.o输出结果如下: ...
elf重定位记录
qq_30025621的博客
04-07 540
注:部分引用自https://blog.youkuaiyun.com/ylcangel/article/details/18188921 一.相关概念: 重定位条目:当汇编器生成一个目标模块时,它并不知道数据和代码最终将存放在存储器中的什么位置。它也不知道这个模块引用的任何外部定义的函数和全局变量。所以,无论何时汇编器遇到对最终位置未指定目标引用,它就会生成一个重定位条目,告诉链接器在将目标文件合并可执行...
Linux逆向---ELF符号和重定位
zekdot的博客
12-02 2763
ELF符号 符号是对某些类型的数据或者代码(全局变量、函数等)的符号引用,例如printf函数会在动态符号表.dynsym中存有一个指向该函数的符号条目。 .dynsym保存了引用来自外部文件符号的全局符号,.symtab中还保存了可执行文件的本地符号,如全局变量等,.dynsym保存的符号是.symtab保存的符号的子集。 .dynsym在程序运行时会被分配并装载进内存,主要用于动态链接可执行文...
4. ELF重定位目标文件
qq_61300276的博客
09-12 997
ELF重定位目标文件格式
ELF重定位目标文件详解
weixin_44711653的博客
10-04 999
#(1)典型的ELF重定位目标文件(由一个ELF头,若干节和一个节头部表组成),如下图所示 摘自百度图片。 #(2)实例源程序 main.c int sum(int *a, int n);//声明sum函数,入口参数是一个整型指针变量a和一个整型变量n,返回值为整型 int array[2] = {1, 2};//定义了一个含两个元素的整型全局数组array,并完成初始化 in...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值