dl_iterate_phdr

最新推荐文章于 2025-07-29 17:44:13 发布
转载 最新推荐文章于 2025-07-29 17:44:13 发布 · 6.1k 阅读 · 0

http://www.helplib.net/s/linux.die/65_1099/man-3-dl-iterate-phdr.shtml

dl_iterate_phdr(3)linux man page

名称

dl_iterate_phdr 遍历共享对象列表

staging 模块

# define  _gnu_source /*看到feature_test_macros(7)*/
# include<<a href="http://linux.die.net/include/link.h" rel="nofollow">link.h>
 int  dl_iterate_phdr( 
int(*回调)(struct dl_phdr_info  *info ,
 size_t 大小, void *数据),
 void *数据);

描述

在dl_iterate_phdr()函数允许在运行一个查询时间来找出哪个已加载的共享对象.

在dl_iterate_phdr()通过一个共享的对象列表函数教每个对象,并调用函数回调后 ,, 直到所有共享对象已被处理或回调返回一个非零值.

每个回调接收三个参数 :info ,它是指向一个结构包含共享信息的对象;的结构的大小,这个大小是通过信息;和数据,而这是作为参数传递的任何值由调用程序的副本(还可以访问数据)在调用 dl_iterate_phdr().

info 参数是以下类型的结构:

 struct  dl_phdr_info{ 
 elfw(addr)dlpi_addr  ;/ *基对象的地址 */ 
 const  char  *dlpi_name  ;/  *(null 结尾)名称
对象 */ 
 const  elfw(phdr)*dlpi_phdr  ;/ *指针数组
 elf 程序头
对于此对象 */ 
elfw(半)dlpi_phnum ;/  *# 在 dlpi_phdr  */ 
 };
(在elfw()宏定义打开它的参数到适合的硬件架构的 elf 数据类型的名称.例如,在一个 32 位平台上,elfw(addr)产生的数据类型名称 elf32_addr .这种类型的进一步信息,可在和头文件 .)
dlpi_addr 字段指示基地址共享对象(即,的共享内存的虚拟地址之间的差异.和该对象在它加载的偏移).在 dlpi_name 字段是 null 结尾字符串给定路径名从其中加载的共享对象.
为了理解 dlpi_phdr 和 dlpi_phnum 字段的含义,我们需要知道 elf 对象共享由一个线段数目,每个成员都有一个相应的程序头描述该线段.此共享的程序头的字段是一个指针数组 dlpi_phdr 对象.在 dlpi_phnum 字段指示此数组的大小.
这些程序头结构采用以下格式: 
 typedef  struct{ 
 elf32_word  p_type  ;/ *线段类型* ./ 
 elf32_off  p_offset  ;/ *段文件偏移 */ 
 elf32_addr  p_vaddr  ;/ *段虚拟地址 */ 
 elf32_addr  p_paddr  ;/ *段物理地址 */ 
 elf32_word  p_filesz  ;/ *在文件的段大小 */ 
 elf32_word  p_memsz  ;/ *内存中的段大小 */ 
 elf32_word  p_flags  ;/  ** 段标志/
 elf32_word  p_align  ;/  ** 段对齐/
 }elf32_phdr ;
注意,我们可以计算特定程序头的位置 .x ,在虚拟内存使用公式: 
 addr ==信息>dlpi_addr+ info>dlpi_phdr[x].p_vaddr;

返回值

在dl_iterate_phdr()回调函数返回的最后调用返回的任何值.

版本

dl_iterate_phdr()已自版本的 glibc 2.2.4.

符合

在dl_iterate_phdr()函数是 linux 特定的应避免在便携应用的.

示例

下面的程序中显示的工作列表已加载的共享对象.为每个共享的对象,该程序列出的地址空间和虚拟对象的 elf 段加载.

#定义 _gnu_source 
# include<<a href="http://linux.die.net/include/link.h" rel="nofollow">link.h>
# include<<a href="http://linux.die.net/include/stdlib.h" rel="nofollow">stdlib.h>
# include<<a href="http://linux.die.net/include/3.3.3" rel="nofollow">3.3.3>
 static  int 
回调(struct dl_phdr_info  *info , size_t 大小, void *数据)
{
 int j;
 printf(" name =%s(段% d) n", info>dlpi_name .
 info>dlpi_phnum); 
对于(j=0 ;jdlpi_phnum  ;j + +) 
 printf("tt% 2d :地址=% 10p n",j.
 (void  *)(info>dlpi_addr + info>dlpi_phdr[j].p_vaddr)); 
 return 0;
}
 int 
主(int argc , char  *argv[]) 
{
 dl_iterate_phdr(callback , null); 
退出(exit_success);
}
GOT Hook的简单实现与原理
Mrack
06-09 1483
简述 有什么用? ​ 通过hook全局符号表实现各种黑科技功能,比如我们可以hook open,write和read监控文件的IO读写,hook malloc,calloc,realloc 和 free统计分配了多少内存,内存是否被泄露,也可以对其他进程进行hook实现各种 黑科技功能(root),这种hook方式比较简单,只需更改表中符号地址即可,但只能hook导入函数。 ELF ​ ELF是一种用于二进制文件、可执行文件、目标代码、共享库和核心转储格式文件。 具体实现 1. 获取模块基址 ​ Elf
浅析house of banana(上)
2301_79327647的博客
10-19 1108
程序通过exit退出时,会调用一个名叫rtld_global的结构体中的一系列函数来进行诸如恢复寄存器,清除缓冲区等操作,只要我们能够控制_rtld_global中的link_map结构体为我们伪造的link_map结构体。就可以使得array指向我们可控的数据区,从而伪造好一系列函数,进而劫持程序的流。
dl_iterate_phdr函数
“Struggle”的博客
03-12 1323
需要注意的是,dl_iterate_phdr 是一个系统特定的函数,并不是所有的操作系统都提供这个函数。在某些平台上(如 macOS 11.1),这个函数可能是不存在的。该函数遍历共享对象列表,对每次共享对象调用一次回调函数,知道所有的共享对象都遍历完了或者返回一个非零值。dl_iterate_phdr 函数的主要作用是提供一种机制,让程序能够动态地获取到系统已经加载的所有共享库的信息。通过这个函数,程序可以在运行时进行自我分析或者进行某些操作,比如动态地修改共享库的行为。
linux下查找动态库中函数地址实例代码
hpp24的专栏
08-12 5428
dl_iterate_phdr可以查到当前进程所装在的所有符号,每查到一个就会调用你指定的回调函数。 下面的代码示例如何使用dl_iterate_phdrdladdr #define _GNU_SOURCE #include  #include  #include  static int callback (struct dl_phdr_info *info, size_t
Linux动态库原理(二)重定位
hudaliquan的专栏
11-26 3624
Linux动态库原理(二)重定位 前面一章《Linux动态库工作原理详解》比较简单浅显的对 Linux 的工作原理进行了阐述,今天打算从 Linux 动态库在加载过程中符号的重定位(Relocation)的角度,更加深入的讲解 Linux 动态库的工作原理。 在1980s SunOS 将动态库引入到 UNIX,后来又将 ELF(Executable and Linkable) 格式引入到了
[Linux][C/C++]运行时遍历ELF程序头(Program Header)获取符号表和符号版本信息
modisir的博客
07-12 1185
Linux 采用 ELF 作为其可链接可执行文件的格式,并提供诸如 nm 之类的工具进行 ELF 符号表的解析。比如,一个简单的 Hello World 程序: #include <iostream> using namespace std; int main() { cout << "Hello World!" << endl; return 0; } 我们可以利用 nm 命令查看 Hello World 程序依赖的动态链接符号,以及各个符号所对应的
函数堆栈,共享库,打印出被调用函数【笔记】
weixin_34248258的博客
10-12 177
函数堆栈,共享库,打印出被调用函数, 此文转自Linux man手册,仅做学习笔记使用 DL_ITERATE_PHDR(3) Linux Programmer's Manual DL_ITERATE_PHDR(3) NAME ...
xDL:xDL是Android DL系列功能的增强实现
05-05
增强的dl_iterate_phdr() 。 与ARM32上的Android 4.x兼容。 包括链接器/链接器64(对于Android <= 8.x)。 返回完整的路径名,而不是基本名(对于Android 5.x)。 返回app_process32 / app_process64而不是...
共享库装载时重定位相关资料
03-01
在讨论现代操作系统如何利用装载时重定位技术使用共享库之前,我们需要先了解共享库的概念及其重要性。共享库是一种特殊的库文件,它允许系统中的多个程序共享相同的代码和数据,而不是每个程序都拥有自己的副本。...
#include <cstdio> #include <cstring> #include <cstdlib> #include <unistd.h> #include <fcntl.h> #include <sys/stat.h> #include <sys/syscall.h> #include <sys/auxv.h> #include <link.h> #include <vector> #include <string> #include <algorithm> // 手动定义Android ARM64架构系统调用号 #ifndef SYS_open #define SYS_open 5 #endif #ifndef SYS_fstat #define SYS_fstat 80 #endif #ifndef SYS_read #define SYS_read 3 #endif #ifndef SYS_close #define SYS_close 6 #endif // 合法库路径白名单(系统路径 + 你的droidc运行目录) const std::vector<std::string> LEGAL_LIB_PATHS = { "/system/lib/", "/system/lib64/", "/vendor/lib/", "/vendor/lib64/", "/apex/", "/system/bin/linker", "/system/bin/linker64", "[vdso]", "/data/user/0/com.n0n3m4.droidc/files/" // 你的运行目录(手动加入) }; // 自动获取当前设备的系统库设备号 dev_t get_legal_dev() { struct stat libc_stat; const char* libc_paths[] = { "/apex/com.android.runtime/lib64/bionic/libc.so", "/system/lib64/libc.so", "/vendor/lib64/libc.so" }; for (const char* path : libc_paths) { int fd = syscall(SYS_open, path, O_RDONLY); if (fd >= 0) { syscall(SYS_fstat, fd, &libc_stat); syscall(SYS_close, fd); return libc_stat.st_dev; } } return 0; } // 直连内核的文件读取 ssize_t kernel_read(const char* path, char* buf, size_t max_len) { int fd = syscall(SYS_open, path, O_RDONLY); if (fd < 0) return -1; ssize_t n = syscall(SYS_read, fd, buf, max_len - 1); if (n > 0) buf[n] = '\0'; syscall(SYS_close, fd); return n; } // 校验库的合法性 bool is_lib_legal(const char* lib_path, dev_t legal_dev) { // 1. 路径在白名单中 → 合法 for (const auto& path : LEGAL_LIB_PATHS) { if (strncmp(lib_path, path.c_str(), path.size()) == 0) { return true; } } // 2. 非白名单路径 → 校验设备号 struct stat lib_stat; int fd = syscall(SYS_open, lib_path, O_RDONLY); if (fd >= 0) { syscall(SYS_fstat, fd, &lib_stat); syscall(SYS_close, fd); if (lib_stat.st_dev == legal_dev) { return true; } } return false; } // 读取动态链接器真实库列表 int iterate_libs_callback(struct dl_phdr_info* info, size_t size, void* data) { std::vector<std::string>* suspicious_libs = (std::vector<std::string>*)data; if (!info->dlpi_name || strlen(info->dlpi_name) == 0) return 0; static dev_t legal_dev = get_legal_dev(); if (!is_lib_legal(info->dlpi_name, legal_dev)) { suspicious_libs->push_back(std::string(info->dlpi_name)); } return 0; } // 检测异常构造函数 bool check_abnormal_constructors() { char elf_buf[1024 * 10]; if (kernel_read("/proc/self/exe", elf_buf, sizeof(elf_buf)) <= 0) return false; Elf64_Ehdr* ehdr = (Elf64_Ehdr*)elf_buf; if (memcmp(ehdr->e_ident, ELFMAG, SELFMAG) != 0) return false; for (int i = 0; i < ehdr->e_shnum; i++) { Elf64_Shdr* shdr = (Elf64_Shdr*)(elf_buf + ehdr->e_shoff + i * ehdr->e_shentsize); char* sh_name = elf_buf + ehdr->e_shstrndx + shdr->sh_name; if (strcmp(sh_name, ".init_array") == 0 && shdr->sh_size > 20 * sizeof(void*)) { fprintf(stderr, "[ALERT] 异常构造函数数量过多\n"); return true; } } return false; } int main() { fprintf(stdout, "[*] 增强版LD_PRELOAD校验...\n"); bool is_injected = false; // 1. 检测非法库 std::vector<std::string> suspicious_libs; dl_iterate_phdr(iterate_libs_callback, &suspicious_libs); if (!suspicious_libs.empty()) { fprintf(stderr, "[ALERT] 发现非法库:\n"); for (const auto& lib : suspicious_libs) { fprintf(stderr, " - %s\n", lib.c_str()); } is_injected = true; } // 2. 检测异常构造函数 if (check_abnormal_constructors()) { is_injected = true; } if (is_injected) { fprintf(stderr, "\n[!] 检测到注入痕迹!\n"); return 1; } else { fprintf(stdout, "\n[+] 正常运行,无注入\n"); return 0; } } 优化一下这个 避免正常运作也提示检测
最新发布
11-14
我们被要求优化C++代码,以避免在程序正常运作时出现不必要的检测提示。这些检测提示可能包括系统调用、库合法性校验、异常构造函数检测等。我们的目标是在不破坏原有功能的前提下,减少或消除正常情况下的提示。...
黑客级别的文章:把动态库的内存操作玩出了新花样
IOT物联网小镇
11-02 1091
作 者:道哥,10+年嵌入式开发老兵,专注于:C/C++、嵌入式、Linux。 关注,回复【书籍】,获取 Linux、嵌入式领域经典书籍;回复【PDF】,获取所有原创文章( PDF 格式)。 目录 文章目录理论与实践开始新的动态库面临的问题怎么做?ELF概述ELF 文件头SHT(section header table)PHT(program header table)连接视图(Linking View)和执行视图(Execution View).dynamic section动态链接器(li.
linux elf 加载位置,获取ELF二进制文件的已加载地址,dlopen无法正常工作
weixin_31445167的博客
05-15 658
小编典典在Linux上,dlopen不返回加载ELF二进制文件的地址。而是返回structlink_map具有.l_addr成员的成员。因此,您需要以下内容:struct link_map *lm = (struct link_map*) dlopen(0, RTLD_NOW);printf("%p\n", lm->l_addr);但是,尽管有评论/usr/include/link.h说,....
动态篡改 so 函数返回值:一篇带你玩转 Android Hook 技术!
07-29 1041
第三方 SDK 中的 so ,VMP壳 + OLLVM 混淆。ca 函数在 libhexymsb.so 偏移 0x09C8 的位置。需求:修改 so 中 ca 函数的返回值,固定为 true。只需要在 java 层添加如下代码,加载 sohooker 动态库就能实现篡改目标 so 函数的返回值。
在linux程序里面,知道一个函数地址,改函数是属于某个动态库的,怎么样得到这个动态库的全【转】...
weixin_33739627的博客
10-12 275
转自:http://www.360doc.com/content/17/1012/11/48326749_694292472.shtml 另外dl_iterate_phdr可以查到当前进程所装在的所有符号,每查到一个就会调用你指定的回调函数。下面的代码示例如何使用dl_iterate_phdrdladdr#define _GNU_SOURCE#include &lt;link.h&gt;#in...
段错误查找记录
miaomiaodmiaomiao的专栏
08-05 726
 分享到 一键分享QQ空间新浪微博百度云收藏人人网腾讯微博百度相册开心网腾讯朋友百度贴吧豆瓣网搜狐微博百度新首页QQ好友和讯微博更多... 百度分享 段错误查找记录 返回脚本百事通 119.*.*.45 app 总是段错误, 且不产生core文件(ulimit -c unlimited 设置) grep segfault /
动态链接库中函数的地址确定---PLT和GOT
linuxheik的专栏
04-25 2477
动态链接库中函数的地址确定---PLT和GOT 2012-09-16 20:27:42 分类: C/C++      前面写过动态链接库 延迟绑定的一篇博文,那篇文章我非常喜欢,但是当时刚搞清楚,自己写的比较凌乱,我最近学习了Ulrich Drepper的How to write share library,学习了几篇其他的讲述动态链接的文章,再次整理了这篇文章。
问题定位——函数重载
sydyh43的博客
09-18 836
打桩 截获库函数的代码调用,执行自己的代码。 功能 追踪某函数的调用次数或者增加函数的某些定位功能(比如加入堆栈功能,查看此函数会被哪些函数调用) 根据程序的编译步骤,可以通过以下三种方法实现打桩功能 编译时 本地定义一个*.h头文件,定义打桩函数,编译时指定头文件路径,优先搜索本地*.h文件 链接时 gcc支持—wrap f标志进行链接时打桩。这个标志告诉链接器,把对符号f的引用解析成__wrap_f,同时把对符号__real_f的引用解析成f 其中-Wl,--wrap,ma..
动态链接库之延迟绑定探究
You are what you output
01-11 384
动态链接库的优点比较明显,主要集中在节省内存,简化对程序的管理等,对此感兴趣的看官可以去阅读经典的教材 Linker and Loader,国内也有一本经典的教材,俞甲子 石凡 潘爱民编著的程序员的自我修养,讲的也非常好。 延迟绑定PLT,我迷惑过很久,终于让我遇到一篇写的非常棒的博文,这就是 Position Indepentent code in share lib...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值