Android中ELF文件结构浅析(二)

已于 2024-01-24 18:30:57 修改
阅读量1.5k 收藏 26
点赞数 32
文章标签: android
于 2024-01-24 18:29:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lzheibai1/article/details/135820566
版权

一、程序头表(program_header_table)

        一个可执行文件或共享目标文件的程序头表(program header table)是一个数组,数组中的每一个元素称为“程序头(program header)”,每一个程序头描述了一个“段(segment)”或者一块用于准备执行程序的信息。

        在elf header中e_phentsize 和 e_phnum 成员指定了程序头的大小和数量。

        每个segment的结构如下:

struct Elf64_Phdr {
  Elf64_Word p_type;
  Elf64_Word p_flags;
  Elf64_Off p_offset;
  Elf64_Addr p_vaddr;
  Elf64_Addr p_paddr;
  Elf64_Xword p_filesz;
  Elf64_Xword p_memsz;
  Elf64_Xword p_align;
};

1.  p_type

        描述的段的类型。

#define	PT_NULL		0
#define PT_LOAD		1
#define PT_DYNAMIC	2
#define PT_INTERP	3
#define PT_NOTE		4
#define PT_SHLIB	5
#define PT_PHDR		6
#define PT_TLS		7
#define	PT_NUM		8
#define PT_LOOS		0x60000000
#define PT_GNU_EH_FRAME	0x6474e550
#define PT_GNU_STACK	0x6474e551
#define PT_GNU_RELRO	0x6474e552
#define PT_GNU_PROPERTY	0x6474e553
#define PT_LOSUNW	0x6ffffffa
#define PT_SUNWBSS	0x6ffffffa
#define PT_SUNWSTACK	0x6ffffffb
#define PT_HISUNW	0x6fffffff
#define PT_HIOS		0x6fffffff
#define PT_LOPROC	0x70000000
#define PT_HIPROC	0x7fffffff

        结尾案例会说其中一部分。 

2.   p_flags

        此数据成员给出了本段内容的权限。

标志 权限 实际权限
PF_None 0
PF_Exec 1 可执行 可读,可执行
PF_Write 2 可写 可读,可写,写执行
PF_Write_Exec 3 可写,可执行 可读,可写,写执行
PF_Read 4 可读 可读,可执行
PF_Read_Exec 5 可读,可执行 可读,可执行
PF_Read_Write 6 可读,可写 可读,可写,写执行
PF_Read_Write_Exec
最低0.47元/天 解锁文章
lzheibai1
关注
Android平台ELF文件格式简单介绍
douluo998的博客
03-30 778
命令输出的信息中包含“Section to Segment mapping”项数据,该项信息代表了section到segment的映射关键,例如:标号为2的Load段包含了: “.fini_array”、“.init_array”、“.dynamic”、 “.got”、“.data”、“.bss”六个节信息。上图中标为蓝色的数据为ELF文件头进制内存数据,最右边可明显看出有“ELF”字符串,读者也许已猜到数据对应ELF文件标志,即判断是否为ELF文件表示。
AndroidELF文件结构浅析()
最新发布
lzheibai1的博客
01-29 632
索引值从 0 开始计数,但值为 0 的表项(即第一项)并没有实际的意义,它表示未定义的符号。但它并不是一个字符串,而是一个指向字符串表的索引值,在字符串表中对应位置上的字符串就是该符号名字的实际文本。在可执行文件和共享库文件中,st_value 不再是一个节内的偏移量,而是一个虚拟地址,直接指向符号所在的内存位置。各种符号的大小各不相同,比如一个对象的大小就是它实际占用的字节数。偏移开始的位置是从 .dynstr 节 ( 进行动态链接所需的字符串,通常是表示与符号表各项关联的名称的字符串。
Android 加载执行ELF可执行文件
05-08
Android 加载执行ELF可执行文件
AndroidELF文件结构浅析()
lzheibai1的博客
01-23 2058
可以用以下这个数据结构体来描述文件头。
Android ELF文件格式
aofan9566的博客
08-24 133
最近一直在学习elf相关信息。一个小总结,这里记录,也方便以后查阅。 ELF是类Unix类系统,当然也包含Android系统上的可运行文件格式(也包含.so和.o类文件)。能够理解为Android系统上的exe或者dll文件格式。理解ELF文件规范,是理解Android系统上进程载入、运行的前提。 网上关于ELF的介绍已经许多,最好的手冊还是直接看ELF官方的手冊。 ...
Android逆向进阶-ELF文件分析(1)
王嘟嘟的博客
02-18 3687
戳这里戳这里ELF(可执行链接格式),最初由UNIX系统实验室开发并发布的,作为应用程序进制接口的一部分。ELF标准的目的是为软件开发人员提供一组进制接口定义。文件的三种格式1.可重定位文件:适用于其他目标文件链接来创建可执行文件或者共享目标文件的代码和数据。2.可执行文件:包含于执行的一个程序,此文件规定了exec()如何创建一个程序的进程映像。3.共享目标文件:包含可在两种上下文中链接的代码和数据。
AndroidELF文件结构浅析()
lzheibai1的博客
01-25 1393
在目标文件中可以包含很多“节”(section),所有这些“节”都登记在一张称为 “节头表”(section header table)的数组里。通过每一个表项可以定位到对应的节。
Android运行时ART加载OAT文件的过程分析
02-20
在前面一文中,我们介绍了...OAT文件的结构如图1所示:由于OAT文件本质上是一个ELF文件,因此在最外层它具有一般ELF文件的结构,例如它有标准的ELF文件头以及通过段(Section)来描述文件内容。关于ELF文件的更多知识
看雪『Android安全』板块 2018 年优秀和精华帖分类索引
墨鱼菜鸡
07-11 968
转载:https://bbs.pediy.com/thread-249602.htm [推荐]『Android安全』版2018年优秀和精华帖分类索引 文章筛选和评价仅代表个人观点,欢迎指正。 列表不定期更新,欢迎自荐~ 2018年 1.逆向技术基础 Frida操作手册-Android环境准备 Frida hook方便快捷,并且跨平台,可以学习一...
android逆向之ELF(so)文件格式详解()
qq_17748035的专栏
06-07 1503
理论略过。。。 ELF文件主要由 ELF header 、section header table、program header table组成 ELF header 什么是ELFheader? 所谓的elfHeader也就是系统要解析一个elf文件第一步需要解析的地方,怎么解析不是本章的主要,本章只分析elf文件整体的框架,方面在脑袋里形成图画。所以elf文件头部包含了整个el......
Android连接器()-elf文件格式总结
woai110120130的专栏
05-06 860
elf包含两种视图,分别是文件视图和程序视图 描述文件视图的主要数据结构就是section,一个elf文件包含多个section,每个section是相对独立的数据。文件使用Section Headers来描述section的名称类型以及位置大小。 描述程序的视图为程序头表和程序头。链接器会根据程序头表来对数据进行加载。程序头表中存放多个程序头,程序头描述的是程序段。程序段并不在elf中,需要链接器进行内存分配,并将elf文件中的不同部分映射到分配的段内存上。 一个程序段版本多个具有相同属性(读写执行权限一
Android连接器()-elf文件的加载
woai110120130的专栏
05-06 834
VerifyElfHeader elf加载过程其实最主要的部分就是创建程序的段 ElfReader::ElfReader(const char* name, int fd, off64_t file_offset, off64_t file_size) : name_(name), fd_(fd), file_offset_(file_offset), file_size_(file_size), phdr_num_(0), phdr_mmap_(nu
Android 逆向】ELF 文件格式总结 ★★★
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-28 1128
一、ELF 文件当前版本号、 、操作系统 ABI 信息、 三、ABI 版本、 四、文件头校验、 五、文件头长度信息、 六、ELF 文件类型 ( 动态库文件 )、 七、ELF 文件对应 CPU 架构、 八、ELF 目标文件版本、 九、可执行程序起始地址、 十、程序头偏移量、 十一、节区头偏移量、 十、处理器特定标志、 十三、ELF 文件头大小、 十四、ELF 程序头入口大小、 十五、ELF 程序头入口个数、 十六、ELF 文件节区头入口大小、 十七、ELF 文件节区头入口个数、 十八、字符表序号、
ELF Format DIY For Android
ThomasKing2014的专栏
11-18 1508
ELF Format DIY For Android Author: ThomasKing 本文只讨论安卓平台ELF格式一些可以DIY的地方。当然,有些DIY有使用价值,有些DIY仅好玩而已。为了完整性,均在下文讨论。 一、Elf32_Ehdr 1. e_ident[16] 这个字段,现ELF标准只使用了前7个字节,后9个字节是未定义的。在linux平台,这9个字节是填0,且不能动。而安
ELF文件及android hook原理
明潮的BLOG
07-12 764
ELF文件装载链接过程及hook原理ELF文件格式解析可执行和可链接格式(Executable and Linkable Format,缩写为ELF),常被称为ELF格式,在计算机科学中,是一种用于执行档、目的档、共享库和核心转储的标准文件格式。ELF文件主要有四种类型:可重定位文件(Relocatable File) 包含适合于与其他目标文件链接来创建可执行文件或者共享目标文件的代码和数据。可执...
ANDROID 逆向专题》在android中运行 elf程序
lin___的博客
12-19 1563
我们已经知道,android的底层是linux。本质上,其实android就是一个经过特殊裁剪处理的linux系统,裁剪是为了让我们有限的移动端硬件能够更好地运行这个linux。 相对linux,很多人更加熟悉window。这里我们来做个对比。 windows linux 可执行文件 exe ...
android elf 工具,Android逆向 ELF文件结构详解
weixin_28878621的博客
05-25 524
ELF文件结构详解链接与装载视图Elf文件有2个平行视角:一个是程序链接角度,一个是程序装载角度。从链接的角度来看,Elf文件是按“Section”()的形式存储;而在装载的角度上,Elf文件又可以按“Segment”()来划分。实际上,Section和Segment难以从中文的翻译上加以区分。因为很多时候Section也被翻译成段,比如Section Header Table,有的资料叫段表...
Android 加载ELF可执行文件
雪一梦的博客
05-08 2776
Android通过调用shell脚本加载执行ELF可执行文件,废话不多说。附件是一个加载执行“Hello World”可执行文件的Demo。后期可以通过调用一个脱壳机的可执行文件进行脱壳。
ELF Reader: 探索Linux系统中的ELF文件结构
ELF文件格式是“Executable and Linkable Format”的缩写,它是Linux系统中最常见的进制文件格式。ELF文件用于存储程序的代码和数据,并且能够被Linux系统加载执行或与其他文件进行链接。ELF格式非常灵活,支持...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值