反汇编代码里的地址 链接地址 运行地址 存储地址 位置无关码 位置有关码

最新推荐文章于 2025-07-10 16:23:44 发布
原创 最新推荐文章于 2025-07-10 16:23:44 发布 · 2.1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#反汇编地址 #链接地址 #下载地址 #代码重定位 #运行地址

本文介绍了反汇编代码地址、链接地址、运行地址及存储地址的概念,并深入解析了位置无关码与位置相关码的区别,同时阐述了代码重定位的过程。
反汇编代码地址就是链接地址;


链接地址不一定等于运行地址(通常链接地址和运行地址的值是一样的);


运行地址是在统一编址的存储区间中,正在运行的代码所处的地址;


存储地址是也就是代码被下载到物理介质上的地址。


位置无关码的代码中没有绝对地址的不连续跳转,反之就是位置相关码;


代码重定位的判断本质是依赖与PC寄存器实现。


具体是PC值的相对位置固定,可以锁定两个相对位置:相对PC锁定运行时代码的首地址和相对PC锁定某个特定的存储单元,以这个单元里的数值为绝对地址得到重定位地址。
比较重定位的地址和当前代码运行的首地址,若相同不需要重定位,如不同则复制代码,清BSS段(实现C语言中未初始化的全局变量是0),刷新PC值跳过去。
Cheat Enginee(CE)自带教程使用指南
yjc1517的博客
09-26 7098
首先要执行 Cheat Engine ,如果你还没有运行它的话。然后点击"选择进程"图标按钮(左上角那个带有电脑的图标)。当进程列表窗口打开后找到这个训练程序,如果你没有重新命名该程序的名称,那么进程名应该是"tutorial.exe",选择它,并点击"打开"。现在暂时要理会其它的按钮,如果你有兴趣的话,以后再研究它们。没什么意外的话,进程列表窗口将会消失并且在 Cheat Engine 主界面的上方会显示选择的进程名称。好了,点击"下一步"按钮进入下一个步骤。
ARM汇编概念(1): 什么是链接地址运行地址存储地址? 什么是位置无关位置有关? ldr和adr的理解?
wu_junwu的博客
08-12 2352
ARM汇编概念(1): 什么是链接地址运行地址存储地址? 什么是位置无关位置有关? ldr和adr的理解? 参考来源:http://blog.sina.com.cn/s/blog_93339c560102wjqm.html 链接地址: 在链接脚本指定内存地址,编译时指定的代码运行时应该所处的内存地址。它是绝对地址(编译后的定值)。 运行地址: 当前代码运行时实际所处的地址。它是相对地址(相对于当前程序开始运行时的内存地址)。 存储地址代码烧写到ROM中的地址,比如NANDFLASH。 链接
从两句汇编认识运行地址链接地址
11-17 302
首先看两行汇编代码: 1: adr r0, _start 2: ldr r1, =_start   同样是加载一个标号的地址值,adr和ldr有什么区别呢?注意这的ldr是命令ldr,而是伪指令ldr,若想区分它们请参看我的一篇博文《adr adrl ldr mov总结整理》。 要区分它们,就需要引入4个概念: 1、运行地址起始位置:它芯...
linux内核学习1:内存地址(1)
weixin_40535588的博客
07-28 1933
1. 程序反汇编 机器语言指令中出现的内存地址,都是逻辑地址,需要转换成线性地址,再经过MMU(CPU中的内存管理单元)转换成物理地址才能够被访问到。 我们写个最简单的hello world程序,用gccs编译,再反编译后会看到以下指令: mov 0x80495b0, %eax 这的内存地址0x80495b0 就是一个逻辑地址,必须加上隐含的DS 数据段的基地址,才能构成线性地址。也就是说 0x80495b0 是当前任务的DS数据段内的偏移 2. LINUX地址分类 当使用80x86微处理器时,必须
反汇编代码面的地址_浅析同一段C++代码在Win X64, X86,MAC,Android ARM64平台编译器优化之美...
weixin_36068015的博客
01-04 535
背景:定位一些Crash崩溃时,由于缺少更多信息,可能需要从反汇编的静态代码段推测对应的C++代码,并结合寄存器值分析出具体原因。对于Release发布版,由于编译器的强行函数内联和生成指令优化,会出现反汇编代码和C++源区别较大,加大我们从汇编代码反推C++难度,一但我们分析清楚优化点,可以很欣赏编译器优化之美。 本文是从ARM64平台的一次crash反汇编分析经历出发,发现编译器能...
反汇编代码面的地址_恶意代码分析之对抗反汇编技巧入门
weixin_31143391的博客
01-27 493
在做恶意样本静态分析的时候会有一些样本,使用对抗反汇编的方法,一般的对抗反汇编的方法就是加壳,这我就介绍了,我这说两个比较简单的对抗反汇编的方法,一种使用:无效指令,一种使用:花指令。使用无效指令,对抗反汇编,使用IDA打开恶意样本之后,如下所示:00401010处的CALL指令,跳转到一个错误的地址处,很明显是IDA解析出了问题,我们可以看看它的机器:相应的机器:E8 8B...
uboot 代码重定位位置有关)(存储地址运行地址链接地址
shenlong1356的博客
03-01 5297
Table of Contents 1、代码启动过程简要分析 2、存储地址运行地址链接地址 2.1、存储地址 2.2、链接地址 2.3、运行地址 2.4、链接地址运行地址的区别 3、位置有关位置无关详细解释 4、代码重定位 参考文章:https://blog.youkuaiyun.com/lizuobin2/article/details/52049892# 1、代...
63、代码生成、地址空间组织与汇编相关技术解析
peach的博客
07-10 35
本文深入解析了代码生成的同形式,如基于栈的代码与三地址代码的对比,讨论了简化编译器结构的设计思路。通过属性文法展示了中间代码生成的形式化方法,并分析了寄存器分配的朴素策略及其局限性。文章还详细介绍了可重定位与可执行目标文件的组织方式、运行程序的地址空间布局以及汇编器的具体操作,包括指令发射、符号地址分配等。最后,通过一个GCD程序的综合示例展示了代码生成与地址处理的全过程,并探讨了代码优化的方向与未来发展趋势。
ARM裸机编程 (汇编运行地址链接地址,加载地址存储地址 位置无关位置有关
u012590688的专栏
05-19 2360
搞ARM开发时,在连接目标代码会提到运行地址和加载地址。这两者有什么区别呢?其次,网上也有说链接地址存储地址,那么这四个地址之间有什么区别? 1、运行地址链接地址:他们两个是等价的,只是两种同的说法。 2、加载地址存储地址:他们两个是等价的,也是两种同的说法。 运行地址:程序在SRAM、SDRAM中执行时的地址。就是执行这条指令时,PC应该等于这个地址,换句话说,PC等于这个地
韦东山嵌入式Linux学习笔记之——代码重定位004_代码重定位位置无关
Iron_man的博客
07-14 1150
将程序(包含可运行代码和数据)从一个位置(flash)移动至另外一个位置运行或进行数据的读写成为代码重定位代码重定位的根本原因是改善某个存储介质的某些缺陷(例如存取速度,读写限制等等)。在实际中我们可以只重定位程序的某一段(如数据data段或者代码text段),或者将整个程序进行重定位。现在考虑将整个程序重定位至SDRAM所需要的技术细节:① 从flash中将程序复制到(重定位)SDRAM,要...
一次段错误的排查过程(反汇编地址排查)
heguangsui123的博客
11-06 1550
一次segfault错误的排查过程 正常运行了几年的程序忽然崩溃了,由于机器没有设置CORE文件,无法从CORE中取得错误信息,程序运行在centOS 7上, 本来对centOS用的也是熟,只能边查资料边查问题。 首先、我需要确认程序是否真的崩溃了,还是别人误操作关闭了。如果程序真的崩溃了,会在系统中留下痕迹,我查了一下,在messages文件中发现了一条信息: xxxxx.o[2374]: segfault at7f0ed0bfbf70 ip 00007f0edd646fe7 sp 00007f.
【疑惑】链接地址运行地址
yyymmmmyyy的博客
12-07 2650
运行地址链接地址同前提下下如何解释指令的执行顺序(主要是取址)
linux反汇编如何得到各个函数的地址,多种方法获取sys_call_table(linux系统调用表)的地址...
weixin_42504279的博客
05-08 1094
syscall_call:call *sys_call_table(,%eax,4)假设我们没有vmlinux可供gdb反汇编,那也只有采用模拟的方式了,模拟出一个call *sys_call_table(,%eax,4),然后看其机器,然后在system_call的附近基于这个特征进行寻找 :void fun1() { printf("fun1/n"); } void fun2() { pri...
linux反汇编如何得到各个函数的地址,Linux Debugging:使用反汇编理解C++程序函数调用栈...
weixin_39915668的博客
05-08 410
拿到CoreDump后,如果看到的地址都是????,那么基本上可以确定,程序的栈被破坏掉了。GDB也是使用函数的调用栈去还原“事故现场”的。因此理解函数调用栈,是使用GDB进行现场调试或者事后调试的基础,如果理解调用栈,基本上也从GDB得到什么有用的信息。当然了,也有可能你非常“幸运”,一个bt就把哪儿越界给标出来了。但是,大多数的时候你够幸运,通过log,通过简单的codewalkthro...
GDB 反汇编
liuxuelinyl的专栏
11-11 3735
1、disassemble反汇编命令: disassemble 是以反汇编清单的形式输出内存的内容,表示的格式由命令set disassembly-flavor确定 1.1带参数 默认的反汇编范围是 所选择帧的pc附近的函数 1.2单个参数  就是pc, 当然也可以是函数名,因为函数名 也是一个 地址; 这样范围就是该pc附近的函数 : disass func_name >>
反汇编异常定位
小K时空
02-17 879
反汇编异常定位: ... task: c2d273e0 ti: c1244000 task.ti: c1244000 PC is at 0xb6ed6e78 LR is at 0x1518a8 pc : []    lr : []    psr: a0000010 sp : b5950e78  ip : 0031b4bc  fp : b59510e4 ... 出错信息中一般会标记处
处理器运行原理:代码存储地址运行地址
biao2488890051的博客
06-05 1489
因此我们现在需要做的就是确定一下本试验最终的可执行文件其运行起始地址,也就是 链接地址。这我们要区分“存储地址”和“运行地址”这两个概念,“存储地址”就是可执 行文件存储在哪,可执行文件的存储地址可以随意选择。“运行地址”就是代码运行的时候 所处的地址,这个我们在链接的时候就已经确定好了,代码运行,那就必须处于运行地址 处,否则代码肯定运行出错。比如 I.MX6U 支持 SD 卡、EMMC、NAND 启动,因此代码可以 存储到 SD 卡、EMMC 或者 NAND 中,但是要运行的话就必须将代码从 SD
OllyDbg 出现实际运行的汇编代码与显示出来的一致的问题?或 OllyDbg执行单字节数据?
qq_39921539的博客
11-15 530
下图①是我遇到的问题,执行到这时发现是单字节,但执行还是可以执行 经过我努力的搜索,总于找到了和我有同样遭遇的老哥,并且有大佬给出了解决方案 见下图② 这是我按了Ctrl + a后的情况 见下图 ③ 虽然大佬的方法正确,但是我并认同他对原因的分析。 因为我反汇编的程序是运行时解压缩程序,而这段代码正是原程序的OEP, 由此我分析这段代码本来是加密了,OllyDBG认为它是数据 然后在前面的程序中,这段代码被解压了,但是OllyDBG却没有刷新,...
反汇编基础学习(一)
热门推荐
RMC131的博客
11-30 1万+
参考教材:《IDA Pro权威指南》(第2版) 编程语言 第一代语言:0和1,十六进制,也称为机器语言,字节,机器语言程序常被称为二进制文件 第二代语言:汇编语言,助记符对应具体模式的位模式或操作 第三代语言:引入了关键字和结构,表达更接近自然语言,常见的C,Java,C++ 需要编译器转换为汇编语言或机器语言 第四代语言:用户定义“做什么”而是“如何做”,依靠更高级的第四代工具,SQL,QBE 反汇编和反编译 概念 为了回溯编程过程(或对程序进行逆向工程)使用各种反汇编工具撤销汇编和编译过程,
elf文件地址和实际的静态变量地址是否会一致
最新发布
10-30
<think>我们正在讨论ELF文件中静态变量的地址问题。用户询问的是:ELF文件中的地址与实际静态变量地址是否会一致。 结合之前的引用和知识,我们可以分析如下: 1. **编译链接阶段**:在编译和链接时,全局变量和静态变量的地址已经被确定(引用[1]提到全局变量和静态变量的地址在编译时就决定了)。这些地址是虚拟地址(VMA),在ELF文件中记录在符号表或程序头中。 2. **加载执行阶段**:当程序被加载到内存时,操作系统根据ELF文件的程序头表(Program Header Table)将各个段(如.text, .data, .bss)映射到进程的虚拟地址空间(引用[3]提到ELF文件加载到内存时,通过mm_struct等建立映射)。此时,如果加载地址与ELF文件中预设的地址一致(即没有地址随机化),那么静态变量的虚拟地址就会与ELF文件中的地址一致。 3. **地址随机化(ASLR)**:现代操作系统为了安全,会启用地址空间布局随机化(ASLR)。开启ASLR后,每次程序加载时,其基地址(即程序头中的虚拟地址的起始点)会被随机偏移。因此,ELF文件中的地址(称为链接虚拟地址,Link-time Virtual Address)与实际运行时虚拟地址(Runtime Virtual Address)会有一个偏移量。 4. **静态链接与动态链接**: - 静态链接的程序,其所有代码和数据地址链接时已经确定(引用[2]提到静态链接)。 - 动态链接的程序,其共享库的加载地址运行时确定(引用[3]提到动态链接与动态库加载)。但对于程序本身的静态变量(非共享库中的),其地址链接时已经确定(相对于程序基址),运行时由加载器根据基址偏移调整。 5. **结论**: - 如果没有开启ASLR,那么ELF文件中的地址与实际运行的虚拟地址一致。 - 如果开启ASLR,那么实际运行地址等于ELF文件中的地址加上一个随机偏移量(基址偏移)。 - 无论是否开启ASLR,静态变量的相对位置(相对于基址)是固定的。 因此,我们可以回答:**ELF文件中的地址链接时确定的虚拟地址)与实际运行时的虚拟地址可能会一致,主要原因是地址空间布局随机化(ASLR)**。 为了更清晰地说明,我们可以用公式表示: 设ELF文件中符号的虚拟地址为$V_{link}$,运行时程序的基地址(Image Base)为$B_r$(如果没有ASLR,则$B_r$等于链接时基地址$B_{link}$;有ASLR时$B_r$是随机的),那么实际运行时虚拟地址$V_{runtime}$为: $$ V_{runtime} = V_{link} + (B_r - B_{link}) $$ 其中,$(B_r - B_{link})$就是随机偏移量。 --- ### 验证方法 1. **查看ELF文件中的地址**: ```bash readelf -s program | grep [静态变量名] ``` 输出结果中的`Value`字段就是链接时的虚拟地址$V_{link}$。 2. **运行时查看变量地址**: - 使用调试器(如gdb)运行程序,查看变量的地址。 - 在程序中打印变量的地址: ```c printf("%p", &static_var); ``` 3. **比较两个地址**: - 关闭ASLR(Linux下): ```bash echo 0 | sudo tee /proc/sys/kernel/randomize_va_space ``` 然后运行程序,比较地址是否相同。 - 开启ASLR(默认)时,每次运行地址都会变化,但相对位置变。 4. **计算偏移量**: 如果知道程序运行时的基地址(可以通过`/proc/[pid]/maps`查看),就可以验证上述公式。 --- ### 相关问题 §§相关问题§§ 1. 如何关闭Linux系统的ASLR功能? 2. ELF文件中哪些段会受ASLR影响? 3. 动态链接库中的静态变量地址运行时如何确定? </think>### ELF文件中的地址与实际静态变量地址是否一致? 在ELF文件中,静态变量(包括全局静态与局部静态)的地址在**编译链接阶段就已确定**,但实际运行地址可能与ELF文件中的地址一致,原因如下: --- #### 一、正常情况下地址一致性原理 1. **编译链接阶段** 静态变量的地址在编译链接时由链接器分配,存储在ELF的`.data`(已初始化)或`.bss`(未初始化)段中[^1]。例如: ```bash readelf -s program | grep static_var # 输出示例:08049000 4 OBJECT LOCAL DEFAULT 15 static_var ``` 此地址`0x08049000`是链接时确定的**虚拟地址**。 2. **加载阶段** 操作系统加载ELF时,根据程序头表(Program Header Table)将代码和数据段映射到内存的**相同虚拟地址**(默认无ASLR时)[^4]。此时: $$ \text{ELF虚拟地址} \approx \text{运行时虚拟地址} $$ --- #### 二、地址一致的情形及原因 1. **地址空间随机化(ASLR)** - 现代操作系统默认启用ASLR,导致每次加载时程序基址随机偏移 - **偏移公式**: $$ \text{实际地址} = \text{ELF虚拟地址} + \text{随机偏移量} $$ - **验证方法**: ```bash # 关闭ASLR后地址恒定 echo 0 | sudo tee /proc/sys/kernel/randomize_va_space ./program ``` 2. **动态链接干扰** - 若静态变量在动态库中,加载地址由动态链接器决定 - 符号可能被重定位(Relocation),如: ```bash readelf -r program | grep static_var # 输出示例:R_386_GLOB_DAT 08049000 static_var ``` 3. **位置无关代码(PIE)** - 编译选项`-fPIE`或`-pie`会使所有地址在加载时重定位 - ELF文件中的地址仅为**相对偏移量**,需加运行时基址[^3]: $$ \text{实际地址} = \text{ELF相对地址} + \text{运行时基址} $$ --- #### 三、关键验证方法 ##### 1. 检查ASLR状态 ```bash cat /proc/sys/kernel/randomize_va_space # 2=开启, 0=关闭 ``` ##### 2. 对比ELF与运行地址 ```c // 示例代码: addr_check.c #include <stdio.h> static int static_var = 42; int main() { printf("编译时地址: %p (ELF文件中)\n", &static_var); // 编译时输出 printf("运行地址: %p\n", &static_var); // 运行时输出 return 0; } ``` 编译运行: ```bash gcc addr_check.c -o addr_check ./addr_check # 多次运行观察地址变化(ASLR开启时) ``` ##### 3. 分析ELF重定位信息 ```bash readelf -r program # 查看重定位表 objdump -d -j .data program # 反汇编.data段 ``` --- #### 四、地址一致性总结 | **场景** | 地址是否一致 | 原因 | |----------------------|--------------|-------------------------------| | 静态链接 + ASLR关闭 | ✅ 一致 | 无随机偏移 | | 静态链接 + ASLR开启 | ❌ 一致 | 基址随机偏移 | | 动态链接库中的变量 | ❌ 一致 | 动态库加载地址随机 | | 启用PIE编译 | ❌ 一致 | 所有地址重定位 | > **核心结论**: > 当且仅当**静态链接且关闭ASLR**时,ELF文件中地址与实际运行地址一致;其他情况下因安全机制(ASLR/PIE)或动态链接会导致地址偏移。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值