ELF修复重定位问题

最新推荐文章于 2024-04-04 21:00:33 发布
转载 最新推荐文章于 2024-04-04 21:00:33 发布 · 817 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://blog.51cto.com/haidragon/2133697
文章标签:

#人工智能 #python

本文详细介绍了Linux环境下ELF文件的重定位过程,包括不同类型重定位的修复方式,特别是R_386_PC32类型的重定位计算方法,并通过实例说明了如何在内存中修正符号引用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

参考:
Linux动态库原理(二)重定位
https://blog.youkuaiyun.com/hudaliquan/article/details/50055523
ELF文件格式(中文版)
https://blog.youkuaiyun.com/yayong/article/details/178160
通过GDB调试理解GOT/PLT
https://blog.youkuaiyun.com/qq_32400847/article/details/71001693
linux二进制分析 pdf
他有俩种结构体

  typedef struct {
      Elf32_Addr    r_offset;
      Elf32_Word    r_info;
  } Elf32_Rel;

  typedef struct {
      Elf32_Addr    r_offset;
      Elf32_Word    r_info;
      Elf32_Sword   r_addend;
  } Elf32_Rela;

他是根据r_info(低 8 位表示类型 高 24 位表示符号表中的索引)中的类型来判断如修复重定位。
例如修复如下:

Offset     Info    Type            Sym.Value  Sym. Name
00002008  00000008 R_386_RELATIVE   
00000470  00000701 R_386_32          0000200c   count
00000478  00000701 R_386_32          0000200c   count
00000482  00000701 R_386_32          0000200c   count
0000048a  00000701 R_386_32          0000200c   count
0000048f  00000602 R_386_PC32        0000046c   increase
00001fe8  00000106 R_386_GLOB_DAT    00000000   __cxa_finalize
00001fec  00000206 R_386_GLOB_DAT    00000000   __gmon_start__
00001ff0  00000306 R_386_GLOB_DAT    00000000   _Jv_RegisterClasses

Offset 表示要修复的那个地方相对偏移
Sym.Value 表示那个变量或函数真正在当前模块中的偏移
类型不同修复方式也不同
R_386_PC32 修复方式为 :
将Offset内存单元的内容加上Sym.value重定位之后符号的真实地址再减去Offset重定位之后的r_offset,并将结果存放到r_offset对应的内存单元。
假设这个模块的加载基址为:0xf7fd6000
假设通过objdump出来的doincrease中0x48f内存单元的内容是0xfffffffc。对于Offset 0x48f重定位之后r_offset的值是0xf7fd6000 + 0x48f = 0xf7fd648f。那么.rel.dyn对于重定位increase函数的计算结果是0xf7fd646c + 0xfffffffc - 0xf7fd648f = 0xffffffd9。然后将0xffffffd9写回到r_offset 0xf7fd648f处。那么这一系列的重定向之后最终得到的结果应该是在进程地址空间0xf7fd648f内存单元的内容变为0xffffffd9。即修复了重定位。

转载于:https://blog.51cto.com/haidragon/2133697

ELF修复基本工作原理
热情、奔放、快乐编程!
08-23 619
ELF(Executable and Linkable Format)是一种常见的可执行文件和可链接文件的格式,广泛用于Linux和UNIX系统中。ELF修复是指对ELF文件进行修改或修复,以确保其正确载和执行。ELF修复的基本工作原理如下:识别ELF文件:首先,需要识别和验证目标文件是否为有效的ELF文件。这可以通过检查文件的魔数(Magic Number)来完成,ELF文件的魔数是一个特定的字节序列,用于标识文件格式。
用x32/x64dbg脱DLL壳(IAT表修复重定位修复)
qq_41866334的博客
05-06 6767
一直搜到的都是看雪论坛上用的lordPE和ImportREC进行脱壳和修复,感觉有点过时了. 记录一下x32/x64dbg的脱壳和IAT修复方法. 首先用esp定律等方法找到程序的入口点, 然后使用Scylla插件并填写其中的OEP地址. 然后用IAT Autosearch去找可能的IAT表,dump并fix pe文件即可. ...
移动导出表,重定位表,手动修复重定位
pluginL的博客
04-04 305
要写这几个函数会频繁用到FOA转VA。
2.10 PE结构:重建重定位表结构
优快云
09-09 5686
Relocation(重定位)是一种将程序中的一些地址修正为运行时可用的实际地址的机制。在程序编译过程中,由于程序中使用了各种全局变量和函数,这些变量和函数的地址还没有确定,因此它们的地址只能暂时使用一个相对地址。当程序被载到内存中运行时,这些相对地址需要被修正为实际的绝对地址,这个过程就是重定位。 在Windows操作系统中,程序被载到内存中运行时,需要将程序中的各种内存地址进行重定位,以使程序能够正确地运行。Windows系统使用PE(Portable Executable)文件格式来存储可执行程
VMP学习笔记之壳的重定位修复(五)
u014738665的博客
10-14 924
理论知识: 1、为什么需要重定位 因为特殊情况这块地址不给用了你要挪到另外一个地方,你本来是在哪里的挪到另外一个地方你还是在哪里 如下图所示: 小明在教室A是第一排,搬到教室B小明还是第一排 2、待修复数据如下: push 0xFACE0002 -------->修复后是:0 mov edi,0xFACE0003 -------->修复后是:新区段首地址VMcontext jmp dword ptr ds:[eax*4+0x474FCF] -------->修复后是:.
obsidium 重定位
zcc1414的专栏
08-30 542
一般  VC  VB  没有重定位表:
call x86 优化 重定位_关于脱壳后重定位修复 自己写了个半成品工具
weixin_42501331的博客
03-03 146
[/align][align=left]BYTE actionCode[][2] = {/*------------EAX------------------------------*/{ 0x2B, 0x05 },//sub eax,dword ptr ds:[0x3107B0]{ 0x29, 0x05 },//sub dword ptr ds:[0x3107B0],eax{ 0x2A, 0x0...
Android/Linux 32位elf自动修复工具
07-12
修复过程中,工具会检测并修复文件头、节区、重定位、符号表等关键部分的错误,确保修复后的文件能够正确载和执行。 这个工具特别适用于开发环境,尤其是进行Android或Linux系统级别的开发时。开发者在遇到.so...
Process Custom Relocations:ELF 文件的后处理器,允许自定义重定位类型。-开源
06-28
它允许开发者对ELF文件进行后处理,以支持自定义的重定位类型。重定位是链接器在构建可执行文件或库时处理的过程,它修正了程序中的符号引用,使得程序可以在特定地址运行。 描述进一步解释了这个工具的功能。它由...
彻底理解ELF重定位:程序地址空间调整的奥秘
本文全面解析了ELF文件格式及其在程序重定位中的应用。从理论基础出发,概述了程序链接过程中的静态与动态链接差异、链接器任务,并详细分析了重定位表的结构与类型,包括绝对地址、相对地址以及指令重定位。实践...
ELF文件格式_ELF文件格式_
10-03
通过阅读ELF文件,我们可以了解程序的结构,检查依赖项,甚至手动修复某些问题ELF文件格式的灵活性使得它可以适应各种不同的系统需求,是现代Unix和类Unix系统的基础之一。 "ELF文件格式.pdf"文档很可能是对ELF...
关于内存载DLL后修复重定位问题
IT男也疯狂
05-27 2475
看网上的代码好累,摸索整理了一下,顺便巩固下PE 首先介绍下PE头,分为2个部分 1、DOS头 (IMAGE_DOS_HEADER) typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // ASCII字符MZ  WORD e_c
手工脱壳之 UPX 【随机基址】【模拟UPX部分算法】【手工C++重建重定位表】
aihan8042的博客
03-20 503
一、工具及壳介绍 使用工具:Ollydbg,PEID,ImportREC,LoadPE,010Editor UPX壳 3.94: 有了上篇ASPack壳的经验,先查看数据目录表: 可知是upx壳通过PE载器修复自我重定位信息。 二、脱壳 1、ESP定律 入口: 通...
重定位表,IAT修复引起的大脑风暴
独孤龙城的专栏
07-29 2919
因为刚学PE没多久,所以今晚上进入了一个误区,第一个,重定位重定位的是哪些信息,第二个,IAT修复重定位有什么关系。 通俗的说,重定位表里面记录的就是写死了的数据,比如call 一个地址(一串数字),在基址载进内存后,不是我们所期待的镜像基址后,这些地址就变成了野指针,这时候就需要重定位表进行重定位。 IAT修复重定位有啥关系呢,答案是,没有关系,在载进内存前,FirstThunk和
ELF文件的动态链接器 原理 设计和代码 - ChinaUnix.net
xu的blog
05-10 1960
导读: 为了保持简洁,本文省去了对部分细节的描述,例如weak型变量,和GOT等重定位类型。 本文假设读者了解ELF文件格式。代码在附件中。 如果论坛不支持附件,可以发邮件给我要 1 ELF文件的装载 在ELF文件中,使用section和program两种结构描述文件的内容。通常来说,ELF重定位文件采用section,ELF可执行文件使用program,可重链接文件则两种都用。 装载文件,其实
滴水逆向三期实践15:根据重定位表修正地址
Rivival_S 的博客
10-28 3003
占坑
Windows PE结构 修复重定位地址的详细具体步骤
qq_27814223的博客
07-24 563
因此,在进行重定位操作后,还需要确保可执行文件的映射范围足够容纳修复后的地址。当将可执行文件的ImageBase从0x400000修改为0x500000时,需要进行重定位(relocation)操作来修复程序中涉及到ImageBase的地址引用。Windows pe 重定位重定位修复 重定位修复 重定位修复方法重复步骤3到步骤6,直到遍历完所有的重定位项。将原地址上新的ImageBase与原ImageBase的差值,得到修复后的地址。重定位项中记录了需要修复的地址的偏移量。
ELF重定位
RToax
10-30 2581
在工作和学习中,越发发现ELF文件格式的重要性,今天简单谈谈ELF重定位重定位技术实际上是给二进制打补丁的机制,如果使用了动态连接器,可以使用重定位在内存打热补丁。 ELF重定位重定位技术实际上是给二进制打补丁的机制,如果使用了动态连接器,可以使用重定位在内存打热补丁。https://mp.weixin.qq.com/s?__biz=MzAxNjIyNDgzNw==&mid=2247488904&idx=1&sn=78cb9a50f76b471d760e37be0527a02..
ELF重定位分析
lingedeng的专栏
01-21 1367
1. 变量访问 ///////////////////////////////////////////////////////////// //ml_mainpic_data.c //gcc -fPIC -shared -g -o libmlpicdata.so ml_mainpic_data.c int myglob = 42; int ml_func(int a, int b) { ...
基于软件的动态重定位
最新发布
07-26
- “修复重定位,通过重定位表找到能存储着需要重定位地址的地址,然后我们把这个地址存储的数据给改了” - “修改重定位信息,简而言之就是把需要重定位的地址改成基于新基址的虚拟地址” - 例如,计算新地址:基于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值