最近在研究安卓的ELF动态链接库,网上看了一些资料,当我在用readelf查看某个样本安卓elf时,在Program Header里面发现了以下信息:
Program Headers:
Type Offset VirtAddr PhysAddr FileSiz MemSiz Flg Align
PHDR 0x000034 0x00000034 0x00000034 0x000e0 0x000e0 R 0x4
LOAD 0x000000 0x00000000 0x00000000 0x02138 0x02138 R E 0x1000
LOAD 0x002eb8 0x00003eb8 0x00003eb8 0x0014c 0x0014c RW 0x1000
DYNAMIC 0x002ec4 0x00003ec4 0x00003ec4 0x000f8 0x000f8 RW 0x4
GNU_STACK 0x000000 0x00000000 0x00000000 0x00000 0x00000 RW 0
EXIDX 0x002078 0x00002078 0x00002078 0x000c0 0x000c0 R 0x4
GNU_RELRO 0x002eb8 0x00003eb8 0x00003eb8 0x00148 0x00148 RW 0x4
问题是,不同于windows的PE,在windows下所有区段都要以0x200对齐(ELF貌似没有这个限制?),而且区段不可能重合。
但在这里,明显第一个区段(PHDR)那个0x34-0x114就被包括在了第二个区段(LOAD)0x0-0x2138,而且Flg还自相矛盾:PHDR那个不可执行但是LOAD那个可以。。。
0x2eb8-0x3004的区段3(也是LOAD)也和DYNAMIC、GNU_RELRO重叠了。。。
这种重叠的区段在ELF中是允许的吗?那运行时在内存镜像中矛盾的Flg会被怎么处理呢?
查了好久也没找到相关说明。。。折腾我一天了。。实在没办法才来发帖问的。。有大神了解这方面的知识吗,或者哪里有相关资料吗?
感激不尽
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
