2. 程式人生 > 其它 >通過讀取maps資訊獲取可執行檔案頭裝載的地址

通過讀取maps資訊獲取可執行檔案頭裝載的地址

阿新 發佈:2021-06-19

1. 通過maps檔案獲取程序的檔案頭和段表

想要實現這一功能,根據書上所寫,首先要找到程式碼段的首地址BaseVaddr,然後檔案頭就從這個地址開始,用ptrace從這個地址讀一個sizeof(Elf64_Ehdr)大小的資料出來就可以了

但是,我在實現的時候遇到的一個問題,讀出來的結果壓根不對,其結果如下所示

$ sudo ./reconstruct 12127
BaseVaddr: 0x401000
ELF header:

magic:    f3 f 1e fa ff ff ff ff 48 8b 5 e9 ff ff ff ff 
 Type:                               c085
 Machine:                            274
 Version:                            0
 Entry point address:                c308c4
 Start of Program header:            2fe235ff
 Size of program header:             65535 (bytes)
 Number of Program headers:          61952
 Size of section header:             57833 (bytes)
 Number of Section headers:          65535
 Section header string table index:  65535

正常64為ELF檔案的前四個位元組應該為\0x7fELF,而這裡是個啥???

2. 手動檢視maps檔案


從上圖可以發現,它跟網上很多部落格給出來的並不是完全一樣,在許可權為r-xp的程式碼段上面還有一個許可權為r--p的段,且其映像檔案也是test

3. 嘗試BaseVaddr

因此我去嘗試著將BaseVaddr設定為固定值0x400000,繼續執行程式碼得出如下結果:

$ sudo ./reconstruct 12127
BaseVaddr: 0x400000
correct!
ELF header:

magic:    7f 45 4c 46 0 0 0 0 0 0 0 0 0 0 0 0 
 Type:                               2
 Machine:                            3e
 Version:                            0
 Entry point address:                0x401070
 Start of Program header:            64 (bytes into file)
 Flags:                              0x0
 Size of this header:                0 (bytes)
 Size of program header:             0 (bytes)
 Number of Program headers:          13
 Size of section header:             64 (bytes)
 Number of Section headers:          0
 Section header string table index:  0

對比一下用readelf讀出來的檔案頭

$ readelf -h ./test
ELF Header:
  Magic:   7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00 
  Class:                             ELF64
  Data:                              2's complement, little endian
  Version:                           1 (current)
  OS/ABI:                            UNIX - System V
  ABI Version:                       0
  Type:                              EXEC (Executable file)
  Machine:                           Advanced Micro Devices X86-64
  Version:                           0x1
  Entry point address:               0x401070
  Start of program headers:          64 (bytes into file)
  Start of section headers:          14728 (bytes into file)
  Flags:                             0x0
  Size of this header:               64 (bytes)
  Size of program headers:           56 (bytes)
  Number of program headers:         13
  Size of section headers:           64 (bytes)
  Number of section headers:         31
  Section header string table index: 30

可以發現其大部分是對上了,但是有一些資料是對不上的,比如DataVersionOS/ABISize of this headerSize of program header都是對不上的,段的數量卻是正確的

4. 結論

雖然上面還是有一些資料對不上,但是有一個結論,那就是在這種情況下,系統實際裝載可執行檔案的時候,是將檔案頭和段表等資訊作為r--p許可權的段,並將其與實際的程式碼段分開

相關推薦

通過讀取maps資訊獲取執行檔案裝載地址

1. 通過maps檔案獲取程序的檔案頭和段表 想要實現這一功能,根據書上所寫,首先要找到程式碼段的首地址BaseVaddr,然後檔案頭就從這個地址開始,用ptrace從這個地址讀一個sizeof(Elf64_Ehdr)大小的資料出來就可以了

《程式設計師的自我修養》p6 執行檔案裝載與程序

程序虛擬地址空間 每個程式被執行起來以後,都將擁有自己獨立的虛擬地址空間,這個虛擬地址空間的大小由計算機的硬體平臺決定,即由CPU的位數決定。 一般來說,C語言指標大小的位數與虛擬空間的位數相同 我

利用readlink()獲取當前執行檔案所在的路徑

相關函式: stat, lstat, symlink 表頭檔案: #include <unistd.h> 定義函式:intreadlink(constchar *path,char *buf, size_tbufsiz);

shell指令碼中獲取執行檔案)Python指令碼的返回值

技術標籤:Pythoncentospythonshelllinux Python程式碼(檔名 pyfile.py): import sys print("ok")

程式碼筆記5 關於vscode中的cmake工程編譯通過後無法執行程式碼的問題,以及GDB除錯執行檔案

1  令人頭疼的事就是時常發生。之前用vscode編譯cmake工程時,cmake完了,編譯也通過了,執行檔案也產生了,vscode就是識別不到執行檔案,真是令人頭大。如果直接執行就會報錯

如何從編譯出來的執行檔案獲取編譯選項

方法 readelf命令 readelf --debug-dump=info /path/to/executable grep \"DW_AT_producer\" strings命令

Windows下Java呼叫執行檔案程式碼例項

這篇文章主要介紹了Windows下Java呼叫執行檔案程式碼例項,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

將python依賴包打包成window下執行檔案bat方式

1、 開啟一個記事本,將需要安裝的第三方python依賴包寫入檔案,比如:需要安裝urllib3、flask、bs4三個python庫(替換成你想要安裝的庫,每個庫之間用空格隔開),輸入“python -m pip install ”,再輸入“urllib3

Python編譯為二進位制so執行檔案例項

通過cpython把python的檔案轉換為二進位制檔案,達到程式碼保護的目的 1、下載Cython-0.28.2.tar.gz

Pycharm生成執行檔案.exe的實現方法

一個專案開發完畢後總有一種想法,就是生成執行檔案,總不能一直用python xxx執行吧。

一個可以選擇目錄生成doc目錄內容的小工具(四)-pyinstaller建立執行檔案

接上節,功能實現了要做一下收尾的工作,將程式碼註釋、抽象。巴拉巴拉吧,不想純帖程式碼(有點小長)。傳到git上吧,這節就做最後一個工序,打包。

cmd 打包java成jar執行檔案

1.建立java檔案   TestMain.java public class TestMain { public static void main (String[] args) {

快速解決Ubuntu/linux 環境下QT生成沒有執行檔案(application/x-executable)

快速解決Ubuntu/linux 環境下QT生成沒有執行檔案(application/x-executable)(轉載)

Go語言呼叫Shell與執行檔案的實現

os/exec包用於呼叫外部命令,可以使用管道連線輸入輸出,並支援阻塞與非阻塞方式執行命令。

Python指令碼打包成執行檔案過程解析

Python是一個指令碼語言,被直譯器解釋執行。它的釋出方式: .py檔案:對於開源專案或者原始碼沒那麼重要的,直接提供原始碼,需要使用者自行安裝Python並且安裝依賴的各種庫。(Python官方的各種安裝包就是這樣做的

使用exe4j將Java執行檔案轉換為exe

文章目錄 概述打包jar檔案轉換(必須電腦裝的有jre或者是jdk)帶上jre最後 概述

把nodejs程式打包成執行檔案

在寫好之後的nodejs程式,想發給同事的電腦上執行程式,就不得不下載node環境,還要安裝第三方依賴包,非常的麻煩。

如何將 FIBJS 指令碼打包成 exe 執行檔案

FIBjs簡介!Start it! FIBJS 是一個主要為 Web 後端開發而設計的應用伺服器開發框架,它建立在 Google v8JavaScript引擎基礎上,並且選擇了和傳統的 callback 不同的併發解決方案。fibjs 利用 fiber 在框架層隔離了

Goland 生成執行檔案的操作

返回主頁Goland通過呼叫go build 生成執行檔案。 預設Goland是可以執行程式,但你找不到執行檔案

c程式碼利用ndk-build來生成elf執行檔案

技術標籤:安卓逆向安卓 原文章地址:https://www.ssfiction.com/andiordadb/9931.html--猴子技術宅