0x01 引言

ELF檔案格式，主要基於兩種，一種是基於連結檢視，連結檢視即是基於節(Section)來進行解析，一種是基於執行檢視，執行檢視即是基於段(Segment)來進行解析。前一種是用於靜態分析的時候，譬如IDA載入。後一種是在動態連結執行的時候，譬如linker載入。

所以修改節資訊實際上是不影響ELF正常執行的，而且hook功能也只能在執行檢視中進行符號解析。

所以修改節資訊實際上是不影響ELF正常執行的，而且hook功能也只能在執行檢視中進行符號解析。

所以修改節資訊實際上是不影響ELF正常執行的，而且hook功能也只能在執行檢視中進行符號解析。

0x02 re.dyn 和 rel.plt的區別

基於執行檢視通過PT_DYNAMIC獲取重定位段，然後在重定位段中可獲得主要兩種型別的重定位表：DT_REL(A)，DT_JUMPREL，分別對應rel.dyn和rel.plt。在這兩種表裡面，可通過ELF_R_TYPE_T獲取重定位型別，重定位型別按功能性分函式型別和變數型別，後面會詳述。那rel.dyn和rel.plt分別存放的重定位型別是有所不同，R_ARM_RELATIVE、R_ARM_ABS32和R_ARM_GLOB_DAT存放在rel.dyn上，R_ARM_JUMP_SLOT存放在rel.plt上。

0x03 重定位型別詳解

常見的重定位函式型別有三種：R_ARM_JUMP_SLOT，R_ARM_ABS32和R_ARM_GLOB_DAT。

對於64位或者其他平臺的有：

#if defined(__arm__)
#define JUMP_SLOT_T  	    R_ARM_JUMP_SLOT       	//.rel.plt
#define GLOB_DAT_T  		R_ARM_GLOB_DAT       		//.rel.dyn
#define ABS_T       		R_ARM_ABS32          		//.rel.dyn
#elif defined(__aarch64__)
#define JUMP_SLOT_T  	    R_AARCH64_JUMP_SLOT  
#define GLOB_DAT_T  		R_AARCH64_GLOB_DAT       
#define ABS_T       		R_AARCH64_ABS64          	
#elif defined(__i386__)
#define JUMP_SLOT_T  	    R_386_JMP_SLOT  
#define GLOB_DAT_T  		R_386_GLOB_DAT       		
#define ABS_T       		R_386_32          			
#elif defined(__x86_64__)
#define JUMP_SLOT_T  	    R_X86_64_JUMP_SLOT  
#define GLOB_DAT_T  		R_X86_64_GLOB_DAT       	
#define ABS_T       		R_X86_64_64     
#endif
 

那每種對應什麼型別呢

參考