Kuidas avada elf-faili Windowsis. Mis on .ELF-faililaiend? Andmeid kirjeldavad sõlmed

19.5 Üldine URL-i vorming Ülaltoodut kokku võttes märgime, et:? URL algab kasutatava juurdepääsuprotokolliga.? Kõigi rakenduste puhul, välja arvatud veebiuudised ja meilisõnumid, järgneb sellele eraldaja://.? Seejärel määratakse serveri hostinimi.? Lõpuks

3.3.1. RSS-vorming Saate lugeda saidiuudiseid erineval viisil. Lihtsaim viis on aeg-ajalt saiti külastada ja uusi sõnumeid vaadata. Saate panna saate, mis ühendub uudistekanaliga ja saab ise uudiste pealkirju või märkusi, vastavalt

MP3-vorming MP3-vorming loodi MPEG 1 level 3 kodekiga tihendatud muusikafailide levitamiseks.See on praegu kõige populaarsem vorming muusika levitamiseks Internetis ja mujal. Seda toetavad absoluutselt kõik heli salvestamise ja töötlemise programmid

MP3-vorming Rahvusvahelise organisatsiooni MPEG (Moving Pictures Experts Group – Video Recording Experts Group) välja pakutud heli tihendamise meetod, aga ka tihendatud helifailide vorming põhineb tajuheli kodeerimisel. Töötage tõhusate kodeerimisalgoritmide loomisega

ELF-vorming ELF-vormingus on mitut tüüpi faile, mida oleme seni nimetanud erinevalt, näiteks käivitatav fail või objektifail. ELF-i standard eristab aga järgmisi tüüpe:1. Ümberpaigutatav fail, mis sisaldab juhiseid ja andmeid, mida saab

Numbrivorming Lõpuks jõudsime numbrivorminguni. Olen seda juba korduvalt maininud, nüüd panen kõik riiulitele (kuigi üldisest tähendusest sai juba aru) Excelis saab numbreid kuvada erinevates formaatides. Selles jaotises räägime sellest, millised numbrivormingud on olemas ja kuidas

Selles ülevaates räägime ainult selle vormingu 32-bitisest versioonist, sest me ei vaja veel 64-bitist versiooni.

Iga ELF-fail (sh selle vormingu objektimoodulid) koosneb järgmistest osadest:

• ELF faili päis;
• Programmi osade tabel (objektmoodulites võib puududa);
• ELF-i faili osad;
• Sektsioonitabel (ei pruugi käivitatavas moodulis olla);
• Jõulisuse huvides ei kasuta ELF-vorming bitivälju. Ja kõik struktuurid on tavaliselt joondatud 4-baidiselt.

Vaatame nüüd ELF-failide päistes kasutatavaid tüüpe:

Nüüd kaaluge faili päist:

#define EI_NIDENT 16 struktuure elf32_hdr (märgistamata sümbolid e_ident; Elf32_Half e_type; Elf32_Half e_machine; Elf32_Word e_version; Elf32_Addr e_entry; / * Sisenemispunkt * / Elf32_Off e_phoff; Elf32_Off e_shoff; Elf32_Word e_flags; Elf32_Half e_ehsize; Elf32_Half e_phentsize; Elf32_Half e_phnum; Elf32_Half e_shentsize; Elf32_Half e_shnum; Elf32_Half e_shstrndx; );

Massiiv e_ident sisaldab teavet süsteemi kohta ja koosneb mitmest alamväljast.

Struktuur ( unsigned char ei_magic; unsigned char ei_class; unsigned char ei_data; unsigned char ei_version; unsigned char ei_pad; )

• ei_magic – kõigi ELF-failide konstantne väärtus, võrdne ( 0x7f, "E", "L", "F")
• ei_class – ELF-failiklass (1–32 bitti, 2–64 bitti, mida me ei arvesta)
• ei_data – määrab selle faili baitide järjekorra (see järjekord sõltub platvormist ja võib olla otsene (LSB või 1) või vastupidine (MSB või 2)) Inteli protsessorite puhul on lubatud ainult väärtus 1.
• ei_version on üsna kasutu väli ja kui see pole võrdne 1-ga (EV_CURRENT), loetakse fail kehtetuks.

Väli ei_pad on koht, kus operatsioonisüsteemid salvestavad oma identifitseerimisteabe. See väli võib olla tühi. See pole ka meile oluline.

Päiseväli e_type võib sisaldada mitut väärtust, käivitatavate failide puhul peab see olema ET_EXEC võrdne 2-ga

e_machine - määrab protsessori, millel see käivitatav fail võib töötada (meie jaoks on EM_386 väärtus 3)

Väli e_version vastab päises olevale väljale ei_version.

Väli e_entry määrab programmi algusaadressi, mis asetatakse eip-i enne programmi käivitamist.

Väli e_phoff määrab programmide mällu laadimiseks kasutatava nihke faili algusest, kus asub programmiosa tabel.

Kõikide väljade eesmärki ma ei loetle, kõiki pole laadimiseks vaja. Kirjeldan veel ainult kahte.

Väli e_phentsize määrab programmi jaotise tabelis oleva kirje suuruse.

Ja väli e_phnum määrab programmi sektsiooni tabeli kirjete arvu.

Sektsioonitabelit (mitteprogrammi) kasutatakse programmide linkimiseks. me ei võta seda arvesse. Samuti ei võta me arvesse dünaamiliselt seotud mooduleid. See teema on üsna keeruline, esmatutvuse jaoks ei sobi. :)

Nüüd programmiosadest. Programmi jaotise tabeli kirje vorming on järgmine:

Struktuur elf32_phdr( Elf32_Word p_type; Elf32_Off p_offset; Elf32_Addr p_vaddr; Elf32_Addr p_paddr; Elf32_Word p_filesz; Elf32_Word p_memsz; Elf32__Word; Elf32_lagsW; Elf3 p_f3);

Veel põldude kohta.

• p_type – määrab programmiosa tüübi. See võib võtta mitut väärtust, kuid meid huvitab ainult üks. PT_LOAD(1). Kui sektsioon on seda tüüpi, on see ette nähtud mällu laadimiseks.
• p_offset – määrab nihke failis, millest see jaotis algab.
• p_vaddr Määrab virtuaalse aadressi, kuhu see jaotis mällu laadida.
• p_paddr – määrab füüsilise aadressi, kuhu see jaotis tuleks laadida. Seda välja ei pea kasutama ja see on tähenduslik ainult mõne platvormi jaoks.
• p_filesz – määrab failis oleva jaotise suuruse.
• p_memsz - määrab mälus oleva jaotise suuruse. See väärtus võib olla suurem kui eelmine. Väli p_flag määrab juurdepääsu tüübi mälu jaotistele. Mõned lõigud on lubatud esitada, mõned salvestada. Olemasolevates süsteemides on kõik lugemiseks saadaval.

ELF-vormingu laadimine.

Pealkirjaga saime sellest natuke aru. Nüüd annan algoritmi ELF-vormingus binaarfaili laadimiseks. Algoritm on skemaatiline, te ei tohiks seda pidada toimivaks programmiks.

Int LoadELF (märgita tähemärk *bin) ( struct elf32_hdr *EH = (struct elf32_hdr *)bin; struct elf32_phdr *EPH; if (EH->e_ident != 0x7f || // Control MAGIC EH->e_ident != "E" || EH->e_ident != "L" || EH->e_ident != "F" || EH->e_ident != ELFCLASS32 || // Kontrollklass EH->e_ident != ELFDATA2LSB || // baitide järjestus EH->e_ident != EV_CURRENT || // versioon EH->e_type != ET_EXEC || // tüüp EH->e_machine != EM_386 || // platvorm EH->e_version != EV_CURRENT) // ja veel kord versioon, igaks juhuks tagasta ELF_WRONG; EPH = (struct elf32_phdr *)(bin + EH->e_phoff); while (EH->e_phnum--) ( if (EPH->p_type == PT_LOAD) memcpy (EPH->p_vaddr, bin + EPH->p_offset, EPH->p_filesz); EPH = (struct elf32_phdr *)((märgita tähemärk *)EPH + EH->e_phentsize)); ) tagastab ELF_OK; )

Tõsiselt võetuna tasub analüüsida EPH->p_flags välju ja määrata vastavatele lehtedele ligipääsuõigused ning lihtsalt kopeerimine siin ei toimi, aga see ei kehti enam vormingu, vaid mälujaotuse kohta. Seetõttu me sellest praegu ei räägi.

PE-vorming.

Paljuski sarnaneb see ELF-vorminguga ja pole üllatav, et allalaadimiseks peaks olema ka jaotisi.

Nagu kõik Microsoftis :) PE-vorming põhineb EXE-vormingul. Faili struktuur on järgmine:

• 00h - EXE päis (ma ei võta seda arvesse, see on vana kui Dos. :)
• 20h - OEM-i päis (selles pole midagi olulist);
• 3ch – tegelik PE päise nihe failis (dword).
• stub liikumislaud;
• stub;
• PE päis;
• objektitabel;
• failiobjektid;

stub on programm, mis töötab reaalrežiimis ja teeb eeltööd. See ei pruugi olla saadaval, kuid mõnikord võib seda vaja minna.

Oleme huvitatud millestki muust, PE-päisest.

Selle struktuur on järgmine:

Struktuur pe_hdr ( unsigned long pe_sign; unsigned short pe_cputype; unsigned short pe_objnum; unsigned long pe_time; unsigned long pe_cofftbl_off; unsigned long pe_cofftbl_size; unsigned short pe_nthdr_size; unsigned short pe_nthdr_size; unsigned short pe_ uncodeed_ shortsignedverdaic; unsigned short pe_ shortsigned_magize; unsignize_ shortsigned_magize; unsignize ; allkirjastamata pikk pe_entry; unsigned long pe_code_base; signed long pe_data_base; unsigned long pe_image_base; signed long pe_obj_align; signed long pe_file_align; // ... no ja palju muud, ebaoluline. );

Seal on palju asju. Piisab, kui öelda, et selle päise suurus on 248 baiti.

Ja peaasi, et enamik neist väljadest on kasutamata. (Kes nii ehitab?) Ei, neil on teada-tuntud otstarve, aga näiteks minu testprogrammis on väljadel pe_code_base, pe_code_size jne nullid, aga see töötab hästi. Järeldus viitab iseenesest, et fail laaditakse objektide tabeli põhjal. Sellest me räägimegi.

Objektitabel järgneb vahetult pärast PE päist. Selle tabeli kirjed on järgmises vormingus:

Struktuur pe_ohdr ( unsigned char o_name; unsigned long o_vsize; unsigned long o_vaddr; unsigned long o_psize; unsigned long o_poff; unsigned char o_reserved; unsigned long o_ flags; );

• o_nimi - jaotise nimi, see on laadimisel täiesti ükskõikne;
• o_vsize - sektsiooni suurus mälus;
• o_vaddr - ImageBase'i suhteline mäluaadress;
• o_psize - jaotise suurus failis;
• o_poff - jaotise nihe failis;
• o_lipud - sektsiooni lipud;

Siin tasub lippudel põhjalikumalt peatuda.

• 00000004h – kasutatakse 16 bitise nihkega koodi jaoks
• 00000020h - koodijaotis
• 00000040h - lähtestatud andmete jaotis
• 00000080h - initsialiseerimata andmejaotis
• 00000200h - kommentaarid või mis tahes muud tüüpi teave
• 00000400h - ülekatte sektsioon
• 00000800h – ei kuulu programmi kujutisse
• 00001000h - üldandmed
• 00500000h – vaikimisi joondus, kui pole teisiti määratud
• 02000000h - saab mälust maha laadida
• 04000000h – pole vahemällu salvestatud
• 08000000h – pole lehitsetav
• 10000000h - jagatud
• 20000000h - teostatav
• 40000000h - saab lugeda
• 80000000h - saate kirjutada

Jällegi, ma ei tegele jagatud ja ülekattega sektsioonidega, meid huvitavad kood, andmed ja juurdepääsuõigused.

Üldiselt piisab sellest teabest juba binaarfaili allalaadimiseks.

PE-vormingu laadimine.

See ei ole jällegi valmis programm, vaid laadimisalgoritm.

Ja jällegi, paljud punktid jäävad käsitlemata, kuna need lähevad teemast kaugemale.

Kuid nüüd tasub veidi rääkida olemasolevatest süsteemifunktsioonidest.

Süsteemi omadused.

Vaatamata protsessorites saadaolevate kaitsete paindlikkusele (kaitse deskriptorite tabelite tasemel, kaitse segmendi tasemel, lehetaseme kaitse), kasutatakse olemasolevates süsteemides (nii Windowsis kui ka Unixis) täielikult ainult lehekaitset, mis, kuigi see võib takistada koodi kirjutamist, kuid ei saa takistada andmete käivitamist. (Võib-olla on see süsteemi haavatavuste rohkuse põhjus?)

Kõik segmendid on adresseeritud lineaarsest aadressist nullist ja ulatuvad lineaarse mälu lõpuni. Protsessi piiritlemine toimub ainult lehe tabeli tasemel.

Sellega seoses on kõik moodulid lingitud mitte algusaadressidest, vaid segmendis piisavalt suure nihkega. Windowsis on segmendi baasaadress 0x400000, Unixis (Linux või FreeBSD) on see 0x8048000.

Mõned funktsioonid on seotud ka mälu otsimisega.

ELF-failid on lingitud nii, et sektsioonide piirid ja suurused langevad faili 4 kilobaidistele plokkidele.

Ja PE-vormingus, hoolimata asjaolust, et vorming ise võimaldab teil joondada 512-baidiseid sektsioone, kasutatakse 4k sektsioonide joondamist, ei peeta Windowsis madalamat joondamist õigeks.

Kui teie arvutis on viirusetõrjeprogramm saab skannida kõiki arvutis olevaid faile ja ka iga faili eraldi. Saate skannida mis tahes faili, paremklõpsates failil ja valides faili viiruste kontrollimiseks sobiva valiku.

Näiteks sellel joonisel fail minu-fail.elf, siis peate sellel failil paremklõpsama ja valige failimenüüst suvand "skanni AVG-ga". Selle valiku valimine avab AVG Antivirus ja kontrollib faili viiruste suhtes.

Mõnikord võib viga tuleneda sellest tarkvara vale installimine, mis võib olla tingitud installiprotsessi käigus ilmnenud probleemist. See võib teie operatsioonisüsteemi häirida seostage oma ELF-fail õige tarkvararakendusega, mõjutades nn "faililaiendi seosed".

Mõnikord lihtne Dolphini (emulaatori) uuesti installimine võib teie probleemi lahendada, ühendades ELF-i õigesti Dolphiniga (emulaatoriga). Muudel juhtudel võivad failiühenduse probleemid tuleneda sellest halb tarkvara programmeerimine arendaja ja peate võib-olla edasise abi saamiseks arendajaga ühendust võtma.

Nõuanne: Proovige värskendada Dolphini (emulaatorit) uusimale versioonile, et veenduda, et teil on uusimad paigad ja värskendused.

See võib tunduda liiga ilmne, kuid sageli ELF-fail ise võib probleemi põhjustada. Kui saite faili meilimanuse kaudu või laadisite selle veebisaidilt alla ja allalaadimisprotsess katkes (näiteks elektrikatkestuse või muu põhjuse tõttu), fail võib olla rikutud. Võimalusel proovige hankida ELF-failist uus koopia ja proovige see uuesti avada.

Hoolikalt: Rikutud fail võib põhjustada täiendavat kahju teie arvuti varasemale või olemasolevale pahavarale, mistõttu on oluline hoida oma arvuti ajakohase viirusetõrjega kursis.

Kui teie ELF-fail mis on seotud teie arvuti riistvaraga vajaliku faili avamiseks värskendage seadme draivereid seotud selle seadmega.

See probleem tavaliselt seotud meediumifailitüüpidega, mis sõltuvad näiteks arvuti sees oleva riistvara edukast avamisest, helikaart või videokaart. Näiteks kui proovite avada helifaili, kuid ei saa seda avada, peate võib-olla seda tegema värskendage helikaardi draivereid.

Nõuanne: Kui proovite ELF-faili avada, saate .SYS-failiga seotud veateade, võib probleem tõenäoliselt olla mis on seotud rikutud või aegunud seadmedraiveritega mida tuleb uuendada. Seda protsessi saab hõlbustada draiveri värskendustarkvara (nt DriverDoc) abil.

Kui sammud probleemi ei lahendanud ja teil on endiselt probleeme ELF-failide avamisega, selle põhjuseks võib olla saadaolevate süsteemiressursside puudumine. Mõned ELF-failide versioonid võivad teie arvutis korralikult avamiseks nõuda märkimisväärsel hulgal ressursse (nt mälu/RAM, töötlemisvõimsus). See probleem on üsna tavaline, kui kasutate korraga üsna vana arvuti riistvara ja palju uuemat operatsioonisüsteemi.

See probleem võib ilmneda siis, kui arvutil on ülesande täitmisega raskusi, kuna operatsioonisüsteem (ja muud taustal töötavad teenused) võivad kulutab ELF-faili avamiseks liiga palju ressursse. Enne Nintendo Wii mängufaili avamist proovige sulgeda arvutis kõik rakendused. Vabastades arvutis kõik saadaolevad ressursid, tagate parimad tingimused ELF-faili avamiseks.

Kui sa lõpetanud kõik ülaltoodud sammud ja teie ELF-fail ikka ei avane, peate võib-olla käivitama riistvara uuendamine. Enamikul juhtudel, isegi vanemate riistvaraversioonide puhul, võib töötlemisvõimsusest enamiku kasutajarakenduste jaoks siiski enam kui piisav olla (välja arvatud juhul, kui teete palju protsessorimahukat tööd, nagu 3D-renderdamine, finants-/teaduste modelleerimine või intensiivne meediatöö). . Sellel viisil, tõenäoliselt pole teie arvutil piisavalt mälu(sagedamini nimetatakse seda "RAM" või RAM), et täita faili avamise ülesannet.

Selle vastuse versioon hea TOC ja muu sisuga: http://www.cirosantilli.com/elf-hello-world (klõpsake siin 30 000 tähemärgi piirang)

Standardid

ELFi annab LSB:

• core generic: http://refspecs.linuxfoundation.org/LSB_4.1.0/LSB-Core-generic/LSB-Core-generic/elf-generic.html
• tuum AMD64: http://refspecs.linuxfoundation.org/LSB_4.1.0/LSB-Core-AMD64/LSB-Core-AMD64/book1.html

LSB viitab enamasti teistele väiksemate laiendustega standarditele, eelkõige:

üldine (mõlemad SCO):

• System V ABI 4.1 (1997) http://www.sco.com/developers/devspecs/gabi41.pdf, mitte 64-bitine, kuigi selle jaoks on reserveeritud maagiline number. Sama kehtib ka põhifailide kohta.
• System V ABI värskenduse DRAFT 17 (2003) http://www.sco.com/developers/gabi/2003-12-17/contents.html lisab 64 bitti. Värskendab ainult eelmise dokumendi 4. ja 5. peatükke: ülejäänud jäävad kehtima ja neile viidatakse.

• spetsiifiline arhitektuur:

  • IA-32: http://refspecs.linuxfoundation.org/LSB_4.1.0/LSB-Core-IA32/LSB-Core-IA32/elf-ia32.html viitab peamiselt aadressile http://www.sco.com/developers/ devspecs/abi386-4.pdf
  • AMD64: http://refspecs.linuxfoundation.org/LSB_4.1.0/LSB-Core-AMD64/LSB-Core-AMD64/elf-amd64.html , viitab põhimõtteliselt http://www.x86-64.org/ dokumentatsioonile /abi.pdf

Mugava CV leiate aadressilt:

Selle struktuuri saab uurida kasutajasõbralike viisidega, nagu readelf ja objdump.

Loo näide

Jagame lahti minimaalse Linuxi x86-64 käivitatava näite:

Jaotis .data hello_world db "Tere maailm!", 10 hello_world_len equ $ - hello_world .text global _start _start: mov rax, 1 mov rdi, 1 mov rsi, hello_world mov rdx, hello_world syld syld0 sylld

Koostatud koos

Nasm -w+all -f elf64 -o "hello_world.o" "hello_world.asm" ld -o "hello_world.out" "hello_world.o"

• NASM 2.10.09
• Binutils versioon 2.24 (sisaldab ld-d)
• Ubuntu 14.04

Me ei kasuta C-programmi, kuna see raskendaks analüüsi, mis oleks 2. tasemel :-)

kahendarvu kuueteistkümnendkujulised esitused

Globaalne failistruktuur

ELF-fail sisaldab järgmisi osi:

• ELFi päis. Näitab jaotise päiste tabeli ja programmi päise tabeli asukohta.

  Jaotise päise tabel (käivitusfailis valikuline). Igal neist on jaotise päised e_shnum , millest igaüks näitab jaotise asukohta.

  N vaheseint N-ga<= e_shnum (необязательно в исполняемом файле)

  Programmi päise tabel (ainult käivitatavate failide jaoks). Kõigil neil on programmi e_phnum päised, millest igaüks näitab segmendi asukohta.

  N segmenti koos N-ga<= e_phnum (необязательно в исполняемом файле)

Nende osade järjekord pole fikseeritud: ainus fikseeritud asi on ELF-i päis, mis peab olema failis esimene: Levinud dokumendid ütlevad:

ELFi päis

Lihtsaim viis päise vaatamiseks on:

readelf -h hello_world.o readelf -h hello_world.out

Bait objektifailis:

00000000 7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00 |.ELF........| 00000010 01 00 3e 00 01 00 00 00 00 00 00 00 00 00 00 00 |..>.............| 00000020 00 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00 | [e-postiga kaitstud]| 00000030 00 00 00 00 40 00 00 00 00 00 40 00 07 00 03 00 |[e-postiga kaitstud]@.....|

00000000 7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00 |.ELF........| 00000010 02 00 3e 00 01 00 00 00 b0 00 40 00 00 00 00 00 |..> [e-postiga kaitstud]| 00000020 40 00 00 00 00 00 00 00 10 01 00 00 00 00 00 00 |@...............| 00000030 00 00 00 00 40 00 38 00 02 00 40 00 06 00 03 00 |[e-postiga kaitstud]@.....|

Esitatud struktuur:

Typedef struktuure (märgistamata sümbolid e_ident; Elf64_Half e_type; Elf64_Half e_machine; Elf64_Word e_version; Elf64_Addr e_entry; Elf64_Off e_phoff; Elf64_Off e_shoff; Elf64_Word e_flags; Elf64_Half e_ehsize; Elf64_Half e_phentsize; Elf64_Half e_phnum; Elf64_Half e_shentsize; Elf64_Half e_shnum; Elf64_Half e_shstrndx;) Elf64_Ehdr;

Käsitsi lagunemine:

0 0: EI_MAG = 7f 45 4c 46 = 0x7f "E", "L", "F" : ELF maagiline arv

0 4: EI_CLASS=02=ELFCLASS64: 64-bitine elf

0 5: EI_DATA = 01 = ELFDATA2LSB: suured andmed

0 6: EI_VERSION = 01: vormingu versioon

0 7: EI_OSABI (ainult 2003) = 00 = ELFOSABI_NONE: laiendusi pole.

0 8: EI_PAD = 8x 00: reserveeritud baidid. Peab olema seatud väärtusele 0.

1 0: e_type = 01 00 = 1 (big endian) = ET_REl: ümberpaigutatav vorming

ET_EXEC täitmisfailis 02 00.

1 2: e_machine = 3e 00 = 62 = EM_X86_64: AMD64 arhitektuur

1 4: e_version = 01 00 00 00: peaks olema 1

1 8: e_entry = 8x 00: täitmisaadressi sisestuspunkt või 0, kui see pole kohaldatav, nagu objektifaili puhul, kuna sisestuspunkti pole.

Käivitatavas failis on see b0 00 40 00 00 00 00 00 . TODO: mida veel saame installida? Tundub, et kernel paneb IP-aadressi otse sellesse väärtusesse, see pole kõvakoodiga.

2 0: e_phoff = 8x 00: programmi päise tabeli nihe, 0 kui mitte.

40 00 00 00 käivitatavas failis, mis tähendab, et see algab kohe pärast ELF-i päist.

2 8: e_shoff = 40 7x 00 = 0x40: jaotise päise tabeli faili nihe, 0, kui seda pole.

3 0: e_lipud = 00 00 00 00 ÜLESANNE. Spetsiaalselt Arch jaoks.

3 4: e_ehsize = 40 00: selle päkapiku päise suurus. Miks see väli on? Kuidas see muutuda saab?

3 6: e_phentsize = 00 00: iga programmi päise suurus, 0 kui mitte.

38 00 käivitatavas failis: faili pikkus on 56 baiti

3 8: e_phnum = 00 00: programmi päise kirjete arv, 0, kui mitte ühtegi.

02 00 käivitatavas failis: seal on 2 kirjet.

3 A: e_shentsize ja e_shnum = 40 00 07 00: jaotise päise suurus ja kirjete arv

Jaotise päise tabel

Elf64_Shdr struktuuride massiiv.

Iga kirje sisaldab selle jaotise metaandmeid.

ELF-i päise e_shoff annab siin lähtepositsiooni, 0x40.

ELF-i päises olevad e_shentsize ja e_shnum ütlevad, et meil on 7 kirjet, millest igaüks on 0x40 pikk.

Seega võtab tabel baite vahemikus 0x40 kuni 0x40 + 7 + 0x40 - 1 = 0x1FF.

Mõned jaotiste pealkirjad on reserveeritud teatud tüüpi jaotistele: http://www.sco.com/developers/gabi/2003-12-17/ch4.sheader.html#special_sections näiteks. .text nõuab tüüpi SHT_PROGBITS ja SHF_ALLOC + SHF_EXECINSTR

readelf -S hello_world.o:

On 7 lõik päised, alustades nihe 0x40: jaotiste päised: Nimi Liik Aadress Offset Suurus EntSize Lipud Link Info Align [0] NULL 0000000000000000 00000000 0000000000000000 0000000000000000 0 0 0 [1] .data PROGBITS 0000000000000000 00000200 0000000000000000 000000000000000d WA 0 0 4 [ 2] .text PROGBITS 0000000000000000 00000210 0000000000000027 0000000000000000 AX 0 0 16 [3] .shstrtab STRTAB 0000000000000000 00000240 0000000000000032 0000000000000000 0 0 1 [4] .symtab SYMTAB 0000000000000000 00000280 0000000000000018 00000000000000a8 5 6 4 [5] .strtab STRTAB 00000330 0000000000000000 0000000000000034 0000000000000000 0 0 1 [ 6] .rela.text RELA 00000000000000000 00000370 0000000000000018 0000000000000018 4 2 4 Lippude võti: W (kirjutamine), A (täitmine), (st) I (teave), L (lingi järjekord), G (rühm), T (TLS), E (välista), x (teadmata) O (vajalik OS-i lisatöötlus) o (OS-spetsiifiline), p (protsessoripõhine)

struct , mida esindab iga kirje:

Typedef struct ( Elf64_Word sh_name; Elf64_Word sh_type; Elf64_Xword sh_flags; Elf64_Addr sh_addr; Elf64_Off sh_offset; Elf64_Xword sh_size; Elf64_Word sh_link; Elf64_Sõna sh_link; Elf64_Sõna sh_link; Elf64_sh_info6; Elf64_sõna Elf64X;

Sektsioonid

Indeksi jaotis 0

Sisaldub baitides 0x40 kuni 0x7F.

Esimene jaotis on alati maagiline: http://www.sco.com/developers/gabi/2003-12-17/ch4.sheader.html ütleb:

Kui partitsioonide arv on SHN_LORESERVE (0xff00) või sellega võrdne, määratakse e_shnum väärtuseks SHN_UNDEF (0) ja partitsiooni päise tabeli kirjete tegelik arv sisaldub partitsiooni päise väljal sh_size indeksi 0 juures (muidu algkirje sh_size liige sisaldab 0).

Joonisel 4-7: Sektsioonide eriindeksid on ka teisi maagilisi jaotisi.

Indeksis 0 on SHT_NULL nõutav. Kas sellel on muid kasutusviise: Mis kasu on ELF-i jaotisest SHT_NULL? ?

.andmete jaotis

Andmed on jaotises 1:

00000080 01 00 00 00 01 00 00 00 03 00 00 00 00 00 00 00 |................| 00000090 00 00 00 00 00 00 00 00 00 02 00 00 00 00 00 00 |................| 000000a0 0d 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| 000000b0 04 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|

Siin ütleb 1, et selle jaotise nimi algab selle jaotise esimesest märgist ja lõpeb esimese NUL-märgiga, moodustades string.data .

Andmed on üks jaotiste nimedest, millel on eelnevalt määratletud tähendus http://www.sco.com/developers/gabi/2003-12-17/ch4.strtab.html

Need jaotised salvestavad lähtestatud andmed, mis aitavad kaasa programmi mälupildile.

• 80 4: sh_type = 01 00 00 00: SHT_PROGBITS: ELF ei määra sektsiooni sisu, vaid see, kuidas programm seda tõlgendab. See on okei, kuna .data .

  80 8: sh_flags = 03 7x 00: SHF_ALLOC ja SHF_EXECINSTR: http://www.sco.com/developers/gabi/2003-12-17/ch4.sheader.html#sh_flags , nagu nõutakse jaotises .data

  90 0: sh_addr = 8x 00: millisele virtuaalsele aadressile sektsioon käitusajal paigutatakse, 0, kui seda ei paigutata

  90 8: sh_offset = 00 02 00 00 00 00 00 00 = 0x200: baitide arv programmi algusest kuni esimese baidini selles jaotises

  a0 0: sh_size = 0d 00 00 00 00 00 00 00

  Kui võtame 0xD baiti alates sh_offset 200-st, näeme:

  00000200 48 65 6c 6c 6f 20 77 6f 72 6c 64 21 0a 00 |Tere maailm!.. |

  AHA! Nii et meie string "Tere maailm!" on andmete jaotises, nagu me ütlesime, on see NASM-is.

  Kui oleme HD lõpetanud, vaatame seda järgmiselt:

  Readelf -x .data hello_world.o

  mis väljastab:

  Kuueteistkümnendväljavõte jaotisest ".andmed": 0x00000000 48656c6c 6f20776f 726c6421 0a Tere maailm!.

  NASM määrab selle jaotise jaoks korralikud omadused, kuna see viitab võluväel .datale: http://www.nasm.us/doc/nasmdoc7.html#section-7.9.2

  Pange tähele ka seda, et see oli vale partitsiooni valik: hea C-kompilaator paneks rea hoopis .rodata faili, kuna see on kirjutuskaitstud ja see võimaldaks OS-i optimeerimist jätkata.

  a0 8: sh_link ja sh_info = 8x 0: ei kehti selle jaotise tüübi kohta. http://www.sco.com/developers/gabi/2003-12-17/ch4.sheader.html#special_sections

  b0 0: sh_addralign = 04 = TODO: miks on see joondus vajalik? Kas see on ainult sh_addr ja ka sh_addr sees olevate märkide jaoks?

  b0 8: sh_entsize = 00 = jaotis ei sisalda tabelit. Kui != 0, tähendab see, et jaotis sisaldab kindla suurusega kirjete tabelit. Selles failis näeme readelfi väljundist, et see kehtib jaotiste .symtab ja .rela.text puhul.

.teksti jaotis

Nüüd, kui oleme ühe jaotise käsitsi teinud, lõpetame ja kasutame teiste jaotiste readelf -S.

Nimi Tüüp Aadress Nihe Suurus EntSize Lipud Lingi teave Joonda [ 2] .text

Tekst on käivitatav, kuid mitte kirjutatav: kui proovime sellele kirjutada Linuxi segfaults. Vaatame, kas meil on tõesti kood:

Objdump -d hello_world.o

Hello_world.o: failivorming elf64-x86-64 Sektsiooni .text lahtivõtmine: 00000000000000000<_start>: 0: b8 01 00 00 00 liikumine $0x1,%eax 5: bf 01 00 00 00 liikumine $0x1,%edi a: 48 be 00 00 00 00 00 movabs $0x0,%rsi 11:00 14:00 0d 00 00 00 liikumine $0xd,%edx 19: 0f 05 syscall 1b: b8 3c 00 00 00 liikumine $0x3c,%eax 20: bf 00 00 00 00 mov $0x0,%edi 205: syscall 205

Kui meil on hd-l grep b8 01 00 00, näeme, et see juhtub ainult numbril 00000210, mida see jaotis ütleb. Ja suurus on 27, mis sobib ka. Seetõttu peame rääkima õigest jaotisest.

See näeb välja nagu õige kood: kirjutamine, millele järgneb väljumine .

Kõige huvitavam osa on rida a , mis teeb:

Movabs $0x0,%rsi

edasta stringi aadress süsteemikutsele. Praegu on 0x0 vaid kohatäide. Pärast sidumist muutub see:

4000ba: 48 be d8 00 60 00 00 movabs $0x6000d8,%rsi

See muudatus on võimalik tänu jaotises .rela.text olevatele andmetele.

SHT_STRTAB

Sektsioone sh_type == SHT_STRTAB nimetatakse stringitabeliteks.

Selliseid jaotisi kasutavad stringinimede kasutamisel teised jaotised. Kasutamise jaotis ütleb:

• mis liini nad kasutavad
• milline on indeks sihtridade tabelis, kust rida algab

Näiteks võiks meil olla stringitabel, mis sisaldab: TODO: kas peaksime alustama tähega \0 ?

Andmed: \0 a b c \0 d e f \0 Indeks: 0 1 2 3 4 5 6 7 8

Ja kui mõni teine ​​jaotis soovib kasutada stringi d e f , peavad nad osutama selle jaotise indeksile 5 (täht d).

Tuntud stringitabelid:

• .shstrtab
• .strtab

.shstrtab

Jao tüüp: sh_type == SHT_STRTAB .

Üldnimetus: jaotise pealkirja päise rida.

Jaotis name.shstrtab on reserveeritud. Standard ütleb:

See jaotis sisaldab jaotiste nimesid.

See jaotis määrab ELF-i päise enda välja e_shstrnd.

Selle jaotise reaindeksid on tähistatud ridu tähistavate jaotiste päiste väljaga sh_name.

See jaotis ei määra SHF_ALLOC, seega ei kuvata seda käivitatavas failis.

Readelf -x .shstrtab hello_world.o

Hex prügila rubriigis ".shstrtab": 0x00000000 002e6461 7461002e 74657874 73747274 002e7368 ..data..text..sh 0x00000010 6162002e 73796d74 6162002e strtab..symtab .. 0x00000020 73747274 6162002e 72656c61 2e746578 strtab..rela.tex 0x00000030 7400 t.

Selles jaotises olevad andmed on fikseeritud vormingus: http://www.sco.com/developers/gabi/2003-12-17/ch4.strtab.html

Kui vaatame teisi jaotiste nimesid, näeme, et need kõik sisaldavad numbreid, nt. .teksti jaotis on nummerdatud 7 .

Seejärel lõpeb iga rida siis, kui on leitud esimene NUL-märk, nt. märk 12 \0 kohe pärast .text\0 .

.symtab

Jao tüüp: sh_type == SHT_SYMTAB .

Üldnimetus: sümbolite tabel.

Kõigepealt paneme tähele, et:

• sh_link = 5
• sh_info=6

Jaotises SHT_SYMTAB tähendavad need numbrid järgmist:

• Stringid
• mis annavad sümbolite nimesid, on jaotises 5, .strtab
• ümberpaigutamise andmed on jaotises 6, .rela.text

Hea kõrgetasemeline tööriist selle jaotise lahtivõtmiseks:

Nm hello_world.o

mis annab:

0000000000000000 T _start 0000000000000000 d hello_world 000000000000000d a hello_world_len

See on siiski kõrgetasemeline esitus, mis jätab teatud tüüpi märgid välja ja tähistab märke. Üksikasjalikuma jaotuse saate kasutades:

Readelf -s hello_world.o

mis annab:

Sümbol tabel ".syMtab" Sisaldab 7 kirjet: Num: Väärtus Suurus tüüp seonduvad NDX nimi 0: 0000000000000000 0 Notype Kohalik vaikimisi und 1: 0000000000000000 0 Faili kohaliku vaikimisi abs hello_world.ASM 2: 0000000000000000 0 lõik Kohalik vaikimisi 1 3: 0000000000000000 0 _

Tabeli binaarvorming on dokumenteeritud aadressil http://www.sco.com/developers/gabi/2003-12-17/ch4.symtab.html

Readelf -x .symtab hello_world.o

Mis annab:

Jaotise ".symtab" kuueteistkümnendväljatõmme: 0x00000000 00000000 00000000 00000000 00000000 ................ 0x00000010 000000000 00000000 00000000 00000000 00000000 ............... . 0x00000020 00000000 00000000 00000000 00000000 00000000 00000000 .....00..00..00 00000000 0x00000000 00000000 0x00000000 00000000 000000 .....00..00000000 000000 .....00..00 0000000000 00000000 0000000000 0x00000000 ............. 00000000 ................ 0x00000090 2d000000 10000200 00000000 00000000 -............. 0x000000a0 00000000 00000000 .......

Kirjed on tüüpi:

Typedef struct ( Elf64_Word st_name; unsigned char st_info; unsigned char st_other; Elf64_Half st_shndx; Elf64_Addr st_value; Elf64_Xword st_size; ) Elf64_Sym;

Sarnaselt partitsioonitabelile on esimene kirje maagiline ja seatud fikseeritud mõttetutele väärtustele.

Kirjel 1 on ELF64_R_TYPE == STT_FILE . ELF64_R_TYPE jätkab st_info sees.

Baitianalüüs:

10 8: st_name = 01000000 = tähemärk 1 failis .strtab , mis kuni järgmise \0 teeb tere_world.asm

Seda teabefaili fragmenti saab linker kasutada, et määrata, millised segmendi segmendid on tulemas.

10 12: st_info = 04

Bitid 0-3 = ELF64_R_TYPE = Tüüp = 4 = STT_FILE: Selle kirje põhieesmärk on kasutada st_name, et määrata selle objektifaili poolt genereeritud faili nimi.

Bitid 4-7 = ELF64_ST_BIND = Side = 0 = STB_LOCAL. STT_FILE nõutav väärtus.

10 13: st_shndx = Sümbolitabel Päiste tabel Indeks = f1ff = SHN_ABS . Nõutav faili STT_FILE jaoks.

20 0: st_value = 8x 00: nõutav STT_FILE väärtuse jaoks

20 8: st_size = 8x 00: suurus puudub

Readelfist tõlgendame nüüd kiiresti ülejäänu.

STT_SECTION

Selliseid elemente on kaks, üks osutab failile .data ja teine ​​tekstile (jaotise indeksid 1 ja 2).

Arv: Väärtus Suurus Tüüp Köide Vis Ndx Nimi 2: 0000000000000000 0 JAOTIS LOCAL VAIKESEADMED 1 3: 00000000000000000 0 SECTION LOCAL DEFAULT 2

TODO, mis on nende eesmärk?

STT_NOTYPE

Seejärel sisestage kõige olulisemad märgid:

Arv: Väärtus Suurus Tüüp Köide Vis Ndx Nimi 4: 00000000000000000 0 NOTÜÜP LOCAL DEFAULT 1 hello_world 5: 000000000000000d 0 NOTYPE LOCAL DEFAULT ABS_0GL000 start

hello_world on jaotises .data (indeks 1). See väärtus on 0: see osutab selle jaotise esimesele baidile.

Algus on tähistatud GLOBAALSE nähtavusega, nagu me kirjutasime:

global_start

NASMis. See on vajalik, kuna seda tuleks käsitleda sisenemispunktina. Erinevalt C-st on NASM-i sildid vaikimisi kohalikud.

hello_world_len osutab erilisele st_shndx == SHN_ABS == 0xF1FF .

0xF1FF valitakse nii, et see ei oleks vastuolus teiste jaotistega.

st_value == 0xD == 13 , mis on väärtus, mille me koostamisel sinna salvestasime: stringi pikkus Tere maailm! .

See tähendab, et liigutus ei mõjuta seda väärtust: see on konstant.

See on väike optimeerimine, mille meie monteerija meie eest teeb ja millel on ELF-i tugi.

Kui kasutaksime aadressi hello_world_len igal pool, ei saaks monteerija seda SHN_ABS-iks märkida ja linker saaks hiljem täiendavalt ümber paigutada.

SHT_SYMTAB käivitatavas failis

Vaikimisi paigutab NASM käivitatavasse faili .symtab.

Seda kasutatakse ainult silumiseks. Ilma sümboliteta oleme täiesti pimedad ja peame kõik ümber kujundama.

Saate selle eemaldada objcopy abil ja käivitatav fail töötab endiselt. Selliseid käivitatavaid faile nimetatakse jagatud käivitatavateks failideks.

.strtab

Hoiab tähemärkide tabeli stringe.

Selles jaotises sh_type == SHT_STRTAB .

Osutab .symtab sektsiooni sh_link == 5-le.

Readelf -x .strtab hello_world.o

Hex prügila rubriigis ".strtab": 0x00000000 0068656c 6c6f5f77 6f726c64 2e61736d .hello_world.asm 0x00000010 0068656c 6c6f5f77 6f726c64 0068656c .hello_world.hel 0x00000020 6c6f5f77 6f726c64 5f6c656e 005f7374 lo_world_len._st 0x00000030 61727400 art.

See tähendab, et tegemist on ELF-taseme piiranguga, et globaalsed muutujad ei tohi sisaldada NUL-märke.

.rela.tekst

Jao tüüp: sh_type == SHT_RELA .

Üldnimetus: liiguta jaotist.

Rela.text sisaldab ümberpaigutamisandmeid, mis täpsustavad, kuidas aadressi tuleks viimase käivitatava faili lingimisel muuta. See näitab tekstiala baite, mida tuleks õigete mälukohtadega linkimisel muuta.

Põhimõtteliselt teisendab see 0x0 kohahoidja aadressi sisaldava objekti teksti:

A:48 olema 00 00 00 00 00 movabs $0x0,%rsi 11:00 00 00

tegelikule käivitatavale koodile, mis sisaldab lõplikku 0x6000d8:

4000ba: 48 be d8 00 60 00 00 movabs $0x6000d8,%rsi 4000c1: 00 00 00

Määrati jaotise .symtab väärtus sh_info = 6.

readelf -r hello_world.o annab:

Ümberpaigutamise jaotis ".rela.text" nihkes 0x3b0 sisaldab 1 kirjet: Nihketeabe tüüp Sym. Value Sym. Nimi + lisa 00000000000c 000200000001 R_X86_64_64 00000000000000000 .data + 0

Seda jaotist käivitatavas failis pole.

Tegelikud baidid:

00000370 0c 00 00 00 00 00 00 00 01 00 00 00 02 00 00 00 |................| 00000380 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|

Esindatud struktuur:

Typedef struct ( Elf64_Addr r_offset; Elf64_Xword r_info; Elf64_Sxword r_addend; ) Elf64_Rela;

370 0: r_offset = 0xC: aadress aadressile.tekst, mille aadressi muudetakse

370 8: r_info = 0x200000001. Sisaldab 2 välja:

• ELF64_R_TYPE = 0x1: väärtus sõltub täpsest arhitektuurist.
• ELF64_R_SYM = 0x2: selle partitsiooni indeks, millele aadress osutab, seega .data , mis asub indeksis 2.

AMD64 ABI ütleb, et tüüp 1 kannab nime R_X86_64_64 ja see esindab S+A toimingut, kus:

• S: sümboli väärtus objektifailis, siin 0, sest me osutame movabs $0x0,%rsi väärtusele 00 00 00 00 00 00 00 00
• a: täiendus, mis on väljal r_added

See aadress lisatakse partitsioonile, kus teisaldamine toimub.

See liigutusoperatsioon töötab 8 baidil.

380 0: r_addend = 0

Seega järeldame meie näites, et uus aadress on: S + A = .data + 0 ja seega andmejaotises esimene.

Programmi pealkirjade tabel

Kuvatakse ainult käivitatavas failis.

Sisaldab teavet selle kohta, kuidas käivitatav fail protsessi virtuaalmällu paigutada.

Käivitatava faili loob linkeri objektifail. Peamised ülesanded, mida linker täidab:

määrake, millised objektifailide osad lähevad käivitatava faili millistesse segmentidesse.

Binutilsis taandub see ehitaja skripti sõelumisele ja paljude vaikeseadetega töötamisele.

Linkeri skripti saate kasutada koos ld --verbose ja installida kohandatud skripti käsuga ld -T.

tekstiosades navigeerimiseks. See sõltub sellest, kuidas mitu partitsiooni mällu mahub.

readelf -l hello_world.out annab:

Elf failitüüp on exec (käivitatava faili) Sisenemise koht 0x4000b0 Seal on 2 programmi päised, alustades nihe 64 programmi päised: Liik Nihe VirtAddr PhysAddr FileSiz MemSiz Lipud Align LOAD 0x0000000000000000 0x0000000000400000 0x0000000000400000 0x00000000000000d7 0x00000000000000d7 RE 200000 LOAD 0x00000000000000d8 0x00000000006000d8 0x00000000006000d8 0x000000000000000d 0x000000000000000d RW 200000 jagu kuni Segmendi kaardistamine: Segment Sections... 00 .text 01 .data

ELF-i päises e_phoff , e_phnum ja e_phentsize ütlesid meile, et on kaks programmipäist, mis algavad 0x40 ja igaüks on 0x38 baiti, seega on need:

00000040 01 00 00 00 05 00 00 00 00 00 00 00 00 00 00 00 |................| 00000050 00 00 40 00 00 00 00 00 00 00 40 00 00 00 00 00 |[e-postiga kaitstud]@.....| 00000060 d7 00 00 00 00 00 00 00 d7 00 00 00 00 00 00 00 |................| 00000070 00 00 20 00 00 00 00 00 |... ..... |

00000070 01 00 00 00 06 00 00 00 | ........| 00000080 d8 00 00 00 00 00 00 00 d8 00 60 00 00 00 00 00 |........`.....| 00000090 d8 00 60 00 00 00 00 00 0d 00 00 00 00 00 00 00 |..`.............| 000000a0 0d 00 00 00 00 00 00 00 00 00 20 00 00 00 00 00 |......... .....| typedef struct ( Elf64_Word p_type; Elf64_Word p_flags; Elf64_Off p_offset; Elf64_Addr p_vaddr; Elf64_Addr p_paddr; Elf64_Xword p_filesz; Elf64_Xword p_memsz_HD; Elf_4_hdword)

Esimese jaotus:

• 40 0: p_tüüp = 01 00 00 00 = PT_LOAD: ÜLESANNE. Ma arvan, et see tähendab, et see laaditakse mällu. Muud tüübid ei pruugi tingimata olla.
• 40 4: p_flags = 05 00 00 00 = täitmis- ja lugemisõigused, ära kirjuta TODO
• 40 8: p_offset = 8x 00 TODO: mis see on? See näeb välja nagu nihked segmentide algusest. Kuid kas see tähendaks, et mõned segmendid on omavahel põimunud? Sellega saab natuke mängida: gcc -Wl,-Ttext-segment=0x400030 hello_world.c
• 50 0: p_vaddr = 00 00 40 00 00 00 00 00: virtuaalse mälu algusaadress selle segmendi laadimiseks
• 50 8: p_paddr = 00 00 40 00 00 00 00 00: algne füüsiline aadress mällu laadimiseks. Küsimused ainult süsteemidele, kus programm saab määrata füüsilise aadressi. Vastasel juhul, nagu ka System V süsteemide puhul, võib kõike juhtuda. Näib, et NASM lihtsalt kopeerib faili p_vaddrr
• 60 0: p_filesz = d7 00 00 00 00 00 00 00: TODO vs p_memsz
• 60 8: p_memsz = d7 00 00 00 00 00 00 00: ÜLESANNE
• 70 0: p_align = 00 00 20 00 00 00 00 00: 0 või 1 tähendab, et TODO pole vaja joondada, mida see tähendab? muidu teiste väljadega üleliigne

Teine on sarnane.

Segmendi vastendamine:

Readelfi jaotis ütleb meile, et:

• 0 - segment.tekst . Jah, sellepärast on see käivitatav ja mitte kirjutatav.
• 1 - segment.andmed .