Kako otvoriti elf datoteku u windowsu. Što je .ELF ekstenzija datoteke? Čvorovi koji opisuju podatke

19.5 Generički format URL-a Rezimirajući gore navedeno, napominjemo da:? URL počinje s korištenim pristupnim protokolom.? Za sve aplikacije osim online vijesti i e-pošte, nakon toga slijedi graničnik://.? Zatim je navedeno ime hosta poslužitelja.? Konačno

3.3.1. RSS format Vijesti s web-mjesta možete čitati na različite načine. Najlakši način je s vremena na vrijeme posjetiti stranicu i pogledati nove poruke. Možete postaviti program koji se povezuje na kanal vijesti i sam prima naslove ili bilješke vijesti, prema

MP3 format MP3 format je stvoren za distribuciju glazbenih datoteka komprimiranih kodekom MPEG 1 razine 3. Trenutno je najpopularniji format za distribuciju glazbe putem Interneta i šire. Podržavaju ga apsolutno svi programi za snimanje i obradu zvuka, za

MP3 Format Metoda kompresije zvuka, kao i format komprimiranih audio datoteka, koji je predložila međunarodna organizacija MPEG (Moving Pictures Experts Group - Video Recording Experts Group), temelji se na perceptivnom audio kodiranju. Raditi na stvaranju učinkovitih algoritama kodiranja

Format ELF Format ELF ima nekoliko vrsta datoteka koje smo do sada različito nazivali, kao što su izvršna datoteka ili objektna datoteka. Međutim, ELF standard razlikuje sljedeće tipove:1. Premjenjiva datoteka koja sadrži upute i podatke koji se mogu

Format broja Konačno smo došli do formata broja. Već sam to više puta spomenuo, sada ću sve staviti na police (iako ste već mogli razumjeti opće značenje) Brojevi u Excelu mogu se prikazati u raznim formatima. U ovom ćemo odjeljku govoriti o tome koji formati brojeva postoje i kako

U ovoj recenziji ćemo govoriti samo o 32-bitnoj verziji ovog formata, jer nam 64-bitna još ne treba.

Svaka ELF datoteka (uključujući objektne module ovog formata) sastoji se od sljedećih dijelova:

• zaglavlje ELF datoteke;
• Tablica odjeljaka programa (može biti odsutna u objektnim modulima);
• Odjeljci ELF datoteke;
• Tablica odjeljaka (možda nije prisutna u izvršnom modulu);
• Iz razloga izvedbe, ELF format ne koristi bitna polja. I sve strukture su obično 4-bajtne usklađene.

Pogledajmo sada vrste koje se koriste u zaglavljima ELF datoteka:

Sada razmotrite zaglavlje datoteke:

#define EI_NIDENT 16 struct elf32_hdr ( unsigned char e_ident; Elf32_Half e_type; Elf32_Half e_machine; Elf32_Word e_version; Elf32_Addr e_entry; /* Entry point */ Elf32_Off e_phoff; Elf32_Off e_shoff; Elf32_Word e_flags; Elf32_Half e_ehsize; Elf32_Half e_phentsize; Elf32_Half e_phnum; Elf32_Half e_shentsize; Elf32_Half e_shnum; Elf32_Half e_shstrndx; );

Niz e_ident sadrži informacije o sustavu i sastoji se od nekoliko potpolja.

Struktura ( unsigned char ei_magic; unsigned char ei_class; unsigned char ei_data; unsigned char ei_version; unsigned char ei_pad;)

• ei_magic - konstantna vrijednost za sve ELF datoteke, jednaka (0x7f, "E", "L", "F")
• ei_class - klasa datoteke ELF (1 - 32 bita, 2 - 64 bita što ne uzimamo u obzir)
• ei_data - određuje redoslijed bajtova za ovu datoteku (ovaj redoslijed ovisi o platformi i može biti izravan (LSB ili 1) ili obrnut (MSB ili 2)) Za Intelove procesore dopuštena je samo vrijednost 1.
• ei_version je prilično beskorisno polje, a ako nije jednako 1 (EV_CURRENT), onda se datoteka smatra nevažećom.

Polje ei_pad mjesto je gdje operativni sustavi pohranjuju svoje identifikacijske podatke. Ovo polje može biti prazno. Ni nama je svejedno.

Polje zaglavlja e_type može sadržavati više vrijednosti, za izvršne datoteke mora biti ET_EXEC jednako 2

e_machine - određuje procesor na kojem se ova izvršna datoteka može pokrenuti (za nas je vrijednost EM_386 3)

Polje e_version odgovara polju ei_version iz zaglavlja.

Polje e_entry definira početnu adresu programa, koja se stavlja u eip prije pokretanja programa.

Polje e_phoff specificira pomak od početka datoteke gdje se nalazi tablica odjeljka programa, koji se koristi za učitavanje programa u memoriju.

Neću navoditi svrhu svih polja, nisu sva potrebna za učitavanje. Opisat ću još samo dva.

Polje e_phentsize definira veličinu unosa u tablici odjeljka programa.

A polje e_phnum specificira broj unosa u tablici odjeljka programa.

Tablica odjeljaka (neprogramska) koristi se za povezivanje programa. nećemo to razmatrati. Također, nećemo razmatrati dinamički povezane module. Ova tema je prilično komplicirana, nije prikladna za prvo poznanstvo. :)

Sada o odjeljcima programa. Format unosa tablice odjeljka programa je sljedeći:

Strukturirajte elf32_phdr( Elf32_Word p_type; Elf32_Off p_offset; Elf32_Addr p_vaddr; Elf32_Addr p_paddr; Elf32_Word p_filesz; Elf32_Word p_memsz; Elf32_Word_Word; W p_p_);

Više o poljima.

• p_type - definira tip odjeljka programa. Može imati nekoliko vrijednosti, ali nas zanima samo jedna. PT_LOAD(1). Ako je odjeljak ovog tipa, tada se namjerava učitati u memoriju.
• p_offset - određuje pomak u datoteci od koje počinje ovaj odjeljak.
• p_vaddr Određuje virtualnu adresu na koju se ovaj odjeljak treba učitati u memoriju.
• p_paddr - definira fizičku adresu na koju treba učitati ovaj odjeljak. Ovo polje se ne mora koristiti i ima smisla samo za neke platforme.
• p_filesz - Određuje veličinu odjeljka u datoteci.
• p_memsz - određuje veličinu odjeljka u memoriji. Ova vrijednost može biti veća od prethodne. Polje p_flag definira vrstu pristupa odjeljcima u memoriji. Neke dionice je dopušteno izvoditi, neke snimati. Svatko je dostupan za čitanje u postojećim sustavima.

Učitavanje ELF formata.

S naslovom smo malo shvatili. Sada ću dati algoritam za učitavanje binarne datoteke ELF formata. Algoritam je shematski, ne biste ga trebali smatrati radnim programom.

Int LoadELF (unsigned char *bin) (struct elf32_hdr *EH = (struct elf32_hdr *)bin; struct elf32_phdr *EPH; if (EH->e_ident != 0x7f || // Control MAGIC EH->e_ident != "E" || EH->e_ident != "L" || EH->e_ident != "F" || EH->e_ident != ELFCLASS32 || // Kontrolna klasa EH->e_ident != ELFDATA2LSB || // redoslijed bajtova EH->e_ident != EV_CURRENT || // verzija EH->e_type != ET_EXEC || // tip EH->e_machine != EM_386 || // platforma EH->e_version != EV_CURRENT) // i opet verzija, za svaki slučaj vrati ELF_WRONG; EPH = (struct elf32_phdr *)(bin + EH->e_phoff); dok (EH->e_phnum--) ( if (EPH->p_type == PT_LOAD) memcpy (EPH->p_vaddr, bin + EPH->p_offset, EPH->p_filesz); EPH = (struct elf32_phdr *)((unsigned char *)EPH + EH->e_phentsize)); ) return ELF_OK; )

Ozbiljno, vrijedno je analizirati polja EPH->p_flags i postaviti prava pristupa odgovarajućim stranicama, a jednostavno kopiranje ovdje neće raditi, ali to se više ne odnosi na format, već na dodjelu memorije. Stoga, nećemo sada o tome.

PE format.

Na mnogo načina, sličan je ELF formatu, i nije iznenađujuće da bi također trebali postojati odjeljci dostupni za preuzimanje.

Kao i sve u Microsoftu :) PE format je baziran na EXE formatu. Struktura datoteke je:

• 00h - EXE zaglavlje (neću ga razmatrati, staro je kao Dos. :)
• 20h - OEM zaglavlje (u njemu ništa značajno);
• 3ch - stvarni pomak PE zaglavlja u datoteci (dword).
• stol za kretanje stuba;
• stub;
• PE zaglavlje;
• stol za objekte;
• objekti datoteke;

stub je program koji radi u stvarnom načinu rada i radi neke preliminarne radove. Možda nije dostupan, ali ponekad može biti potreban.

Zanima nas nešto drugo, PE header.

Njegova struktura je ovakva:

Struktura pe_hdr (nepotpisani dugi pe_sign; nepotpisani kratki pe_cpuptipe; nepotpisani kratki pe_objnum; nepotpisani dugi pe_time; nepotpisani dugi pe_cofftbl_off; nepotpisani dugi pe_cofftbl_size; nepotpisani pe_nt; unsagd; neznatirani pE; ; unsigned long pe_entry; unsigned long pe_code_base; unsigned long pe_data_base; unsigned long pe_image_base; unsigned long pe_obj_align; unsigned long pe_file_align; // ... pa, i puno drugih stvari, nevažno. );

Puno stvari je tu. Dovoljno je reći da je veličina ovog zaglavlja 248 bajtova.

A glavna stvar je da se većina tih polja ne koristi. (Tko tako gradi?) Ne, naravno, imaju dobro poznatu svrhu, ali moj testni program, na primjer, sadrži nule u poljima pe_code_base, pe_code_size itd., ali radi dobro. Sam zaključak sugerira da se datoteka učitava na temelju tablice objekata. O tome ćemo razgovarati.

Tablica objekata slijedi odmah nakon PE zaglavlja. Unosi u ovoj tablici imaju sljedeći format:

Struktura pe_ohdr ( unsigned char o_name; unsigned long o_vsize; unsigned long o_vaddr; unsigned long o_psize; unsigned long o_poff; unsigned char o_reserved; unsigned long o_flags; );

• o_name - naziv odjeljka, apsolutno je indiferentan za učitavanje;
• o_vsize - veličina odjeljka u memoriji;
• o_vaddr - memorijska adresa u odnosu na ImageBase;
• o_psize - veličina odjeljka u datoteci;
• o_poff - pomak odjeljka u datoteci;
• o_flags - zastavice sekcija;

Ovdje se vrijedi detaljnije zadržati na zastavama.

• 00000004h - koristi se za kod sa 16-bitnim pomacima
• 00000020h - odjeljak koda
• 00000040h - inicijalizirani odjeljak podataka
• 00000080h - neinicijalizirani odjeljak podataka
• 00000200h - komentari ili bilo koja druga vrsta informacija
• 00000400h - preslojni dio
• 00000800h - neće biti dio slike programa
• 00001000h - opći podaci
• 00500000h - zadano poravnanje osim ako nije drugačije navedeno
• 02000000h - može se isprazniti iz memorije
• 04000000h - nije u predmemoriji
• 08000000h - nije moguće stranice
• 10000000h - podijeljeno
• 20000000h - izvedivo
• 40000000h - može se čitati
• 80000000h - možete napisati

Opet, neću biti s shared i overlay sekcijama, zanimaju nas kod, podaci i prava pristupa.

Općenito, ove su informacije već dovoljne za preuzimanje binarne datoteke.

Učitavanje PE formata.

Ovo opet nije gotov program, već algoritam učitavanja.

I opet, mnoge točke nisu obuhvaćene, jer nadilaze temu.

Ali sada je vrijedno razgovarati malo o postojećim značajkama sustava.

Značajke sustava.

Unatoč fleksibilnosti zaštita koje su dostupne u procesorima (zaštita na razini tablica deskriptora, zaštita na razini segmenta, zaštita na razini stranice), u postojećim sustavima (i u Windowsima i u Unixu) u potpunosti se koristi samo zaštita stranica, što, iako može spriječiti pisanje koda, ali ne može spriječiti izvršavanje podataka. (Možda je to razlog obilja ranjivosti sustava?)

Svi segmenti su adresirani od linearne adrese nula i protežu se do kraja linearne memorije. Razgraničenje procesa događa se samo na razini tablice stranica.

U tom smislu, svi moduli nisu povezani s početnih adresa, već s dovoljno velikim pomakom u segmentu. U sustavu Windows, osnovna adresa u segmentu je 0x400000, na Unixu (Linux ili FreeBSD) je 0x8048000.

Neke su značajke također povezane sa stranicama memorije.

ELF datoteke su povezane na način da granice i veličine odjeljaka padaju na blokove datoteke od 4 kilobajta.

A u PE formatu, unatoč činjenici da sam format omogućuje poravnavanje odjeljaka od 512 bajtova, koristi se 4k poravnanje odjeljka, manje poravnanje u sustavu Windows ne smatra se točnim.

Ako vaše računalo ima antivirusni program limenka skenirajte sve datoteke na računalu, kao i svaku datoteku pojedinačno. Možete skenirati bilo koju datoteku tako da desnom tipkom miša kliknete datoteku i odaberete odgovarajuću opciju za skeniranje datoteke na viruse.

Na primjer, na ovoj slici, datoteka moja-datoteka.elf, zatim trebate kliknuti desnom tipkom miša na ovu datoteku i u izborniku datoteka odabrati opciju "scan with AVG". Odabirom ove opcije otvorit će se AVG Antivirus i skenirati datoteku na viruse.

Ponekad može doći do pogreške pogrešna instalacija softvera, što može biti posljedica problema koji se dogodio tijekom procesa instalacije. To može ometati vaš operativni sustav povežite svoju ELF datoteku s ispravnom softverskom aplikacijom, utječući na tzv "asocijacije proširenja datoteke".

Ponekad jednostavno ponovno instaliranje Dolphina (emulator) može riješiti vaš problem pravilnim povezivanjem ELF-a s Dolphinom (emulatorom). U drugim slučajevima može doći do problema s povezivanjem datoteka loše programiranje softvera razvojnog programera, a možda ćete morati kontaktirati razvojnog programera za daljnju pomoć.

Savjet: Pokušajte ažurirati Dolphin (emulator) na najnoviju verziju kako biste bili sigurni da imate najnovije zakrpe i ažuriranja.

Ovo se može činiti previše očitim, ali često sama ELF datoteka može uzrokovati problem. Ako ste primili datoteku putem privitka e-pošte ili ste je preuzeli s web-mjesta, a proces preuzimanja je prekinut (na primjer, zbog nestanka struje ili nekog drugog razloga), datoteka je možda oštećena. Ako je moguće, pokušajte nabaviti novu kopiju ELF datoteke i pokušajte je ponovno otvoriti.

Pažljivo: Oštećena datoteka može uzrokovati kolateralnu štetu prethodnom ili postojećem zlonamjernom softveru na vašem računalu, stoga je važno održavati svoje računalo ažurnim s ažuriranim antivirusnim programom.

Ako je vaša ELF datoteka povezan s hardverom na vašem računalu da otvorite datoteku koja vam je možda potrebna ažurirati upravljačke programe uređaja povezane s ovom opremom.

Ovaj problem obično povezana s vrstama medijskih datoteka, koji ovise o uspješnom otvaranju hardvera unutar računala, npr. zvučna kartica ili video kartica. Na primjer, ako pokušavate otvoriti audio datoteku, ali je ne možete otvoriti, možda ćete morati ažuriranje upravljačkih programa zvučne kartice.

Savjet: Ako kada pokušate otvoriti ELF datoteku dobijete Poruka o pogrešci u vezi s .SYS datotekom, problem bi vjerojatno mogao biti povezan s oštećenim ili zastarjelim upravljačkim programima uređaja koje je potrebno ažurirati. Ovaj se proces može olakšati korištenjem softvera za ažuriranje upravljačkih programa kao što je DriverDoc.

Ako koraci nisu riješili problem i još uvijek imate problema s otvaranjem ELF datoteka, to može biti zbog nedostatak raspoloživih resursa sustava. Neke verzije ELF datoteka mogu zahtijevati značajnu količinu resursa (npr. memorija/RAM, procesorska snaga) za ispravno otvaranje na vašem računalu. Ovaj problem je prilično čest ako istovremeno koristite prilično stari računalni hardver i mnogo noviji operativni sustav.

Ovaj se problem može pojaviti kada računalo teško izvršava zadatak jer operativni sustav (i druge usluge koje rade u pozadini) mogu troši previše resursa za otvaranje ELF datoteke. Pokušajte zatvoriti sve aplikacije na računalu prije otvaranja datoteke igre Nintendo Wii. Oslobađanjem svih dostupnih resursa na vašem računalu osigurat ćete najbolje uvjete za pokušaj otvaranja ELF datoteke.

Ako ti dovršio sve gore navedene korake a vaša ELF datoteka se i dalje neće otvoriti, možda ćete morati pokrenuti nadogradnja hardvera. U većini slučajeva, čak i sa starijim verzijama hardvera, procesorska snaga i dalje može biti više nego dovoljna za većinu korisničkih aplikacija (osim ako ne radite puno CPU-intenzivnog posla kao što je 3D renderiranje, financijsko/znanstveno modeliranje ili medijski intenzivan rad ) . Tako, vjerojatno je da vaše računalo nema dovoljno memorije(češće se naziva "RAM" ili RAM) za obavljanje zadatka otvaranja datoteke.

Verzija ovog odgovora s dobrim TOC-om i više sadržaja: http://www.cirosantilli.com/elf-hello-world (kliknite ovdje ograničenje od 30k znakova)

Standardi

ELF daje LSB:

• generički jezgro: http://refspecs.linuxfoundation.org/LSB_4.1.0/LSB-Core-generic/LSB-Core-generic/elf-generic.html
• jezgra AMD64: http://refspecs.linuxfoundation.org/LSB_4.1.0/LSB-Core-AMD64/LSB-Core-AMD64/book1.html

LSB se uglavnom odnosi na druge standarde s manjim proširenjima, posebice:

generički (oba SCO):

• System V ABI 4.1 (1997) http://www.sco.com/developers/devspecs/gabi41.pdf, ne 64 bita, iako je za njega rezerviran magični broj. Isto za glavne datoteke.
• System V ABI ažuriranje DRAFT 17 (2003) http://www.sco.com/developers/gabi/2003-12-17/contents.html dodaje 64 bita. Ažurira samo poglavlja 4. i 5. prethodnog dokumenta: ostali ostaju važeći i i dalje se pozivaju.

• specifična arhitektura:

  • IA-32: http://refspecs.linuxfoundation.org/LSB_4.1.0/LSB-Core-IA32/LSB-Core-IA32/elf-ia32.html upućuje uglavnom na http://www.sco.com/developers/ devspecs/abi386-4.pdf
  • AMD64: http://refspecs.linuxfoundation.org/LSB_4.1.0/LSB-Core-AMD64/LSB-Core-AMD64/elf-amd64.html , u osnovi upućuje na http://www.x86-64.org/ dokumentaciju /abi.pdf

Zgodan životopis možete pronaći na:

Njegova se struktura može ispitati korištenjem jednostavnih načina kao što su readelf i objdump.

Napravite primjer

Razložimo minimalni primjer izvedbe Linux x86-64:

Odjeljak .data hello_world db "Hello world!", 10 hello_world_len equ $ - hello_world section .text globalni _start _start: mov rax, 1 mov rdi, 1 mov rsi, hello_world mov rdx, s hello_world rdx, s hello_world 0 rdx, s hello_world 0

Sastavljeno sa

Nasm -w+all -f elf64 -o "hello_world.o" "hello_world.asm" ld -o "hello_world.out" "hello_world.o"

• NASM 2.10.09
• Binutils verzija 2.24 (sadrži ld)
• Ubuntu 14.04

Ne koristimo C program jer bi to zakompliciralo analizu koja bi bila razina 2 :-)

heksadecimalni prikazi binarnog

Globalna struktura datoteke

ELF datoteka sadrži sljedeće dijelove:

• ELF zaglavlje. Označava položaj tablice zaglavlja odjeljka i tablice zaglavlja programa.

  Tablica zaglavlja odjeljka (neobavezno u izvršnoj). Svaki od njih ima zaglavlja odjeljka e_shnum , od kojih svaki označava položaj odjeljka.

  N particije s N<= e_shnum (необязательно в исполняемом файле)

  Tablica zaglavlja programa (samo za izvršne datoteke). Svaki od njih ima zaglavlja programa e_phnum, od kojih svako označava položaj segmenta.

  N segmenata, s N<= e_phnum (необязательно в исполняемом файле)

Redoslijed ovih dijelova nije fiksiran: jedina fiksna stvar je ELF zaglavlje, koje mora biti prvo u datoteci: Uobičajeni dokumenti kažu:

ELF zaglavlje

Najlakši način za gledanje zaglavlja je:

readelf -h hello_world.o readelf -h hello_world.out

Bajt u objektnoj datoteci:

00000000 7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00 |.ELF...........| 00000010 01 00 3e 00 01 00 00 00 00 00 00 00 00 00 00 00 |..>.............| 00000020 00 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00 | [e-mail zaštićen]| 00000030 00 00 00 00 40 00 00 00 00 00 40 00 07 00 03 00 |[e-mail zaštićen]@.....|

00000000 7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00 |.ELF...........| 00000010 02 00 3e 00 01 00 00 00 b0 00 40 00 00 00 00 00 |..> [e-mail zaštićen]| 00000020 40 00 00 00 00 00 00 00 10 01 00 00 00 00 00 00 |@...............| 00000030 00 00 00 00 40 00 38 00 02 00 40 00 06 00 03 00 |[e-mail zaštićen]@.....|

Predstavljena struktura:

Typedef struct ( unsigned char e_ident; Elf64_Half e_type; Elf64_Half e_machine; Elf64_Word e_version; Elf64_Addr e_entry; Elf64_Off e_phoff; Elf64_Off e_shoff; Elf64_Word e_flags; Elf64_Half e_ehsize; Elf64_Half e_phentsize; Elf64_Half e_phnum; Elf64_Half e_shentsize; Elf64_Half e_shnum; Elf64_Half e_shstrndx; ) Elf64_Ehdr;

Propadanje ručno:

0 0: EI_MAG = 7f 45 4c 46 = 0x7f "E", "L", "F" : ELF magični broj

0 4: EI_CLASS=02=ELFCLASS64: 64-bitni vilenjak

0 5: EI_DATA = 01 = ELFDATA2LSB: veliki krajnji podaci

0 6: EI_VERSION = 01: verzija formata

0 7: EI_OSABI (samo 2003.) = 00 = ELFOSABI_NONE: Nema proširenja.

0 8: EI_PAD = 8x 00: rezervirani bajtovi. Mora biti postavljeno na 0.

1 0: e_type = 01 00 = 1 (veliki endian) = ET_REl: format koji se može premjestiti

U izvršnoj 02 00 za ET_EXEC.

1 2: e_machine = 3e 00 = 62 = EM_X86_64: AMD64 arhitektura

1 4: e_verzija = 01 00 00 00: treba biti 1

1 8: e_entry = 8x 00: ulazna točka izvršne adrese, ili 0 ako nije primjenjivo, kao za objektnu datoteku, budući da nema ulazne točke.

U izvršnoj je to b0 00 40 00 00 00 00 00 . TODO: što još možemo instalirati? Čini se da kernel stavlja IP izravno u ovu vrijednost, nije tvrdo kodiran.

2 0: e_phoff = 8x 00: pomak tablice zaglavlja programa, 0 ako nije.

40 00 00 00 u izvršnoj datoteki, što znači da počinje odmah nakon ELF zaglavlja.

2 8: e_shoff = 40 7x 00 = 0x40: pomak datoteke tablice zaglavlja odjeljka, 0 ako nema.

3 0: e_zastavice = 00 00 00 00 TODO. Posebno za Arch.

3 4: e_ehsize = 40 00: veličina ovog elf zaglavlja. Zašto je ovo polje? Kako se to može promijeniti?

3 6: e_phentsize = 00 00: veličina svakog zaglavlja programa, 0 ako nema.

38 00 u izvršnoj datoteci: duljina datoteke je 56 bajtova

3 8: e_phnum = 00 00: broj unosa zaglavlja programa, 0 ako nema.

02 00 u izvršnom fajlu: postoje 2 unosa.

3 A: e_shentsize i e_shnum = 40 00 07 00: veličina zaglavlja odjeljka i broj unosa

Tablica zaglavlja odjeljka

Niz struktura Elf64_Shdr.

Svaki unos sadrži metapodatke o tom odjeljku.

e_shoff ELF zaglavlja ovdje daje početnu poziciju, 0x40.

e_shentsize i e_shnum iz ELF zaglavlja kažu da imamo 7 unosa, svaki dug 0x40.

Dakle, tablica uzima bajtove od 0x40 do 0x40 + 7 + 0x40 - 1 = 0x1FF.

Neki naslovi odjeljaka rezervirani su za određene vrste odjeljaka: http://www.sco.com/developers/gabi/2003-12-17/ch4.sheader.html#special_sections na primjer. .text zahtijeva tip SHT_PROGBITS i SHF_ALLOC + SHF_EXECINSTR

readelf -S hello_world.o:

Postoji 7 zaglavlja odjeljenja, počevši od Offset 0x40: Zaglavlja odjeljka: Naziv Vrsta Adresena veličina veličine EntsSize Flags Link Info Poravnavanje [0] NULL 0000000000000000 00000000 00000000000000 00000000000000 0 0 0 [1] .DATA PROGBITS ĆE 2] .text PROGBITS 0000000000000000 00000210 0000000000000027 0000000000000000 AX 0 0 16 [ 3] .shstrtab STRTAB 0000000000000000 00000240 0000000000000032 0000000000000000 0 0 1 [ 4] .symtab SYMTAB 0000000000000000 00000280 00000000000000a8 0000000000000018 5 6 4 [ 5] .strtab STRTAB 0000000000000000 00000330 0000000000000034 0000000000000000 0 0 1 [ 6] .rela.text RELA 0000000000000000 00000370 0000000000000018 0000000000000018 4 2 4 Ključ za zastavice: W (pisati), A (execul) (execul S), M (execul) I (informacije), L (redoslijed veze), G (grupa), T (TLS), E (isključi), x (nepoznato) O (potrebna je dodatna obrada OS) o (specifična za OS), p (specifična za procesor)

struct , predstavljen svakim unosom:

Typedef struktura ( Elf64_Word sh_name; Elf64_Word sh_type; Elf64_Xword sh_flags; Elf64_Addr sh_addr; Elf64_Off sh_offset; Elf64_Xword sh_size; Elf64_Word sh_size; Elf64_Word sh_type; Elf64_Xword sh_flags; Elf64_Addr sh_addr; Elf64_Off sh_offset; Elf64_Xword sh_size; Elf64_Word sh_size; Elf64_Word sh_size; Elf64_Word sh_size; Elf64_Word sh_link; Elf64_Word sh4_link_X;

Odjeljci

Indeksni odjeljak 0

Sadržano u bajtovima od 0x40 do 0x7F.

Prvi odjeljak je uvijek čaroban: http://www.sco.com/developers/gabi/2003-12-17/ch4.sheader.html kaže:

Ako je broj particija veći ili jednak SHN_LORESERVE (0xff00), e_shnum se postavlja na SHN_UNDEF (0) i stvarni broj unosa tablice zaglavlja particije nalazi se u polju sh_size zaglavlja particije na indeksu 0 (inače, sh_size član početnog unosa sadrži 0).

Postoje i drugi magični odjeljci na slici 4-7: Indeksi posebnih odjeljaka.

Kod indeksa 0 potreban je SHT_NULL. Postoje li druge namjene za ovo: Koja je upotreba odjeljka SHT_NULL u ELF-u? ?

.odjeljak podataka

Podaci su odjeljak 1:

00000080 01 00 00 00 01 00 00 00 03 00 00 00 00 00 00 00 |................| 00000090 00 00 00 00 00 00 00 00 00 02 00 00 00 00 00 00 |................| 000000a0 0d 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| 000000b0 04 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|

Ovdje 1 kaže da naziv ovog odjeljka počinje prvim znakom ovog odjeljka i završava prvim NUL znakom, čineći string.data .

Podaci su jedan od naziva odjeljaka koji ima unaprijed definirano značenje http://www.sco.com/developers/gabi/2003-12-17/ch4.strtab.html

Ovi odjeljci pohranjuju inicijalizirane podatke koji doprinose memorijskoj slici programa.

• 80 4: sh_type = 01 00 00 00: SHT_PROGBITS: ELF ne specificira sadržaj odjeljka, već samo način na koji ga program interpretira. U redu je, budući da .data .

  80 8: sh_flags = 03 7x 00: SHF_ALLOC i SHF_EXECINSTR: http://www.sco.com/developers/gabi/2003-12-17/ch4.sheader.html#sh_flags , prema zahtjevu iz odjeljka .data

  90 0: sh_addr = 8x 00: na koju će virtualnu adresu odjeljak biti smješten u vrijeme izvođenja, 0 ako nije postavljen

  90 8: sh_offset = 00 02 00 00 00 00 00 00 = 0x200: broj bajtova od početka programa do prvog bajta u ovom odjeljku

  a0 0: sh_size = 0d 00 00 00 00 00 00 00

  Ako uzmemo 0xD bajtova, počevši od sh_offset 200, vidimo:

  00000200 48 65 6c 6c 6f 20 77 6f 72 6c 64 21 0a 00 |Zdravo svijete!.. |

  AHA! Dakle, naš niz "Hello world!" je u odjeljku podataka, kao što smo rekli, nalazi se na NASM-u.

  Nakon što završimo hd, gledat ćemo na to ovako:

  Readelf -x .podaci hello_world.o

  koji izlazi:

  Hex dump odjeljka ".data": 0x00000000 48656c6c 6f20776f 726c6421 0a Zdravo svijete!.

  NASM postavlja pristojna svojstva za ovaj odjeljak jer se magično odnosi na .data: http://www.nasm.us/doc/nasmdoc7.html#section-7.9.2

  Također imajte na umu da je ovo bio pogrešan odabir odjeljka: dobar C prevodilac bi umjesto toga stavio redak u .rodata, jer je samo za čitanje, a to bi omogućilo nastavak optimizacije OS-a.

  a0 8: sh_link i sh_info = 8x 0: ne primjenjuju se na ovu vrstu odjeljka. http://www.sco.com/developers/gabi/2003-12-17/ch4.sheader.html#special_sections

  b0 0: sh_addralign = 04 = TODO: zašto je ovo poravnanje potrebno? Je li to samo za sh_addr i također za znakove unutar sh_addr?

  b0 8: sh_entsize = 00 = odjeljak ne sadrži tablicu. Ako je != 0, to znači da odjeljak sadrži tablicu zapisa fiksne veličine. U ovoj datoteci možemo vidjeti iz readelf izlaza da je to slučaj za odjeljke .symtab i .rela.text.

.tekstualni dio

Sada kada smo ručno napravili jedan odjeljak, diplomirajmo i koristimo readelf -S ostalih odjeljaka.

Naziv Vrsta Adresa Veličina pomaka EntSize Flags Link Info Align [ 2] .text

Tekst je izvršan, ali se ne može pisati: ako mu pokušamo napisati Linux segfaults. Pogledajmo imamo li stvarno kod:

Objdump -d hello_world.o

Hello_world.o: format datoteke elf64-x86-64 Rastavljanje odjeljka .text: 0000000000000000<_start>: 0: b8 01 00 00 00 mov $0x1,%eax 5: bf 01 00 00 00 mov $0x1,%edi a: 48 be 00 00 00 00 00 movabs $0x0,%rsi 01: 0 ba 0d 00 00 00 mov $0xd,%edx 19: 0f 05 syscall 1b: b8 3c 00 00 00 mov $0x3c,%eax 20: bf 00 00 00 00 mov $0x0,%edi 0,%edi 0

Ako imamo grep b8 01 00 00 na hd-u, vidimo da se to događa samo na 00000210, što kaže ovaj odjeljak. I veličina je 27, što također odgovara. Stoga moramo govoriti o ispravnom odjeljku.

Ovo izgleda kao ispravan kod: upis nakon kojeg slijedi izlaz .

Najzanimljiviji dio je linija a koja radi:

Movabs $0x0,%rsi

proslijediti adresu niza u sistemski poziv. Trenutno je 0x0 samo rezervirano mjesto. Nakon vezanja, promijenit će se:

4000ba: 48 be d8 00 60 00 00 movabs $0x6000d8,%rsi

Ova izmjena je moguća zbog podataka u odjeljku .rela.text.

SHT_STRTAB

Odjeljci s sh_type == SHT_STRTAB nazivaju se tablice nizova.

Takve sekcije koriste drugi odjeljci kada se trebaju koristiti nazivi nizova. Odjeljak Upotreba kaže:

• koju liniju koriste
• koji je indeks u tablici ciljnih redaka gdje red počinje

Tako, na primjer, možemo imati tablicu stringova koja sadrži: TODO: trebamo li početi s \0?

Podaci: \0 a b c \0 d e f \0 Indeks: 0 1 2 3 4 5 6 7 8

A ako drugi odjeljak želi koristiti niz d e f , oni moraju pokazivati ​​na indeks 5 tog odjeljka (slovo d).

Poznate tablice nizova:

• .shstrtab
• .strtab

.shstrtab

Vrsta odjeljka: sh_type == SHT_STRTAB .

Uobičajeni naziv: redak zaglavlja naslova odjeljka.

Naziv odjeljka.shstrtab je rezerviran. Standard kaže:

Ovaj odjeljak sadrži nazive odjeljaka.

Ovaj odjeljak specificira polje e_shstrnd samog ELF zaglavlja.

Indeksi redaka ovog odjeljka označeni su poljem sh_name zaglavlja odjeljka koja označavaju retke.

Ovaj odjeljak ne navodi SHF_ALLOC, tako da se neće pojaviti u izvršnoj datoteki.

Readelf -x .shstrtab hello_world.o

Hex dump of section ".shstrtab": 0x00000000 002e6461 7461002e 74657874 002e7368 ..data..text..sh 0x00000010 73747274 6162002e 73796d74 6162002e strtab..symtab.. 0x00000020 73747274 6162002e 72656c61 2e746578 strtab..rela.tex 0x00000030 7400 t.

Podaci u ovom odjeljku su u fiksnom formatu: http://www.sco.com/developers/gabi/2003-12-17/ch4.strtab.html

Ako pogledamo druge nazive odjeljaka, možemo vidjeti da svi sadrže brojeve, npr. odjeljak .text je označen brojem 7.

Tada svaki red završava kada se pronađe prvi NUL znak, npr. znak 12 \0 odmah iza .text\0 .

.symtab

Vrsta odjeljka: sh_type == SHT_SYMTAB .

Uobičajeni naziv: tablica simbola.

Prvo napomenimo da:

• sh_link = 5
• sh_info=6

U odjeljku SHT_SYMTAB ovi brojevi znače da:

• Žice
• koji daju nazive simbola nalaze se u odjeljku 5, .strtab
• podaci o preseljenju nalaze se u odjeljku 6, .rela.text

Dobar alat visoke razine za rastavljanje ovog odjeljka:

Nm hello_world.o

koji daje:

0000000000000000 T _start 0000000000000000 d hello_world 000000000000000d a hello_world_len

Ovo je, međutim, prikaz visoke razine koji izostavlja određene vrste znakova i označava znakove. Detaljniji pregled može se dobiti pomoću:

Readelf -s hello_world.o

koji daje:

Tablica simbola ".Symtab" sadrži 7 unosa: NUM: VELIČINA VELIKA TIP VIS NDX IME 0: 0000000000000000 0 ITPIPE LOKALNO DEFAULT UND 1: 00000000000000 0 FILE LOKALNI DEFAULT ABS Hello_World.asm 2: 0000000000 0 Odjeljak Local 1 3: 00000000 _

Binarni format tablice dokumentiran je na http://www.sco.com/developers/gabi/2003-12-17/ch4.symtab.html

Readelf -x .symtab hello_world.o

Što daje:

Hex ispis odjeljka ".symtab": 0x00000000 00000000 00000000 00000000 00000000 ................ 0x00000010 00000000 00000000 0100 ... 0x00000020 00000000 000000 00000000 00000000 ................ 0x00000030 00000000 000000 00000000 000000 ...... ........ 0x00000050 00000000 00000000 00000000 00000000 ...... 0x00000070 00000000 00000000 00000000 000........... 0x00000090 2d000000 10000200 00000000 00000000 -............. 0x000000a0 00000000 00000000 ........

Unosi su tipa:

Typedef struktura ( Elf64_Word st_name; unsigned char st_info; unsigned char st_other; Elf64_Half st_shndx; Elf64_Addr st_value; Elf64_Xword st_size; ) Elf64_Sym;

Kao i tablica particija, prvi unos je magičan i postavljen je na fiksne besmislene vrijednosti.

Unos 1 ima ELF64_R_TYPE == STT_FILE. ELF64_R_TYPE se nastavlja unutar st_info.

Analiza bajtova:

10 8: st_name = 01000000 = znak 1 u .strtab, koji do sljedećeg \0 radi hello_world.asm

Ovaj fragment informacijske datoteke može koristiti povezivač da odredi koji segmenti segmenta dolaze.

10 12: st_info = 04

Bitovi 0-3 = ELF64_R_TYPE = Tip = 4 = STT_FILE: Glavna svrha ovog unosa je korištenje st_name za određivanje naziva datoteke generirane ovom objektnom datotekom.

Bitovi 4-7 = ELF64_ST_BIND = Veza = 0 = STB_LOCAL. Potrebna vrijednost za STT_FILE.

10 13: st_shndx = Tablica simbola Tablica zaglavlja Indeks = f1ff = SHN_ABS . Obavezno za STT_FILE.

20 0: st_value = 8x 00: potrebno za vrijednost za STT_FILE

20 8: st_size = 8x 00: nema dodijeljene veličine

Sada iz čitanja brzo tumačimo ostalo.

STT_SECTION

Postoje dva takva elementa, jedan pokazuje na .data, a drugi na .text (indeksi odjeljka 1 i 2).

Broj: Vrijednost Veličina Vrsta Vezi Vis Ndx Naziv 2: 0000000000000000 0 LOKALNI ZADANO ODJELJAK 1 3: 0000000000000000 0 LOKALNI ZADANO ODJELJAK 2

TODO, koja im je svrha?

STT_NOTYPE

Zatim unesite najvažnije znakove:

Broj: Vrijednost Veličina Vrsta Vezi Vis Ndx Naziv 4: 0000000000000000 0 NOTYPE LOCAL DEFAULT 1 hello_world 5: 000000000000000d 0 NOTYPE LOCAL DEFAULT ABS hello_world0000000 start0000000000

hello_world nalazi se u odjeljku .data (indeks 1). Ova vrijednost je 0: ukazuje na prvi bajt ovog odjeljka.

Početak je označen GLOBALNOM vidljivošću, kao što smo napisali:

globalni_početak

u NASM-u. To je neophodno jer se treba smatrati ulaznom točkom. Za razliku od C, NASM oznake su lokalne prema zadanim postavkama.

hello_world_len ukazuje na poseban st_shndx == SHN_ABS == 0xF1FF.

0xF1FF je odabran kako ne bi bio u sukobu s drugim odjeljcima.

st_value == 0xD == 13, što je vrijednost koju smo tamo pohranili na asembleru: duljina niza Hello World! .

To znači da pomak neće utjecati na ovu vrijednost: ona je konstanta.

Ovo je mala optimizacija koju naš asembler radi za nas i ima ELF podršku.

Kada bismo koristili adresu hello_world_len bilo gdje, asembler je ne bi uspio označiti kao SHN_ABS i povezivač bi kasnije imao dodatno premještanje.

SHT_SYMTAB u izvršnoj datoteki

Prema zadanim postavkama, NASM postavlja .symtab u izvršnu datoteku.

Ovo se koristi samo za otklanjanje pogrešaka. Bez simbola, potpuno smo slijepi i moramo sve redizajnirati.

Možete ga ukloniti pomoću objcopy i izvršni će i dalje raditi. Takve izvršne datoteke nazivaju se podijeljene izvršne datoteke.

.strtab

Sadrži nizove za tablicu znakova.

U ovom odjeljku, sh_type == SHT_STRTAB .

Pokazuje na sh_link == 5 odjeljka .symtab.

Readelf -x .strtab hello_world.o

Hex dump of section ".strtab": 0x00000000 0068656c 6c6f5f77 6f726c64 2e61736d .hello_world.asm 0x00000010 0068656c 6c6f5f77 6f726c64 0068656c .hello_world.hel 0x00000020 6c6f5f77 6f726c64 5f6c656e 005f7374 lo_world_len._st 0x00000030 61727400 art.

To znači da je ograničenje ELF razine da globalne varijable ne mogu sadržavati NUL znakove.

.rela.tekst

Vrsta odjeljka: sh_type == SHT_RELA .

Uobičajeni naziv: premjestiti odjeljak.

Rela.text sadrži podatke o premještanju koji određuju kako se adresa treba promijeniti kada se posljednja izvršna datoteka poveže. Ovo označava bajtove tekstualnog područja koje treba promijeniti kada dođe do povezivanja s ispravnim memorijskim mjestima.

U osnovi, pretvara tekst objekta koji sadrži adresu rezerviranog mjesta 0x0:

A:48 be 00 00 00 00 00 movabs $0x0,%rsi 11:00 00 00

na stvarni izvršni kod koji sadrži konačni 0x6000d8:

4000ba: 48 be d8 00 60 00 00 movabs $0x6000d8,%rsi 4000c1: 00 00 00

Naveden je sh_info = 6 odjeljka .symtab.

readelf -r hello_world.o daje:

Odjeljak za premještanje ".rela.text" na pomaku 0x3b0 sadrži 1 unos: Offset Info Type Sym. Vrijednost Sim. Naziv + dodatak 00000000000c 000200000001 R_X86_64_64 0000000000000000 .podaci + 0

Odjeljak ne postoji u izvršnom fajlu.

Stvarni bajtovi:

00000370 0c 00 00 00 00 00 00 00 01 00 00 00 02 00 00 00 |................| 00000380 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|

Predstavljena struktura:

Typedef struktura (Elf64_Addr r_offset; Elf64_Xword r_info; Elf64_Sxword r_addend; ) Elf64_Rela;

370 0: r_offset = 0xC: adresa na adresu.tekst čija će adresa biti promijenjena

370 8: r_info = 0x200000001. Sadrži 2 polja:

• ELF64_R_TYPE = 0x1: vrijednost ovisi o točnoj arhitekturi.
• ELF64_R_SYM = 0x2: Indeks particije na koju upućuje adresa, dakle .data, koji je na indeksu 2.

AMD64 ABI kaže da se tip 1 zove R_X86_64_64 i da predstavlja operaciju S + A gdje:

• S: vrijednost simbola u objektnoj datoteci, ovdje 0 jer pokazujemo na 00 00 00 00 00 00 00 00 iz movabs $0x0,%rsi
• a: dodatak prisutan u polju r_added

Ova adresa se dodaje particiji na kojoj se pokreće premještanje.

Ova operacija premještanja radi na 8 bajtova.

380 0: r_zbroj = 0

Dakle, u našem primjeru zaključujemo da će nova adresa biti: S + A = .data + 0 , a time i prva u odjeljku podataka.

Tablica naslova programa

Prikazuje se samo u izvršnoj datoteci.

Sadrži informacije o tome kako se izvršna datoteka treba smjestiti u virtualnu memoriju procesa.

Izvršnu datoteku kreira objektna datoteka povezivača. Glavni zadaci koje povezivač obavlja:

odrediti koji dijelovi objektnih datoteka ulaze u koje segmente izvršne datoteke.

U Binutils-u se svodi na raščlanjivanje skripte za izgradnju i rad s puno zadanih postavki.

Možete dobiti skriptu povezivača koja se koristi s ld --verbose i instalirati prilagođenu s ld -T .

kretati se kroz tekstualne odjeljke. Ovisi o tome koliko više particija stane u memoriju.

readelf -l hello_world.out daje:

Elf file type is EXEC (Executable file) Entry point 0x4000b0 There are 2 program headers, starting at offset 64 Program Headers: Type Offset VirtAddr PhysAddr FileSiz MemSiz Flags Align LOAD 0x0000000000000000 0x0000000000400000 0x0000000000400000 0x00000000000000d7 0x00000000000000d7 R E 200000 LOAD 0x00000000000000d8 0x00000000006000d8 0x00000000006000d8 0x000000000000000d 0x000000000000000d RW 200000 Section do Segment mapping: Segment Sections... 00 .tekst 01 .podaci

U ELF zaglavlju e_phoff , e_phnum i e_phentsize rekli su nam da postoje 2 programska zaglavlja koja počinju na 0x40 i imaju svako 0x38 bajta, tako da su:

00000040 01 00 00 00 05 00 00 00 00 00 00 00 00 00 00 00 |................| 00000050 00 00 40 00 00 00 00 00 00 00 40 00 00 00 00 00 |[e-mail zaštićen]@.....| 00000060 d7 00 00 00 00 00 00 00 d7 00 00 00 00 00 00 00 |................| 00000070 00 00 20 00 00 00 00 00 |.. ..... |

00000070 01 00 00 00 06 00 00 00 | ........| 00000080 d8 00 00 00 00 00 00 00 d8 00 60 00 00 00 00 00 |.........`.....| 00000090 d8 00 60 00 00 00 00 00 0d 00 00 00 00 00 00 00 |...`.............| 000000a0 0d 00 00 00 00 00 00 00 00 00 20 00 00 00 00 00 |......... .....| typedef struktura ( Elf64_Word p_type; Elf64_Word p_flags; Elf64_Off p_offset; Elf64_Addr p_vaddr; Elf64_Addr p_paddr; Elf64_Xword p_filesz; Elf64_Xword p_memsz; Elf_6_ign_4; Elf64_;

Raspad prvog:

• 40 0: p_type = 01 00 00 00 = PT_LOAD: TODO. Mislim da to znači da će se učitati u memoriju. Druge vrste ne moraju nužno biti.
• 40 4: p_flags = 05 00 00 00 = dopuštenja za izvršavanje i čitanje, nemojte pisati TODO
• 40 8: p_offset = 8x 00 TODO: što je ovo? Izgleda kao pomaci od početka segmenata. No, bi li to značilo da su neki segmenti isprepleteni? Možete se malo poigrati s tim: gcc -Wl,-Ttext-segment=0x400030 hello_world.c
• 50 0: p_vaddr = 00 00 40 00 00 00 00 00: početna adresa virtualne memorije za učitavanje ovog segmenta
• 50 8: p_paddr = 00 00 40 00 00 00 00 00: početna fizička adresa za učitavanje u memoriju. Samo pitanja za sustave u kojima program može postaviti fizičku adresu. Inače, kao i sa sustavima System V, sve se može dogoditi. Čini se da će NASM samo kopirati p_vaddrr
• 60 0: p_filesz = d7 00 00 00 00 00 00 00: TODO vs p_memsz
• 60 8: p_memsz = d7 00 00 00 00 00 00 00: TODO
• 70 0: p_align = 00 00 20 00 00 00 00 00: 0 ili 1 znači da nije potrebno poravnanje TODO, što to znači? inače suvišan s drugim poljima

Drugi je sličan.

Mapiranje odsječka do segmenta:

odjeljak za čitanje nam govori da:

• 0 - segment.tekst . Da, zato je izvršan, a ne upisiv.
• 1 - segment.podaci .