Како да ја отворите датотеката елф во Windows. Што е наставката на датотеката .ELF? Јазли кои опишуваат податоци

19.5 Генерален формат на URL Сумирање на горенаведеното, забележуваме дека:? URL-то започнува со користениот протокол за пристап.? За сите апликации освен онлајн вести и е-пошта, на ова следи разграничувачот://.? Тогаш е наведено името на домаќинот на серверот.? Конечно

3.3.1. Формат на RSS Можете да читате вести од страницата на различни начини. Најлесен начин е да ја посетувате страницата од време на време и да гледате нови пораки. Можете да поставите програма што се поврзува со канал за вести и самата добива наслови или прибелешки на вести, според

Формат MP3 Форматот MP3 е создаден за дистрибуција на музички фајлови компресирани со кодек од ниво MPEG 1. Моментално е најпопуларниот формат за дистрибуција на музика преку Интернет и пошироко. Поддржан е од апсолутно сите програми за снимање и обработка на звук, за

Формат на MP3 Методот за компресија на аудио, како и форматот на компресирани аудио датотеки, предложен од меѓународната организација MPEG (Moving Pictures Experts Group - Video Recording Experts Group), се заснова на перцептивно аудио кодирање. Работете на создавање ефикасни алгоритми за кодирање

Формат ELF Форматот ELF има неколку типови на датотеки што досега ги нарекувавме поинаку, како што е извршна датотека или датотека со објект. Меѓутоа, стандардот ELF прави разлика помеѓу следниве типови:1. Датотека што може да се премести што содржи инструкции и податоци што можат да бидат

Формат на броеви Конечно стигнавме до форматот на броеви. Веќе го спомнав повеќе од еднаш, сега ќе ставам сè на полиците (иако веќе можевте да го разберете општото значење) Броевите во Excel може да се прикажуваат во различни формати. Во овој дел, ќе зборуваме за тоа кои формати на броеви постојат и како

Во овој преглед, ќе зборуваме само за 32-битната верзија на овој формат, бидејќи сè уште не ни е потребна 64-битната верзија.

Секоја датотека ELF (вклучувајќи ги и објектните модули од овој формат) се состои од следниве делови:

• Заглавие на датотеката ELF;
• Табела со програмски секции (може да отсуствува во објектните модули);
• Секции од датотеката ELF;
• Табела со секции (може да не е присутна во извршниот модул);
• Од причини за изведба, ELF форматот не користи битови полиња. И сите структури обично се порамнети со 4 бајти.

Сега да ги погледнеме типовите што се користат во заглавијата на датотеките ELF:

Сега разгледајте го заглавието на датотеката:

#define EI_NIDENT 16 struct elf32_hdr (непотпишана знак e_ident; Elf32_Half e_type; Elf32_Half e_machine; Elf32_Word e_version; Elf32_Addr e_entry; / * Влезна точка * / Elf32_Off e_phoff; Elf32_Off e_shoff; Elf32_Word e_flags; Elf32_Half e_ehsize; Elf32_Half e_phentsize; Elf32_Half e_phnum; Elf32_Half e_shentsize; Elf32_Half e_shnum;Elf32_Half e_shstrndx;);

Низата e_ident содржи информации за системот и се состои од неколку подполиња.

Структ (непотпишан char ei_magic; непотпишан char ei_class; непотпишан char ei_data; непотпишан char ei_version; непотпишан char ei_pad;)

• ei_magic - константна вредност за сите датотеки ELF, еднаква на ( 0x7f, "E", "L", "F")
• ei_class - класа на датотеки ELF (1 - 32 бита, 2 - 64 бита кои не ги разгледуваме)
• ei_data - го одредува редоследот на бајти за оваа датотека (овој ред зависи од платформата и може да биде директен (LSB или 1) или обратен (MSB или 2)) За процесорите на Intel, дозволена е само вредноста 1.
• ei_version е прилично бескорисно поле, и ако не е еднакво на 1 (EV_CURRENT), тогаш датотеката се смета за неважечка.

Полето ei_pad е местото каде што оперативните системи ги складираат нивните идентификациски информации. Ова поле може да биде празно. И нам не ни е важно.

Полето за заглавие e_type може да содржи повеќе вредности, за извршните датотеки мора да биде ET_EXEC еднакво на 2

e_machine - го одредува процесорот на кој може да работи оваа извршна датотека (За нас, вредноста на EM_386 е 3)

Полето e_version одговара на полето ei_version од заглавието.

Полето e_entry ја дефинира почетната адреса на програмата, која се става во eip пред да ја стартува програмата.

Полето e_phoff го одредува поместувањето од почетокот на датотеката каде што се наоѓа табелата со програмски дел, што се користи за вчитување програми во меморијата.

Нема да ја наведам целта на сите полиња, не се потребни сите за вчитување. Ќе опишам само уште две.

Полето e_phentsize ја дефинира големината на записот во табелата на програмскиот дел.

И полето e_phnum го одредува бројот на записи во табелата на програмскиот дел.

Табелата со секции (не-програма) се користи за поврзување на програмите. нема да го разгледаме. Исто така, нема да ги разгледуваме динамички поврзаните модули. Темава е доста комплицирана, не е погодна за прв познаник. :)

Сега за програмските делови. Форматот на внесувањето на табелата во програмскиот дел е како што следува:

Структура elf32_phdr( Elf32_Word p_type; Elf32_Off p_offset; Elf32_Addr p_vaddr; Elf32_Addr p_paddr; Elf32_Word p_filesz; Elf32_Word p_memsz; Elf_3_Word p_memsz; Elf_3_Word p_memsz; Elf_3_Word p_memsz;

Повеќе за полињата.

• p_type - го дефинира типот на програмскиот дел. Може да потрае неколку вредности, но нас не интересира само една. PT_LOAD (1). Ако делот е од овој тип, тогаш е наменет да се вчита во меморијата.
• p_offset - го одредува поместувањето во датотеката од која започнува овој дел.
• p_vaddr Ја одредува виртуелната адреса каде овој дел треба да се вчита во меморијата.
• p_paddr - ја дефинира физичката адреса каде што треба да се вчита овој дел. Ова поле не мора да се користи и е значајно само за некои платформи.
• p_filesz - Ја одредува големината на делот во датотеката.
• p_memsz - ја одредува големината на делот во меморијата. Оваа вредност може да биде поголема од претходната. Полето p_flag го дефинира типот на пристап до деловите во меморијата. Некои делови се дозволени да се изведуваат, некои да се снимаат. Секој е достапен за читање во постоечките системи.

Се вчитува форматот ELF.

Со насловот малку го сфативме. Сега ќе дадам алгоритам за вчитување на бинарна датотека во формат ELF. Алгоритмот е шематски, не треба да го сметате како работна програма.

Int LoadELF (непотпишан char *bin) ( struct elf32_hdr *EH = (struct elf32_hdr *)bin; struct elf32_phdr *EPH; if (EH->e_ident != 0x7f || // Control MAGIC EH->e_ident != "E" || EH->e_ident != "L" || EH->e_ident != "F" || EH->e_ident != ELFCLASS32 || // Контролна класа EH->e_ident != ELFDATA2LSB || // редослед на бајти EH->e_ident != EV_CURRENT || // верзија EH->e_type != ET_EXEC || // тип EH->e_machine != EM_386 || // платформа EH->e_version != EV_CURRENT) // и повторно верзија, за секој случај врати ELF_WRONG; EPH = (struct elf32_phdr *)(bin + EH->e_phoff); додека (EH->e_phnum--) ( ако (EPH->p_type == PT_LOAD) memcpy (EPH->p_vaddr, bin + EPH->p_offset, EPH->p_filesz);EPH = (struct elf32_phdr *)((непотпишан знак *)EPH + EH->e_phentsize)); ) врати ELF_OK; )

Како сериозна забелешка, вреди да се анализираат полињата EPH->p_flags и да се постават правата за пристап до соодветните страници, а едноставното копирање нема да работи овде, но ова повеќе не важи за форматот, туку за распределбата на меморијата. Затоа, сега нема да зборуваме за тоа.

PE формат.

На многу начини, тој е сличен на форматот ELF, и не е изненадувачки што треба да има и делови достапни за преземање.

Како и сè во Microsoft :) форматот PE се базира на форматот EXE. Структурата на датотеката е:

• 00h - заглавие EXE (нема да го земам предвид, старо е како Dos. :)
• 20h - OEM заглавие (ништо значајно во него);
• 3ch - вистинско поместување на заглавието на PE во датотеката (dword).
• маса за движење на никулци;
• никулец;
• Заглавие на PE;
• маса за предмети;
• предмети на датотека;

никулец е програма која работи во реален режим и врши некоја прелиминарна работа. Можеби не е достапно, но понекогаш може да биде потребно.

Ние сме заинтересирани за нешто друго, заглавјето на ЈП.

Неговата структура е вака:

Struct pe_hdr (непотпишана долго pe_sign; непотпишана кратки pe_cputype; непотпишана кратки pe_objnum; непотпишана долго pe_time; непотпишана долго pe_cofftbl_off; непотпишана долго pe_cofftbl_size; непотпишана кратки pe_nthdr_size; непотпишана кратки pe_flags; непотпишана кратки pe_magic; непотпишана кратки pe_link_peverdata_code; непотпишана long_size;; непотпишана долго pe_udata_size ; непотпишан долг pe_entry; непотпишан долг pe_code_base; непотпишан долг pe_data_base; непотпишан долг pe_image_base; непотпишан долг pe_obj_align; непотпишан долг pe_file_align; // ... добро, и многу други работи, неважни. );

Има многу работи. Доволно е да се каже дека големината на ова заглавие е 248 бајти.

И главната работа е што повеќето од овие полиња не се користат. (Кој гради така?) Не, се разбира, тие имаат добро позната намена, но мојата програма за тестирање, на пример, содржи нули во полињата pe_code_base, pe_code_size, итн., но работи добро. Заклучокот сам по себе сугерира дека датотеката е вчитана врз основа на табелата со објекти. За тоа ќе зборуваме.

Табелата за објекти следи веднаш по заглавјето на PE. Записите во оваа табела го имаат следниов формат:

Struct pe_ohdr ( непотпишан char o_name; непотпишан долг o_vsize; непотпишан долг o_vaddr; непотпишан долг o_psize; непотпишан долго o_poff; непотпишан char o_резервиран; непотпишан долг o_знамиња; );

• o_name - име на делот, апсолутно е рамнодушен за вчитување;
• o_vsize - големина на делот во меморијата;
• o_vaddr - мемориска адреса во однос на ImageBase;
• o_psize - големина на делот во датотеката;
• o_poff - поместување на делот во датотеката;
• o_flags - знамиња на секцијата;

Овде вреди да се задржиме на знамињата подетално.

• 00000004h - се користи за код со 16 битни поместувања
• 00000020h - дел за код
• 00000040h - иницијализиран дел за податоци
• 00000080h - дел за неиницијализирани податоци
• 00000200h - коментари или кој било друг вид на информации
• 00000400h - преклопен дел
• 00000800h - нема да биде дел од сликата на програмата
• 00001000h - општи податоци
• 00500000h - стандардно порамнување освен ако не е поинаку наведено
• 02000000h - може да се истовари од меморијата
• 04000000h - не е кеширан
• 08000000h - не може да се страница
• 10000000h - споделено
• 20000000h - изводливо
• 40000000h - може да се прочита
• 80000000h - можете да напишете

Повторно, нема да бидам со споделени и преклопени делови, ние сме заинтересирани за код, податоци и права за пристап.

Во принцип, оваа информација е веќе доволна за преземање бинарна датотека.

Се вчитува PE формат.

Ова повторно не е завршена програма, туку алгоритам за вчитување.

И повторно, многу точки не се опфатени, бидејќи тие ја надминуваат темата.

Но, сега вреди да се зборува малку за постоечките карактеристики на системот.

Системски карактеристики.

И покрај флексибилноста на заштитите достапни кај процесорите (заштита на ниво на табели со дескриптори, заштита на ниво на сегмент, заштита на ниво на страница), во постоечките системи (и во Windows и во Unix), целосно се користи само заштита на страницата, што, иако може да спречи пишување на кодот, но не може да спречи извршување на податоците. (Можеби ова е причината за изобилството на системски пропусти?)

Сите сегменти се адресираат од линеарната адреса нула и се протегаат до крајот на линеарната меморија. Разграничувањето на процесот се случува само на ниво на табелата со страници.

Во овој поглед, сите модули се поврзани не од почетните адреси, туку со доволно големо поместување во сегментот. На Windows, основната адреса во сегментот е 0x400000, на Unix (Linux или FreeBSD) е 0x8048000.

Некои карактеристики се исто така поврзани со страничење на меморијата.

ELF-датотеките се поврзани на таков начин што границите и големините на деловите паѓаат на блокови од 4 килобајти од датотеката.

И во форматот PE, и покрај фактот што самиот формат ви овозможува да порамните делови од 512 бајти, се користи порамнување на делови од 4k, помалото усогласување во Windows не се смета за точно.

Ако вашиот компјутер има антивирусна програмаможе скенирајте ги сите датотеки на компјутерот, како и секоја датотека поединечно. Можете да скенирате која било датотека со десен клик на датотеката и избирање на соодветната опција за скенирање на датотеката за вируси.

На пример, на оваа слика, датотека my-file.elf, потоа треба да кликнете со десното копче на оваа датотека и во менито датотека изберете ја опцијата „скенирајте со AVG“. Избирањето на оваа опција ќе го отвори AVG Antivirus и ќе ја скенира датотеката за вируси.

Понекогаш може да произлезе грешка од неправилна инсталација на софтвер, што може да се должи на проблем што се појавил за време на процесот на инсталација. Тоа може да пречи на вашиот оперативен систем поврзете ја вашата ELF датотека со правилната софтверска апликација, влијаејќи на т.н "асоцијации за проширување на датотеки".

Понекогаш едноставно повторно инсталирање на Dolphin (емулатор)може да го реши вашиот проблем со правилно поврзување на ELF со Dolphin (емулатор). Во други случаи, проблемите со асоцијацијата на датотеки може да произлезат од лошо софтверско програмирањепрограмер, и можеби ќе треба да го контактирате развивачот за дополнителна помош.

Совет:Обидете се да го ажурирате Dolphin (емулатор) на најновата верзија за да бидете сигурни дека ги имате најновите закрпи и ажурирања.

Ова може да изгледа премногу очигледно, но често самата датотека ELF можеби го предизвикува проблемот. Ако сте примиле датотека преку прилог преку е-пошта или сте ја презеле од веб-локација и процесот на преземање бил прекинат (на пример, поради прекин на струја или друга причина), датотеката може да е оштетена. Ако е можно, обидете се да добиете нова копија од датотеката ELF и обидете се повторно да ја отворите.

Внимателно:Оштетената датотека може да предизвика колатерална штета на претходниот или постоечки малициозен софтвер на вашиот компјутер, па затоа е важно да го одржувате компјутерот ажуриран со ажуриран антивирус.

Ако вашата датотека ELF поврзани со хардверот на вашиот компјутерза да ја отворите датотеката што можеби ќе ви треба ажурирајте ги драјверите на уредотповрзани со оваа опрема.

Овој проблем обично се поврзуваат со типови на медиумски датотеки, кои зависат од успешното отворање на хардверот во компјутерот, на пример, звучна картичка или видео картичка. На пример, ако се обидувате да отворите аудио датотека, но не можете да ја отворите, можеби ќе треба ажурирајте ги драјверите за звучна картичка.

Совет:Ако кога ќе се обидете да отворите датотека ELF добивате Порака за грешка поврзана со датотеката .SYS, веројатно проблемот би можел да биде поврзани со оштетени или застарени двигатели на уредоткои треба да се ажурираат. Овој процес може да се олесни со користење на софтвер за ажурирање на драјвери како што е DriverDoc.

Ако чекорите не го решија проблемоти сè уште имате проблеми со отворањето на датотеките ELF, тоа може да се должи на недостаток на достапни системски ресурси. Некои верзии на ELF-датотеки може да бараат значителна количина ресурси (на пр. меморија/RAM, процесорска моќност) за правилно отворање на вашиот компјутер. Овој проблем е доста чест ако користите прилично стар компјутерски хардвер и многу понов оперативен систем во исто време.

Овој проблем може да се појави кога на компјутерот му е тешко да ја заврши задачата бидејќи оперативниот систем (и другите услуги што работат во заднина) можат троши премногу ресурси за да ја отвори датотеката ELF. Обидете се да ги затворите сите апликации на вашиот компјутер пред да ја отворите датотеката за игра на Nintendo Wii. Со ослободување на сите достапни ресурси на вашиот компјутер, ќе обезбедите најдобри услови за обид за отворање на датотеката ELF.

Ако ти ги заврши сите горенаведени чекории вашата датотека ELF сè уште нема да се отвори, можеби ќе треба да ја извршите хардверска надградба. Во повеќето случаи, дури и со постари верзии на хардвер, процесорската моќ сепак може да биде повеќе од доволна за повеќето кориснички апликации (освен ако не работите многу интензивна работа на процесорот, како што се 3D рендерирање, финансиско/научно моделирање или работа интензивна за медиуми ) . На овој начин, веројатно е дека вашиот компјутер нема доволно меморија(почесто се нарекува „RAM“ или RAM) за извршување на задачата за отворање датотека.

Верзија на овој одговор со добар TOC и повеќе содржини: http://www.cirosantilli.com/elf-hello-world (кликнете овде Ограничување на знаци од 30k)

Стандарди

ELF е даден од LSB:

• основни генерички: http://refspecs.linuxfoundation.org/LSB_4.1.0/LSB-Core-generic/LSB-Core-generic/elf-generic.html
• јадро AMD64: http://refspecs.linuxfoundation.org/LSB_4.1.0/LSB-Core-AMD64/LSB-Core-AMD64/book1.html

LSB најчесто се однесува на други стандарди со мали проширувања, особено:

генерички (и од SCO):

• System V ABI 4.1 (1997) http://www.sco.com/developers/devspecs/gabi41.pdf, а не 64 бита, иако за него е резервиран магичен број. Истото за главните датотеки.
• System V ABI Update DRAFT 17 (2003) http://www.sco.com/developers/gabi/2003-12-17/contents.html додава 64 бита. Само ги ажурира поглавјата 4 и 5 од претходниот документ: останатите остануваат валидни и сè уште се повикуваат.

• специфична архитектура:

  • IA-32: http://refspecs.linuxfoundation.org/LSB_4.1.0/LSB-Core-IA32/LSB-Core-IA32/elf-ia32.html главно укажува на http://www.sco.com/developers / devspecs/abi386-4.pdf
  • AMD64: http://refspecs.linuxfoundation.org/LSB_4.1.0/LSB-Core-AMD64/LSB-Core-AMD64/elf-amd64.html, во основа укажува на http://www.x86-64.org/ документацијата /abi.pdf

Корисна биографија може да се најде на:

Неговата структура може да се испита со користење на начини погодни за корисниците, како што се readelf и objdump.

Направете пример

Ајде да разложиме минимален пример за извршување на Linux x86-64:

Секција .data hello_world db "Здраво свет!", 10 hello_world_len equ $ - hello_world секција .текст глобален _start _start: mov rax, 1 mov rdi, 1 mov rsi, hello_world mov rdx, hello_world_len syrllsca,

Составен со

Nasm -w+all -f elf64 -o "hello_world.o" "hello_world.asm" ld -o "hello_world.out" "hello_world.o"

• НАСМ 2.10.09
• Binutils верзија 2.24 (содржи ld)
• Ubuntu 14.04

Не користиме програма C бидејќи тоа би ја комплицирало анализата која би била ниво 2 :-)

хексадецимални претстави на бинарни

Глобална структура на датотеки

Датотеката ELF ги содржи следните делови:

• Заглавие ELF. Ја означува позицијата на табелата за заглавие на секцијата и табелата за заглавие на програмата.

  Табела за заглавие на секцијата (опционално во извршната датотека). Секој од нив има заглавија на делот e_shnum, од кои секоја ја означува позицијата на делот.

  N партиции со N<= e_shnum (необязательно в исполняемом файле)

  Табела за заглавие на програмата (само за извршни датотеки). Секој од нив има заглавија на програмата e_phnum, од кои секое ја означува позицијата на сегментот.

  N отсечки, со N<= e_phnum (необязательно в исполняемом файле)

Редоследот на овие делови не е фиксиран: единствената фиксна работа е заглавието ELF, кое мора да биде прво во датотеката: Вообичаените документи велат:

Заглавие ELF

Најлесен начин за гледање на заглавието е:

readelf -h hello_world.o readelf -h hello_world.out

Бајт во објектната датотека:

00000000 7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00 |.ELF...........| 00000010 01 00 3e 00 01 00 00 00 00 00 00 00 00 00 00 00 |..>.............| 00000020 00 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00 | [заштитена е-пошта]| 00000030 00 00 00 00 40 00 00 00 00 00 40 00 07 00 03 00 |[заштитена е-пошта]@.....|

00000000 7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00 |.ELF...........| 00000010 02 00 3e 00 01 00 00 00 b0 00 40 00 00 00 00 00 |...> [заштитена е-пошта]| 00000020 40 00 00 00 00 00 00 00 10 01 00 00 00 00 00 00 |@...............| 00000030 00 00 00 00 40 00 38 00 02 00 40 00 06 00 03 00 |[заштитена е-пошта]@.....|

Презентирана структура:

Typedef struct (непотпишана знак e_ident; Elf64_Half e_type; Elf64_Half e_machine; Elf64_Word e_version; Elf64_Addr e_entry; Elf64_Off e_phoff; Elf64_Off e_shoff; Elf64_Word e_flags; Elf64_Half e_ehsize; Elf64_Half e_phentsize; Elf64_Half e_phnum; Elf64_Half e_shentsize; Elf64_Half e_shnum; Elf64_Half e_shstrndx;) Elf64_Ehdr;

Распаѓање со рака:

0 0: EI_MAG = 7f 45 4c 46 = 0x7f "E", "L", "F" : ELF магичен број

0 4: EI_CLASS=02=ELFCLASS64: 64-битен елф

0 5: EI_DATA = 01 = ELFDATA2LSB: големи крајни податоци

0 6: EI_VERSION = 01: верзија на формат

0 7: EI_OSABI (само 2003 година) = 00 = ELFOSABI_NONE: Нема екстензии.

0 8: EI_PAD = 8x 00: резервирани бајти. Мора да се постави на 0.

1 0: e_type = 01 00 = 1 (голем ендијан) = ET_REl: формат што може да се премести

Во извршната датотека 02 00 за ET_EXEC.

1 2: e_machine = 3e 00 = 62 = EM_X86_64: AMD64 архитектура

1 4: е_верзија = 01 00 00 00: треба да биде 1

1 8: e_entry = 8x 00: влезна точка на адресата за извршување, или 0 ако не е применливо, како за датотека со објект, бидејќи нема влезна точка.

Во извршната датотека, ова е b0 00 40 00 00 00 00 00 . ТОДО: што друго да инсталираме? Се чини дека јадрото ја става IP-а директно во оваа вредност, не е хардкодирано.

2 0: e_phoff = 8x 00: поместување на табелата за заглавие на програмата, 0 ако не.

40 00 00 00 во извршната датотека, што значи дека започнува веднаш по заглавјето ELF.

2 8: e_shoff = 40 7x 00 = 0x40: поместување на датотеката на табелата за заглавие на делот, 0 ако нема.

3 0: е_знамиња = 00 00 00 00 TODO. Специјално за Арх.

3 4: e_ehsize = 40 00: големина на ова заглавие на елф. Зошто е ова поле? Како може ова да се промени?

3 6: e_phentsize = 00 00: големина на секое заглавие на програмата, 0 ако нема.

38 00 во извршна датотека: должината на датотеката е 56 бајти

3 8: e_phnum = 00 00: број на записи во заглавието на програмата, 0 ако нема.

02 00 во извршната датотека: има 2 записи.

3 A: e_shentsize и e_shnum = 40 00 07 00: големина на заглавието на делот и број на записи

Табела за заглавие на делот

Низа Elf64_Shdr структури.

Секој запис содржи метаподатоци за тој дел.

e_shoff на заглавјето ELF ја дава почетната позиција овде, 0x40.

e_shentsize и e_shnum од заглавието ELF велат дека имаме 7 записи, секој долг 0x40.

Така, табелата зема бајти од 0x40 до 0x40 + 7 + 0x40 - 1 = 0x1FF.

Некои наслови на секции се резервирани за одредени типови секции: http://www.sco.com/developers/gabi/2003-12-17/ch4.sheader.html#special_sections на пример. .текстот бара тип SHT_PROGBITS и SHF_ALLOC + SHF_EXECINSTR

readelf -S hello_world.o:

Постојат 7 заглавија од секција, почнувајќи од Offset 0x40: Заглавија на делот: Име на тип адреса Офсет Големина Офтализа Знамиња Линк Инфо Порамни [0] Null 0000000000000000 00000000 0000000000000000 0 0 [1] .data progbits 0000000000 00000000000000 00 000000000000 2] .text PROGBITS 0000000000000000 00000210 0000000000000027 0000000000000000 AX 0 0 16 [3] .shstrtab STRTAB 0000000000000000 00000240 0000000000000032 0000000000000000 0 0 1 [4] .symtab SYMTAB 0000000000000000 00.000.280 0000000000000018 00000000000000a8 5 6 4 [5] .strtab STRTAB 00.000.330 0000000000000000 0000000000000034 0000000000000000 0 0 1 [ 6] .rela.текст RELA 00000000000000000 00000370 00000000000000018 0000000000000018 4 2 4 Клучни за знаменца: W (запишување) (запишување) (запишување) (запишување) (запишување) (спојување) (спојување) (сл.) I (информации), L (редослед на врски), G (група), T (TLS), E (исклучи), x (непознато) O (потребна е дополнителна обработка на ОС) o (специфична за ОС), p (специфична за процесорот)

struct , претставена со секој запис:

Typedef struct ( Elf64_Word sh_name; Elf64_Word sh_type; Elf64_Xword sh_flags; Elf64_Addr sh_addr; Elf64_Off sh_offset; Elf64_Xword sh_size; Elf64_Word sh_link; Elf64_Word sh_link; Elf64_Word sh_link; Elf64_Word sh_link; Elf64_Word sh_link; Elf64_Word sh_link; Elf64_Xword sh_flags; Elf64_Addr sh_addr;

Секции

Индекс дел 0

Содржани во бајти од 0x40 до 0x7F.

Првиот дел е секогаш магичен: http://www.sco.com/developers/gabi/2003-12-17/ch4.sheader.html вели:

Ако бројот на партиции е поголем или еднаков на SHN_LORESERVE (0xff00), e_shnum е поставен на SHN_UNDEF (0) и вистинскиот број на записи од табелата на заглавието на партициите е содржан во полето sh_size на заглавието на партицијата на индексот 0 (инаку, sh_size членот на почетниот запис содржи 0).

Постојат и други магични делови на Слика 4-7: Индекси на специјални делови.

На индекс 0, потребно е SHT_NULL. Дали има други употреби за ова: Која е употребата на делот SHT_NULL во ELF? ?

.дел за податоци

Податоците се дел 1:

00000080 01 00 00 00 01 00 00 00 03 00 00 00 00 00 00 00 |................| 00000090 00 00 00 00 00 00 00 00 00 02 00 00 00 00 00 00 |................| 000000a0 0d 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| 000000b0 04 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|

Овде, 1 вели дека името на овој дел започнува на првиот знак од овој дел и завршува на првиот знак NUL, со што ја сочинува низата.data .

Податоците се едно од имињата на делот што има однапред дефинирана вредност http://www.sco.com/developers/gabi/2003-12-17/ch4.strtab.html

Овие делови складираат иницијализирани податоци што придонесуваат за сликата на меморијата на програмата.

• 80 4: sh_type = 01 00 00 00: SHT_PROGBITS: Содржината на делот не е одредена од ELF, само со тоа како програмата ја толкува. Во ред е, бидејќи .податоци .

  80 8: sh_flags = 03 7x 00: SHF_ALLOC и SHF_EXECINSTR: http://www.sco.com/developers/gabi/2003-12-17/ch4.sheader.html#sh_flags , како што се бара од делот .data

  90 0: sh_addr = 8x 00: во која виртуелна адреса делот ќе биде поставен при извршување, 0 ако не е поставен

  90 8: sh_offset = 00 02 00 00 00 00 00 00 = 0x200: број на бајти од почетокот на програмата до првиот бајт во овој дел

  a0 0: sh_size = 0d 00 00 00 00 00 00 00

  Ако земеме 0xD бајти, почнувајќи од sh_offset 200, ќе видиме:

  00000200 48 65 6c 6c 6f 20 77 6f 72 6c 64 21 0a 00 |Здраво свето!.. |

  АХА! Значи нашата низа "Здраво свет!" е во делот за податоци, како што рековме, тоа е на NASM.

  Откако ќе завршиме со HD, ќе го разгледаме вака:

  Readelf -x .податоци hello_world.o

  кои излегуваат:

  Хексадецимален депон од делот „.податоци“: 0x00000000 48656c6c 6f20776f 726c6421 0a Здраво свето!.

  NASM поставува пристојни својства за овој дел бидејќи магично се однесува на .data: http://www.nasm.us/doc/nasmdoc7.html#section-7.9.2

  Исто така, забележете дека ова беше погрешен избор на дел: добар компајлер C наместо тоа би ја ставил линијата во .rodata, бидејќи е само за читање, а тоа ќе овозможи оптимизацијата на ОС да продолжи.

  a0 8: sh_link и sh_info = 8x 0: не важат за овој тип на дел. http://www.sco.com/developers/gabi/2003-12-17/ch4.sheader.html#special_sections

  b0 0: sh_addralign = 04 = TODO: зошто е потребно ова порамнување? Дали е тоа само за sh_addr и исто така за знаци внатре во sh_addr?

  b0 8: sh_entsize = 00 = делот не содржи табела. Ако != 0, тоа значи дека делот содржи табела со записи со фиксна големина. Во оваа датотека, можеме да видиме од излезот за читање дека ова е случај за секциите .symtab и .rela.text.

.текст секција

Сега, кога рачно направивме еден дел, ајде да дипломираме и да користиме readelf -S од другите делови.

Име Тип Адреса Офсет Големина EntSize Знамиња Информации за врската Порамнете [ 2] .текст

Текстот може да се изврши, но не може да се запише: ако се обидеме да му напишеме segfaults на Linux. Ајде да видиме дали навистина го имаме кодот:

Objdump -d hello_world.o

Hello_world.o: формат на датотека elf64-x86-64 Расклопување на делот .текст: 00000000000000000<_start>: 0: b8 01 00 00 00 mov $0x1,%eax 5: bf 01 00 00 00 mov $0x1,%edi a: 48 be 00 00 00 00 00 movabs $0x0,%rsi 11: 000 0d 00 00 00 mov $0xd,%edx 19: 0f 05 syscall 1b: b8 3c 00 00 00 mov $0x3c,%eax 20: bf 00 00 00 00 mov $0x0,%edi scaf 25:

Ако имаме grep b8 01 00 00 на hd, гледаме дека тоа се случува само на 00000210, што е она што го кажува овој дел. И големината е 27, што исто така одговара. Затоа, мора да зборуваме за правилниот дел.

Ова изгледа како точниот код: пишување проследено со излез .

Најинтересниот дел е линијата a , која прави:

Movabs $0x0,%rsi

пренесете ја адресата на низата на системскиот повик. Во моментов 0x0 е само местенка. По врзувањето, ќе се промени:

4000ba: 48 be d8 00 60 00 00 movabs $0x6000d8,%rsi

Оваа модификација е можна поради податоците во делот .rela.text.

SHT_STRTAB

Пресеците со sh_type == SHT_STRTAB се нарекуваат стринг табели.

Таквите делови се користат од други секции кога треба да се користат имиња на стрингови. Делот за употреба вели:

• која линија ја користат
• кој е индексот во табелата со целни редови каде што започнува редот

Така, на пример, би можеле да имаме низа табела која содржи: TODO: дали треба да почнеме со \0 ?

Податоци: \0 a b c \0 d e f \0 Индекс: 0 1 2 3 4 5 6 7 8

И ако друг дел сака да ја користи низата d e f , тие мора да укажуваат на индексот 5 од тој дел (буквата г).

Познати табели со жици:

• .shstrtab
• .strtab

.shstrtab

Тип на дел: sh_type == SHT_STRTAB .

Заедничко име: линија за заглавие на насловот на делот.

Делот name.shstrtab е резервиран. Стандардот вели:

Овој дел содржи имиња на делови.

Овој дел го одредува полето e_shstrnd на самото заглавие ELF.

Индексите на редовите на овој дел се означени со полето sh_name на заглавијата на секциите што ги означуваат редовите.

Овој дел не специфицира SHF_ALLOC, така што нема да се појави во извршната датотека.

Readelf -x .shstrtab hello_world.o

Двојна депонија на делот ".shstrtab": 0x00000000 002e6461 7461002e 74.657.874 73.747.274 002e7368 ..data..text..sh 0x00000010 6162002e 73796d74 6162002e strtab..symtab .. 0x00000020 73747274 6162002e 72656c61 2e746578 strtab..rela.tex 0x00000030 7400 t.

Податоците во овој дел се во фиксен формат: http://www.sco.com/developers/gabi/2003-12-17/ch4.strtab.html

Ако ги погледнеме имињата на другите делови, можеме да видиме дека сите тие содржат броеви, на пр. делот .текст е нумериран со 7 .

Потоа секоја линија завршува кога ќе се најде првиот NUL знак, на пр. знак 12 \0 веднаш по .текст\0 .

.symtab

Тип на дел: sh_type == SHT_SYMTAB .

Заедничко име: табела со симболи.

Прво да забележиме дека:

• sh_link = 5
• sh_info=6

Во делот SHT_SYMTAB, овие бројки значат дека:

• Стрингови
• кои даваат имиња на симболи се во делот 5, .strtab
• податоците за преместување се во делот 6, .rela.text

Добра алатка на високо ниво за расклопување на овој дел:

Nm hello_world.o

кој дава:

00000000000000000 T _start 0000000000000000 d hello_world 000000000000000d a hello_world_len

Сепак, ова е претстава на високо ниво што испушта одредени типови на знаци и означува знаци. Подетален преглед може да се добие користејќи:

Readelf -s hello_world.o

кој дава:

Симбол Табела " _

Бинарниот формат на табелата е документиран на http://www.sco.com/developers/gabi/2003-12-17/ch4.symtab.html

Readelf -x .symtab hello_world.o

Што дава:

Hex депонијата на делот ".symtab": 0x00000000 00000000 00000000 00000000 00000000 ................ 0x00000010 00000000 000000000 00000000 000000000 . 0x00000020 00000000 00000000 00000000 00000000 ................ 0x00000030 00000000 0x00000000 00000000 0x000000 00000000 000000 ................ 0x00000040 00000000 00000000 00000000 0x000000 .............. 0x00000050 00000000 00000000 000000000000 000000000 ...... 00000000 ................ 0x00000090 2d000000 10000200 00000000 00000000 -............. 0x000000a0 00000000 00000000 ........

Записите се од типот:

Typedef struct ( Elf64_Word st_name; непотпишан char st_info; непотпишан char st_other; Elf64_Half st_shndx; Elf64_Addr st_value; Elf64_Xword st_size; ) Elf64_Sym;

Како и табелата со партиции, првиот запис е магичен и е поставен на фиксни бесмислени вредности.

Записот 1 има ELF64_R_TYPE == STT_FILE . ELF64_R_TYPE продолжува внатре во st_info .

Анализа на бајти:

10 8: st_name = 01000000 = знак 1 во .strtab , кој до следниот \0 прави hello_world.asm

Овој фрагмент од датотеката со информации може да го користи поврзувачот за да одреди кои сегменти од сегментот доаѓаат.

10 12: st_info = 04

Битови 0-3 = ELF64_R_TYPE = Тип = 4 = STT_FILE: Главната цел на овој запис е да се користи st_name за да се одреди името на датотеката генерирана од оваа објектна датотека.

Битови 4-7 = ELF64_ST_BIND = Врзување = 0 = STB_LOCAL. Потребна вредност за STT_FILE .

10 13: st_shndx = Табела со симболи Заглавие табела Индекс = f1ff = SHN_ABS . Потребно за STT_FILE .

20 0: st_value = 8x 00: потребно за вредност за STT_FILE

20 8: st_size = 8x 00: нема доделена големина

Сега од читање брзо го толкуваме останатото.

STT_SECTION

Има два такви елементи, едниот покажува на .податоци, а другиот на .текст (индекси на делот 1 и 2).

Број: Вредност Тип Големина Bind Vis Ndx Име 2: 0000000000000000 0 СЕКЦИЈА ЛОКАЛНО ПОСТАНДИРАНО 1 3: 00000000000000000 0 СЕКЦИЈА ЛОКАЛНО ПОСТАНДИРАНО 2

ТОДО, која е нивната цел?

STT_NOTYPE

Потоа внесете ги најважните знаци:

Број: вредност Тип на големина Bind Vis Ndx Име 4: 0000000000000000 0 NOTYPE LOCAL DEFAULT 1 hello_world 5: 000000000000000d 0 NOTYPE LOCAL DEFAULT DEFAULT000000000000

hello_world е во делот .data (индекс 1). Оваа вредност е 0: укажува на првиот бајт од овој дел.

Почетокот е означен со ГЛОБАЛНА видливост, како што напишавме:

глобален_почеток

во НАСМ. Ова е неопходно бидејќи треба да се смета како влезна точка. За разлика од C, ознаките NASM се стандардно локални.

hello_world_len укажува на специјалното st_shndx == SHN_ABS == 0xF1FF.

0xF1FF е избрано за да не дојде во конфликт со другите делови.

st_value == 0xD == 13 , што е вредноста што ја складиравме таму при склопувањето: должината на низата Hello World! .

Ова значи дека потегот нема да влијае на оваа вредност: тоа е константа.

Ова е мала оптимизација што ја прави нашиот асемблерот за нас и има поддршка за ELF.

Ако ја користевме адресата hello_world_len каде било, асемблерот нема да успее да ја означи како SHN_ABS и поврзувачот ќе има дополнително преместување подоцна.

SHT_SYMTAB во извршната датотека

Стандардно, NASM го става .symtab во извршната датотека.

Ова се користи само за дебагирање. Без симболи, ние сме целосно слепи и мора да редизајнираме сè.

Можете да го отстраните со objcopy и извршната датотека сепак ќе работи. Таквите извршни се нарекуваат поделени извршни.

.strtab

Држи низи за табелата со знаци.

Во овој дел, sh_type == SHT_STRTAB .

Посочува на sh_link == 5 од делот .symtab.

Readelf -x .strtab hello_world.o

Двојна депонија на делот ".strtab": 0x00000000 0068656c 6c6f5f77 6f726c64 2e61736d .hello_world.asm 0x00000010 0068656c 6c6f5f77 6f726c64 0068656c .hello_world.hel 0x00000020 6c6f5f77 6f726c64 5f6c656e 005f7374 lo_world_len._st 0x00000030 61727400 уметност.

Ова значи дека е ограничување на ниво на ELF дека глобалните променливи не можат да содржат NUL знаци.

.рела.текст

Тип на дел: sh_type == SHT_RELA .

Заедничко име: секција за преместување.

Rela.text содржи податоци за преместување кои одредуваат како треба да се смени адресата кога ќе се поврзе последната извршна датотека. Ова ги означува бајтите од областа на текстот што треба да се сменат кога поврзувањето се случува со точните мемориски локации.

Во основа, го конвертира текстот на објектот што ја содржи адресата на држачот за место 0x0:

A:48 be 00 00 00 00 00 movabs $0x0,%rsi 11:00 00 00

до вистинскиот извршна шифра што ја содржи конечната 0x6000d8:

4000ba: 48 be d8 00 60 00 00 movabs $0x6000d8,%rsi 4000c1: 00 00 00

Наведен е sh_info = 6 од делот .symtab.

readelf -r hello_world.o дава:

Делот за преместување „.rela.text“ со поместување 0x3b0 содржи 1 запис: Тип на информации за офсет Sym. Вредност Sym. Име + Додај 00000000000c 000200000001 R_X86_64_64 00000000000000000 .податоци + 0

Делот не постои во извршната датотека.

Вистински бајти:

00000370 0c 00 00 00 00 00 00 00 01 00 00 00 02 00 00 00 |................| 00000380 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|

Претставена структура:

Typedef struct ( Elf64_Addr r_offset; Elf64_Xword r_info; Elf64_Sxword r_addend; ) Elf64_Rela;

370 0: r_offset = 0xC: адреса до адреса.текст чија адреса ќе се смени

370 8: r_info = 0x200000001. Содржи 2 полиња:

• ELF64_R_TYPE = 0x1: вредноста зависи од точната архитектура.
• ELF64_R_SYM = 0x2: Индексот на партицијата на кој укажува адресата, значи .data , кој е на индекс 2.

AMD64 ABI вели дека типот 1 се нарекува R_X86_64_64 и дека ја претставува операцијата S + A каде што:

• S: вредноста на симболот во објектната датотека, тука 0 затоа што покажуваме на 00 00 00 00 00 00 00 00 од movabs $0x0,%rsi
• a: додатокот присутен во полето r_added

Оваа адреса се додава на партицијата каде што се извршува потегот.

Оваа операција за движење работи на 8 бајти.

380 0: r_addend = 0

Така, во нашиот пример, заклучуваме дека новата адреса ќе биде: S + A = .data + 0 , а со тоа и прва во делот за податоци.

Табела со наслови на програмата

Се прикажува само во извршната датотека.

Содржи информации за тоа како извршната датотека треба да се смести во виртуелната меморија на процесот.

Извршната датотека е креирана од датотеката со објект за поврзување. Главните задачи што ги извршува поврзувачот:

одреди кои делови од објектните датотеки одат во кои сегменти од извршната датотека.

Во Binutils се сведува на парсирање на скриптата за градител и работа со многу стандардни поставки.

Можете да ја добиете скриптата за поврзување што се користи со ld --verbose и да ја инсталирате прилагодената со ld -T .

навигирајте низ текстуалните делови. Тоа зависи од тоа како повеќе партиции се вклопуваат во меморијата.

readelf -l hello_world.out дава:

Елф тип на датотека е exec (извршна датотека) Влегување точка 0x4000b0 Постојат 2 програма заглавија, со почеток во офсет 64 Програма заглавија: Тип Офсет VirtAddr PhysAddr FileSiz MemSiz Знамиња Порамни ТОВАР 0x0000000000000000 0x0000000000400000 0x0000000000400000 0x00000000000000d7 0x00000000000000d7 RE 200000 ТОВАР 0x00000000000000d8 0x00000000006000d8 0x00000000006000d8 0x000000000000000d 0x000000000000000d RW 200000 Дел до Мапирање на сегменти: Секции на сегменти... 00 .текст 01 .податоци

Во заглавието ELF e_phoff , e_phnum и e_phentsize ни кажаа дека има 2 заглавија на програмата кои почнуваат од 0x40 и се со големина од 0x38 бајти, така што тие се:

00000040 01 00 00 00 05 00 00 00 00 00 00 00 00 00 00 00 |................| 00000050 00 00 40 00 00 00 00 00 00 00 40 00 00 00 00 00 |[заштитена е-пошта]@.....| 00000060 d7 00 00 00 00 00 00 00 d7 00 00 00 00 00 00 00 |................| 00000070 00 00 20 00 00 00 00 00 |.. ..... |

00000070 01 00 00 00 06 00 00 00 | ........| 00000080 d8 00 00 00 00 00 00 00 d8 00 60 00 00 00 00 00 |..........`.....| 00000090 d8 00 60 00 00 00 00 00 0d 00 00 00 00 00 00 00 |...`.............| 000000a0 0d 00 00 00 00 00 00 00 00 00 20 00 00 00 00 00 |.......... .....| typedef struct (Elf64_Word p_type; Elf64_Word p_flags; Elf64_Off p_offset; Elf64_Addr p_vaddr; Elf64_Addr p_paddr; Elf64_Xword p_filesz; Elf64_Xword p_f_6;

Распределба на првиот:

• 40 0: p_type = 01 00 00 00 = PT_LOAD: TODO. Мислам дека ова значи дека ќе се вчита во меморијата. Други видови можеби не мора да бидат.
• 40 4: p_flags = 05 00 00 00 = извршете и читајте дозволи, не пишувајте TODO
• 40 8: p_offset = 8x 00 TODO: што е ова? Изгледа како поместувања од почетокот на сегментите. Но, дали тоа ќе значи дека некои сегменти се испреплетени? Може да си играте со него малку: gcc -Wl,-Ttext-segment=0x400030 hello_world.c
• 50 0: p_vaddr = 00 00 40 00 00 00 00 00: започнување адреса на виртуелната меморија за да се вчита овој сегмент во
• 50 8: p_paddr = 00 00 40 00 00 00 00 00: почетна физичка адреса за вчитување во меморијата. Само прашања за системи каде што програмата може да ја постави физичката адреса. Во спротивно, како и кај системите Систем V, сè може да се случи. Се чини дека NASM само ќе го копира p_vaddrr
• 60 0: p_filesz = d7 00 00 00 00 00 00 00: TODO vs p_memsz
• 60 8: p_memsz = d7 00 00 00 00 00 00 00: TODO
• 70 0: p_align = 00 00 20 00 00 00 00 00: 0 или 1 значи дека не е потребно порамнување TODO, што значи тоа? инаку вишок со други полиња

Вториот е сличен.

Мапирање од дел до сегменти:

делот за читање ни кажува дека:

• 0 - сегмент.текст . Да, затоа е извршна и не може да се запише.
• 1 - сегмент.податоци .