Linux二进制分析-ELF格式分析及符号重定位
一、ELF文件类型
- ET_NONE:未知类型。
- ET_REL:重定位文件。通常是还未被链接到可执行程序中的一段位置独立的代码,例如linux中的.o格式的文件。
- ET_EXEC:可执行文件。
- ET_DYN:共享目标文件。ELF类型为dynamic,意味着该文件被标记为了一个动态的可连接的目标文件,也称为共享库,这类共享库会在程序运行时被装载并链接到程序的进程镜像中。
- ET_CORE:核心文件,在程序崩溃或进程传递了一个SIGSEGV信号(分段违规)时,会在核心文件中记录整个进程的镜像信息。
二、ELF文件结构
通过上图可以看到,ELF文件的开始是ELF文件头,接着是程序头表(program header table),以及节头表(section header table)。
1. 段和节的区别
段是程序执行的必要组成部分,在每一个段中,会有着代码或者数据被划分为不同的节。节头表是对这些节的位置和大小的描述,主要用于链接和调试。节头对于程序的执行来说不是必需的,没有节头表,程序仍可以正常执行,因为节头表没有对程序的内存布局进行描述,对程序内存布局的描述是程序头表的任务。节头是对程序头的补充。
如果二进制文件中缺少节头,并不意味着节不存在,只是没有办法通过节头来引用节,对于调试器或者反编译器程序来说,只是可以参考的信息变少了而已。
2. ELF文件头内容
typedef struct
{
unsigned char e_ident[EI_NIDENT]; /* Magic number and other info */
Elf32_Half e_type; /* 文件类型 */
Elf32_Half e_machine; /* CPU平台属性 */
Elf32_Word e_version; /* ELF版本号,一般为常数1 */
Elf32_Addr e_entry; /* ELF程序的入口虚拟地址,可重定位文件一般没有入口地址,为0 */
Elf32_Off e_phoff; /* 程序头表在文件中的偏移 */
Elf32_Off e_shoff; /* 节头表在文件中偏移 */
Elf32_Word e_flags; /* ELF标志位 */
Elf32_Half e_ehsize; /* ELF文件头本身的大小 */
Elf32_Half e_phentsize; /* 程序头描述符的大小 */
Elf32_Half e_phnum; /* 程序头描述符的数量,多少个段 */
Elf32_Half e_shentsize; /* 节表描述符的大小 */
Elf32_Half e_shnum; /* 节表描述符的数量,多少个节 */
Elf32_Half e_shstrndx; /* 节表字符串表所在节的下标,即存储节名字符串的字符串表所在节在节表中的下标 */
} Elf32_Ehdr;
3. 段头
typedef struct
{
Elf32_Word p_type; /* 段的类型,我们基本上只关注PT_LOAD类型的,当然还有其他类型例如DYNAMIC等 */
Elf32_Off p_offset; /* 段在文件中的偏移 */
Elf32_Addr p_vaddr; /* 段在进程虚拟地址空间的起始位置 */
Elf32_Addr p_paddr; /* 段的物理装载地址,一般情况下与p_vaddr相同 */
Elf32_Word p_filesz; /* 段在文件中所占空间的长度 */
Elf32_Word p_memsz; /* 段在进程虚拟地址空间中所占空间的长度 */
Elf32_Word p_flags; /* 段的权限属性,例如RWX */
Elf32_Word p_align; /* 段的对齐属性 */
} Elf32_Phdr;
段的类型
- PT_LOAD
即可加载类型,一个可执行文件至少要有一个PT_LOAD类型的段。这种类型的段将会被装载或者映射到内存中。
例如一个需要动态链接的ELF可执行文件通常需要包含以下两个可装载的段
- 存放程序代码的 text 段
- 存放全局变量和动态链接信息的data段
通常将 text 段(也称代码段)的权限设置为 PF_X | PF_R(可读可执行)。
通常将 data 段的权限设置为 PF_W | PF_R (可读可写)
- PT_DYNAMIC
动态段是动态链接可执行文件所特有的,包含了动态链接器所必需的一些信息。其中包含但不限于:
- 运行时需要链接的共享库列表
- 全局偏移表(GOT)的地址
- 重定位条目的相关信息
4. 节头
typedef struct
{
Elf32_Word sh_name; /* 真实的节名字符串在一个叫做`.shstrtab`字符串表中,sh_name是其下标 */
Elf32_Word sh_type; /* 节的类型 */
Elf32_Word sh_flags; /* 节的标志位 */
Elf32_Addr sh_addr; /* 节的虚拟地址,若不可被加载则为0 */
Elf32_Off sh_offset; /* 节在文件中的偏移,但对于.bss节来说就无意义,因为没内容 */
Elf32_Word sh_size; /* 节的长度 */
Elf32_Word sh_link; /* Link to another section */
Elf32_Word sh_info; /* Additional section information */
Elf32_Word sh_addralign; /* 节地址对齐 */
Elf32_Word sh_entsize; /* 若节中为固定大小的项,则为项的长度,否则为0 */
} Elf32_Shdr;
一些重要的节
一个节存于哪个段,主要看其权限
- .text 节
.text 节保存了程序代码指令的代码节,一般该节会存在于 text 段中
- .rodata 节
.rodata节只保存了只读的数据,如一行C语言代码中的字符串。
printf("hello world");例如上述的 “hello world” 则存在于 .rodata 节
其一般也存在于 text 段,因为它是只读的
- .plt 节
.plt 节包含了动态连接器调用从共享库导入的函数所必需的相关代码。存于 text 段中
- .data 节
.data 节存在于data段中,其保存了初始化的全局变量等数据。
- .bss节
.bss 节保存了未进行初始化的全局数据,是 data 段的一部分,占用空间不超过4字节。程序加载时数据被初始化为0,在程序执行期间可以进行赋值,由于其并没保存实际的数据,所以其在文件中是不存在的。
- .got.plt节
.got 节保存了全局偏移表。.got 节和 .plt 节一起提供了对导入的共享库函数的访问入口,由动态链接器在运行时进行修改。如果攻击者获得了堆或者.bss漏洞的一个指针大小的写原语,就可以对该节任意进行修改。
- .dynsym节
.dynsym 节保存了从共享库导入的动态符号信息,该节保存在 text 段中。
- .rel.*节
重定位节保存了重定位相关的信息,这些信息描述了如何在链接或者运行过程中,对ELF目标文件的某部分内容或进程镜像进行补充和修改。
若为重定位表的话,那么sh_link则表示该段所使用的相应符号表所在节的下标,sh_info则表示该重定位表所作用的节的下标。
- .symtab 节
.symtab 节保存了所有的符号信息,包括动态链接符号信息
- .strtab 节
.strtab 节保存的是符号字符串表。符号的st_name即符号名在该表中的下标
- .shstrtab 节
.shstrtab 节保存了节头字符串表。
- .ctors 和 .dtors节
.ctors(构造器)和.dtors(析构器)这两个节保存了指向构造函数和析构函数的指针。
5. 符号
符号是对某些类型的数据或代码的符号引用,例如 printf() 函数会在动态符号表 .dynsym 中存在一个指向该函数的符号条目。在大多数共享库或者动态链接可执行文件中,都存在两个符号表 .symtab,.dynsym。
其中 .dynsym 保存了引用来自外部文件符号的全局符号,例如 printf 这样的库函数,.dynsym 保存的符号是 .symtab 所保存的符号的子集, .symtab 中还保存了可执行文件的本地富豪,例如全局变量,以及代码中定义的本地函数等。
那么既然 .symtab 中已经保存了 .dynsym 中所有的符号,那为什么还需要 .dynsym 呢?
.dynsym被标记了 ALLOC 属性,而.symtab没有,该属性表示有该标记的节在运行时分配并装载进入内存,而.symtab不是在运行时必需的,因此不会被装载到内存。.dynsym中所保存的符号只有在运行时才可以被解析,因此是运行时动态链接器所需要的唯一符号,其对动态链接可执行文件的执行来说是必需的,而.symtab符号表只是用来调试和链接的,有时为了节省空间,会将.symtab符号表从生产二进制文件中删掉。
符号表结构
typedef struct {
Elf32_Word st_name; /* 该符号名在字符串 */
Elf32_Addr st_value; /* 符号对应的值,具体与符号有关 */
Elf32_Word st_size; /* 符号的大小 */
unsigned char st_info; /* 符号类型和绑定信息 */
unsigned char st_other;
Elf32_Half st_shndx; /* 符号所在的节的下标 */
} Elf32_Sym;
- st_value
- 在目标文件中,若是符号的定义且该符号不是"COMMON块"类型的(即 st_shndx 不为 SHN_COMMON),则 st_value表示该符号在节中的偏移,即符号所对应的函数或变量位于由 st_shndx 所指定的节,偏移 st_value的位置。
- 在目标文件中,若符号是"COMMON块"类型的,则 st_value 表示该符号的对齐属性。
- 在可执行文件中, st_value 表示符号的虚拟地址。
三、ELF重定位
1. 重定位表
上面已经提到过重定位表 .rel.*,那么具体的重定位表项是怎样的呢?
typedef struct {
Elf32_Addr r_offset; /* 重定位入口偏移量,即该符号所作用的节加上该偏移量即为待重定位的地址 */
Elf32_Word r_info; /* 指定必须对其进行重定位的符号表索引(高24位)以及要应用的重定位类型(低8位) */
} Elf32_Rel;
重定位类型
- R_386_PC32
这种重定位类型对应着指令的相对寻址,叫做相对寻址修正,计算方式为 S + A - P - R_386_32
这种重定位类型对应着指令的绝对寻址,叫做绝对寻址修正,计算方式为 S + A
- A : 保存在被修正位置的值,即待修正位置保存的值,绝对寻址修正时为0
- P :被修正的位置(相对于节开始的偏移量或虚拟地址),可以通过 r_offset 计算得到
- S :符号的实际地址,由 r_info 的高24位指定的符号的实际地址
按照经验来看,在绝对寻址修正中,一般待修正位置保存的值为0,即 A = 0
在相对寻址修正中,A = 4,因为调用指令操作数的长度,也就是一个地址的长度为4个字节。
因为在相对寻址时,调用指令时,也是将当前的 PC + 偏移量,而当前的 PC 为调用的指令的下一条指令。
ELF重定位机制实现的部分代码
switch (obj.shdr[i].sh_type) {
/* 重定位表 */
case SHT_REL:
/* rel为重定位表的起始位置,也为第一个重定位表项的首地址 */
rel = (Elf32_Rel *)(obj.mem + obj.shdr[i].sh_offset);
/* 遍历所有的重定位表项 */
for (j = 0; j < obj.shdr[i].sh_size / sizeof(Elf32_Rel); j++, rel++) {
/* sh_link表示该重定位表所用到的符号表的在节表中的下标 */
symtab = (Elf32_Sym *)obj.section[obj.shdr[i].sh_link];
/* r_info 的高24位表示重定位符号所在符号表的下标索引 */
symbol = &symtab[ELF32_R_SYM(rel->r_info)];
/* 重定位表中,sh_info表示该重定位表所作用的节的下标,
* TargetSection 表示待修正的节 */
TargetSection = &obj.shdr[obj.shdr[i].sh_info];
TargetIndex = obj.shdr[i].sh_info;
/* 待修正位置 = 节的首地址 + 偏移量 */
TargetAddr = TargetSection->sh_addr + rel->r_offset;
/* 这也是待修正的位置,*RelocPtr则为其保存的值 */
RelocPtr = (Elf32_Addr *)(obj.section[TargetIndex] + rel->r_offset);
/* 此时 st_value 表示符号所代表的变量在节中的偏移 */
RelVal = symbol->st_value;
/* st_shndx 表示符号所代表的变量所在的节的下标,sh_addr表示该节的首地址 */
RelVal += obj.section[symbol->st_shndx].sh_addr;
/* r_info 的低8位为重定位类型 */
switch (Elf32_R_TYPE(rel->r_info)) {
/* R_386_PC32 : S + A - P */
case R_386_PC32:
*RelocPtr += RelVal;
*RelocPtr -= TargetAddr;
break;
/* R_386_32 : S + A */
case R_386_32:
*RelocPtr += RelVal;
break;
}
}
}
参考来源:
- 《Linux二进制分析》 - Ryan O'Neill
- 《程序员的自我修养》
