c - 函数“main”的代码在目标文件中的什么位置开始?
问题描述
我有一个 C 程序的目标文件,它打印 hello world,只是为了这个问题。我试图了解使用 readelf 实用程序或 gdb 或 hexedit(我无法确定哪个工具是正确的)在文件中函数“main”的代码在哪里开始。
我知道使用 readelf 会出现符号 _start & main 以及它在虚拟内存中映射的地址。此外,我还知道 .text 部分的大小和指定入口点的 coruse 的大小,即与 text 部分相同的地址。
问题是 - 函数“main”的代码在文件中的什么位置开始?我认为这是文本部分的入口点和偏移量,但我如何理解它的部分数据,bss,rodata 应该在 main 之前运行,它出现在 readelf 中的部分文本之后。
此外,我认为我们应该对符号表中所有行的大小求和,但我完全不确定它是否正确。
跟进这一问题的另一个问题是,如果我想用 NOP 指令替换 main 函数,或者在我的目标文件中植入一条 ret 指令。我怎么知道我可以使用 hexedit 的偏移量。
解决方案
所以,让我们一步一步来。
从这个 C 文件开始:
#include <stdio.h>
void printit()
{
puts("Hello world!");
}
int main(void)
{
printit();
return 0;
}
由于注释看起来像是在 x86 上,因此将其编译为 32 位非 PIE 可执行文件,如下所示:
$ gcc -m32 -no-pie -o test test.c
需要该-m32
选项,因为我在 x86-64 机器上工作。如您所知,您可以使用 readelf、objdump 或 nm 获取 main 的虚拟内存地址,例如:
$ nm test | grep -w main
0804918d T main
显然,804918d
不能是文件中只有 15 kB 大的偏移量。您需要找到虚拟内存地址和文件偏移量之间的映射。在典型的 ELF 文件中,映射包含两次。一次是链接器(因为目标文件也是 ELF 文件)和调试器的详细形式,第二次是内核用于加载程序的压缩形式。详细的形式是section的列表,由section header组成,你可以这样查看(输出被缩短了一点,使答案更具可读性):
$ readelf --section-headers test
There are 29 section headers, starting at offset 0x3748:
Section Headers:
[Nr] Name Type Addr Off Size ES Flg Lk Inf Al
[...]
[11] .init PROGBITS 08049000 001000 000020 00 AX 0 0 4
[12] .plt PROGBITS 08049020 001020 000030 04 AX 0 0 16
[13] .text PROGBITS 08049050 001050 0001c1 00 AX 0 0 16
[14] .fini PROGBITS 08049214 001214 000014 00 AX 0 0 4
[15] .rodata PROGBITS 0804a000 002000 000015 00 A 0 0 4
[...]
Key to Flags:
W (write), A (alloc), X (execute), M (merge), S (strings), I (info),
L (link order), O (extra OS processing required), G (group), T (TLS),
C (compressed), x (unknown), o (OS specific), E (exclude),
p (processor specific)
在这里,您会发现该.text
部分从(虚拟)地址开始08049050
并且具有1c1
字节大小,因此它以地址结束08049211
。main 的地址,804918d
在这个范围内,所以你知道main
它是 text 部分的成员。如果你从 main 的地址中减去 text 部分的基数,你会发现 main 是13d
text 部分的字节。节列表还包含文本节数据开始的文件偏移量。它是1050
,所以 main 的第一个字节在 offset 处0x1050 + 0x13d == 0x118d
。
您可以使用程序头进行相同的计算:
$ readelf --program-headers test
[...]
Program Headers:
Type Offset VirtAddr PhysAddr FileSiz MemSiz Flg Align
PHDR 0x000034 0x08048034 0x08048034 0x00160 0x00160 R 0x4
INTERP 0x000194 0x08048194 0x08048194 0x00013 0x00013 R 0x1
[Requesting program interpreter: /lib/ld-linux.so.2]
LOAD 0x000000 0x08048000 0x08048000 0x002e8 0x002e8 R 0x1000
LOAD 0x001000 0x08049000 0x08049000 0x00228 0x00228 R E 0x1000
LOAD 0x002000 0x0804a000 0x0804a000 0x0019c 0x0019c R 0x1000
LOAD 0x002f0c 0x0804bf0c 0x0804bf0c 0x00110 0x00114 RW 0x1000
[...]
第二个加载行告诉您08049000
(VirtAddr)到08049228
(VirtAddr + MemSiz)的区域是可读和可执行的,并且从1000
文件中的偏移量加载。所以你可以再次计算出 main 的地址是18d
这个加载区域的字节,所以它必须驻留在0x118d
可执行文件内的偏移量处。让我们测试一下:
$ ./test
Hello world!
$ echo -ne '\xc3' | dd of=test conv=notrunc bs=1 count=1 seek=$((0x118d))
1+0 records in
1+0 records out
1 byte copied, 0.0116672 s, 0.1 kB/s
$ ./test
$
用 x86 上的 return (near) 操作码覆盖 main 的第一个字节0xc3
,导致程序不再输出任何内容。
推荐阅读
- spring-boot - SpringBoot+JDBCTemplate+Parent Key not found 错误
- android - 我们可以限制特定更新的平板电脑支持吗
- kubernetes-helm - Helm ls:错误:禁止配置映射:用户“system:serviceaccount:kube-system:tiller”
- mysql - 是否有一个复杂的选择查询来解决这个问题
- c# - 当不等待异步方法并立即评估 IsCompleted 时,涵盖了哪些场景?
- python-3.x - 如何在一个单词中找到翻倍?
- json - 正则表达式匹配 JSON 键:值对,值中带有逗号
- authentication - 当我尝试获取访问令牌时出现“为 'redirect_uri' 提供的值无效”错误
- python - 有没有办法从对象中删除 flexmock?
- python - 带有正则表达式的 Python beautifulsoup