starrycan的pwn随笔——ELF文件和延迟绑定机制
一.ELF文件结构0x01什么是ELF文件
1.linux情况中,二进制可持性文件的类型是ELF(Executable and LinkableFormat)文件。类似windows下的exe
2.elf文件的格式比较简单,我们需要了解的就是elf文件中的各个节、段等概念
3.步伐elf的根本信息存在于elf的头部信息中,这些信息包括指令的运行架构入口等等内容,我们可以通过 readelf -h来查看头部信息
https://img2024.cnblogs.com/blog/3457363/202411/3457363-20241116214101557-1381127114.png
0x02ELF文件组成
1.elf文件中包罗许多个节(section)各个节中存放差别的数据,:这些节的信息存放在节头表中,readelf-S 查看,这些节主要包括:
https://img2024.cnblogs.com/blog/3457363/202411/3457363-20241116214153798-1891114907.png
我们可以在ida中对节点进行查看
https://img2024.cnblogs.com/blog/3457363/202411/3457363-20241116214213221-223369494.png
0x04elf文件的存储
1.elf文件寻常是放在磁盘上 运行时放至在内存中
2.elf文件进入内存时结构 映射
elf文件在加载进入内存时:
elf文件的节(section)会被映射进内存中的段(segment),而这一映射过程遵循的机制是根据各个节的权限来进行映射的,
换句话说,可读可写的节被映射入一个段,只读的节被映射入一个段。
https://img2024.cnblogs.com/blog/3457363/202411/3457363-20241116214302451-450179338.png
二.延迟绑定机制
0x01动态链接库
1.我们再写步伐的过程中会用到系统函数,比如read write open 等等函数
2.这些函数是先辈开辟职员已经在系统中定义好的,虽然我们在使用中仅仅只是输入了read 或者 open这样一个字符,但是其实际上是对系统已经定义好的函数进行调用,存放这些函数的库文件就是动态链接库 比如我们写c语言时的 main math 等等库
3.我们对于pwn题接触到的动态链接库就是libc.so文件
0x02静态编译与动态编译
1.什么是编译?
编译按照我的理解就是将步伐转换成可实行文件的过程,大家常用的编译器就是这个意思,大家在写步伐实际会出现一个框框就是我们所说的可实行文件,系统也有本身的大型编译器,只是我们以前没有感知罢了
2.什么是静态编译和动态编译
类似于c语言中运行步伐需要写出头文件和main函数一样,系统在进行编译时,也需要调用系统中封装好的函数,根据pwn1条记中的内容,我们可以知道系统的主函数和调用有关的内容都分配在开辟好的堆栈空间中.
下面我给大家举一个我本身学到例子,来理解什么是静态编译和动态编译
小明要开一个餐馆(program)餐馆的菜单上有几百种菜肴(函数),小明的餐馆天天都会来许多顾客,每个顾客点的菜都可能不一样。我们知道,每道菜所需要的食材(系统函数)都不一样,这些食材都存放于堆栈(动态链接库中。
那么现在问题来了,小明怎样包管每个顾客点的菜都能被满意呢?
A.第一种方式:小明把堆栈中所有的食材都搬进厨房(静态编译)
这时,小明不需要挪地方(静态)只需要在厨房中就可以工作,但是这会带来冗余,可能厨房中的食材许多都用不上。
B.第二种方式:小明每次遇到新的所需要的食材,才去堆栈取(动态编译)
这时,小明可能挪动的比较频仍(动态),但是可以包管厨房里面没那么多可能用不到的东西。
3.实践上的静态和动态编译
A.静态编译的思绪就是将所有可能运行到的库函数一同编译到可实行文件中
这一方式的优点就在于在步伐运行中不需要依赖动态链接库。适用的场合就是比如你本地编译的步伐需要的动态链接库版本比较特殊,如果在别的呆板上运行可能对方动态链接库版本和你不一样会出bug,这时候用静态编译。
缺点就是编译过后步伐体积很大,编译速度也很慢,
B.动态编译的思绪就是逢山开路,遇水架桥,直到遇到需要调用库函数的时候再去动态链接库中寻找。
以是其优点一方面是缩小了实行文件本身的体积,另一方面是加快了编译速度,
缺点是哪怕是很简单的步伐,只用到了链接库中的一两条下令,也需要附带一个相对庞大的链接库;二是如果其他计算机上没有安装相应的运行库,则用动态编译的可实行文件就不能运动
0x03延迟绑定机制
1.什么是延迟绑定机制
在学习到这里时我产生了一个疑问,在实际的操作系统底层中接纳的是静态还是动态编译,以下是chatgpt的回答
https://img2024.cnblogs.com/blog/3457363/202411/3457363-20241116214322845-1485637125.png
在实际的动态编译过程中,由于每一次编译都要调用系统函数,也就是每一次都要重新寻址,这样就太贫苦了也大大的耽搁了计算机的编译效率,回到刚才的例子中
我们可以举出这样一个例子:我们再回去看看小明:小明说我选择第二种方式(动态编译)
但是小明餐馆开业后发现搞不赢,每次都要去堆栈找,太贫苦了。于是乎,小明想到:每次我遇到新的食材,我就去堆栈找,但是每次找完,我就在小本子(got表)上记录这个食材的地址,这样下一次找就快许多了!
实际上在计算机内部我们接纳的也是这样一种方式我们称之为got表
2.什么是got表
这就是linux的延迟绑定机制,而存放这个地址的小本子就是got表。got表全称是Global Offset Table,也就是全局偏移量表。
在步伐运行时,got表初始并不生存库函数的地址,只有在第一次调用过后步伐才将这一地址生存在got表中。
3.GOT与PLT表
GOT(Global Offset Table,?全局偏移表)
GOT 是数据段用于地址无关代码的 Linux ELF 文件中确定全局变量和外部函数地址的表。ELF 中有 .got 和 .plt.got 两个 GOT 表,.got 表用于全局变量的引用地址,.got.plt 用于生存函数引用的地址,
PLT(Procedure Linkage Table,步伐链接表),PLT 是 Linux ELF 文件中用于延迟绑定的表
4.两个表之间的关系以及调用流程
1.got和plt的关系就像兄弟一样,其接洽非常紧密 作用大致相同 在正式的了解其的关系之前,我从定义中看到got 是全局变量 plt是函数地址 依据c语言的逻辑 写代码都是先写主函数也就是大家写的 main()猜测应该是先调用plt表 在2中我讲详细说明真正的调用流程
2.真正的调用流程如下图
https://img2024.cnblogs.com/blog/3457363/202411/3457363-20241116214337922-2003682821.png
在开始一次调用之前 PLT表会call 以下动态链接的函数
A.在第一次调用外部函数时,!plt表首先会跳到对应的got表项中。由于并没有被调用过,此时的got表存储的不是目标函数地址,此时的got表中存储的地址是plt表中的一段指令,其作用就是准备一些参数,进办法态解析。
B.跳转回plt表
C.跳转回plt表后,plt表又会跳转回plt的表头,表头内容就是调用动态解析函数,将目标函数地址存放入got表中。
在之后第二次以上的调用后步伐已经完成了延迟绑定,got表中已经存储了目标函数地址,直接跳转即可
https://img2024.cnblogs.com/blog/3457363/202411/3457363-20241116214346540-962953548.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]