ELF文件格式分析
可重定位文件
十六进制形式显示内容
显示各个段、符号表相关信息
查看各个段信息
elf文件头信息
段表
符号表信息
查看堆栈
具体分析
1.ELF文件头信息(小字节优先,均十六进制)
第一行:
7f45 4c46 (DEL E L F) 0101 (32位对象 小端法) 0100(文件头版本) 0000 0000 0000 0000
第二行:
0001(重定位文件) 0003(intel80386处理器) 0000 0001(当前版本)
0000 0000(没有入口点)
0000 0000(程序表头偏移地址,没有程序头表)
第三行:
0000 0214(段表偏移地址)
0000 0000 (未知处理器特定标识符)
0034(ELF文件头大小) 由此可知section headers table中每个header的大小是52字节;
0000(程序表头大小,重定位文件没有程序头表)
0000(程序入口个数,重定位文件没有程序头表)
0028(段表头大小为64字节)
第四行:
000d(段表头入口个数有13个)
000a(段名串表索引)由此可知.shstrtab段(符号表)的信息在段表的索引号是10;
由elf头知,段表从0x0000 0214开始,每个节区大小0x0028,共有0x000d个节区,第0x000a为段名串表的索引号;
第一节区:为空
第二节区:
第三节区:
第四节区:
五:
六:
七:
八:
九:
十:
十一:(索引号为a)
十二:
十三:
分析
第二节区:
001f 0000 :此节区段名在段名串表中的偏移是0000 001f
0034 0000 :段的起始位置是0000 0034
002e 0000 :段大小是0000 002e
第十一节区:
找到起始位置000001b4,大小0000005f的段名串表
由2e6c 6574可知,偏移为0000001f的第二节区名,对应ASCII码为.text,可知第二节区为.text段的信息:段起始位置0x0000 0034;段的大小0x0000 002e
.text段
对应的ASCII码翻译出来对应着MAIN函数的机器代码
(以此类推,不再赘述!)
对应代码:
#include <stdio.h>
main()
{
printf("elf");
}