个人中心
文章发布
退出
作者热门文章
- iOS/Objective-C 元类和类别
- objective-c - -1001 错误,当 NSURLSession 通过 httpproxy 和/etc/hosts
- java - 使用网络类获取 url 地址
- ios - 推送通知中不播放声音
24
4
我有一个程序的共享对象,我需要将指令从“jne/je”更改为 jmp。我试图环顾四周,例如如何使用 LD_PRELOAD 或无济于事的东西来做到这一点。
最佳答案
这在技术上是否可行取决于以下几点:
jne/je 指令有不同的长度:
0x74/0x75)加上带符号的 8 位偏移量(即总共两个字节)0xf0 加上 0x84/0x85,)加上带符号的 32 位偏移量(即总共六个字节)对于jmp指令也是一样(64位模式下,二到九字节之间一共五种不同的编码,取决于jmp是相对/绝对) .
这意味着如果您的 jmp 的目标“足够接近”,您只能将 jne/je 替换为 jmp "选择大小兼容的操作码。对于相对于 32 位的 jne/je 您通常可以替换,但是对于接近(8 位)的通常不可能,因为不会有“自由指令”空间”在 +/- 128 字节内。
如果你有一个“兼容的机会”wrt。根据指令的大小,您需要完成您自己已经提到的两个任务:
如何做到这一点取决于您的操作系统;在类 UN*X 上,您可以尝试使用 LD_PRELOAD 加载您自己的自定义库 ,它只执行 dlopen() 库您希望修改,然后 dlsym() 找到例程,然后替换代码,但永远不要调用 dlclose() 以确保修改后的副本保留(即未卸载)而不是原始的,稍后(通过动态链接)再次访问该库。
系统管理员通常有办法减轻(甚至禁用)LD_PRELOAD(对于以 root 身份运行的 setuid 可执行文件,它总是被忽略),因为它对系统完整性/安全性有明显的影响.因此,是否可以使用该技术取决于您的具体设置。
如果满足上述所有条件,则类似:
int patch_je_jne(void *instr, void *tgt_address)
{
char *je_jne = (char*)instr;
char *iaddr = je_jne;
switch (je_jne[0]) {
case JE_8BIT_OP:
case JNE_8BIT_OP:
iaddr += 2;
tgt_address -= iaddr; /* adjust pc-relative */
if ((char*)tgt_address > (char*)0xFF)
return CANNOT_PATCH_LARGE_OFFSETS;
je_jne[1] = (char)tgt_address;
je_jne[0] = JMP_OP;
return PATCH_SUCCESS;
case 0xF0: /* marker for a 32bit-relative JE/JNE */
if (je_jne[1] != JE_32BIT_OP && je_jne[1] != JNE_32BIT_OP))
break;
iaddr += 6;
tgt_address -= iaddr; /* adjust pc-relative */
*((char**)(je_jne + 2)) = tgt_address;
je_jne[1] = JMP_32BIT_OP;
return PATCH_SUCCESS;
}
return CANNOT_PATCH_THIS_INSTR;
}
可能会。如前所述,除了检查待修补地址处的指令操作码是否兼容之外,此代码中没有任何验证/验证。
如前所述,主要工作是安全地确定您需要在何处/如何应用 Hook 。
正如所建议的那样,关于修补二进制库而不是运行(加载)库的评论:关键问题是:jmp 的目标是什么,您知道吗提前 ?
在二进制补丁中,您需要确定修改二进制文件的时间,这与 ASLR(地址空间布局随机化)等操作系统行为一起很难甚至不可能 - 您需要一个预先知道的,不变的目标地址你的可执行文件,但通常你只有一个 relative jmp 可用,即事先不知道由于 ASLR 而最终会出现哪个代码位置。这完全取决于您希望 jmp 转到的位置。
关于c - ELF 二进制文件的运行时修补,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7951454/
24
4
0
我们正在为大学编写一个模拟器项目,我们必须使用 ELF 文件作为输入,但我们不太确定 ELF 文件是什么样的。它应该包含我们可以执行的某些操作(所有这些都应该用二进制表示),但它是否包含其他内容?还是
我目前正在研究 ELF 格式。我想确认一下我认为正确的事情。 ELF是一种格式,它代表可执行和可链接格式。在linux中,一切都是ELF格式。 当使用gcc编译带有-c和-fPIC文件的代码时,它会将
基本上,我希望能够在 elf 二进制文件的 debug dwarf 部分中更改源文件的路径。 最佳答案 Basically I want to be able to change the path t
我想编写一个实用程序来从 ELF 二进制文件中删除程序头。例如,当我运行 readelf -l/my/elf 时,我会得到所有程序头的列表:PHDR INTERP ... GNU_STACK GNU_
考虑使用 GCC 编译的 C 标准 hello world 程序,没有任何开关。如 readelf -s说,它包含 64 个符号。它还说.symtab部分是 1024 字节长。然而,每个符号表条目有
我正在尝试为 ARM 平台编写 elf 可执行加载程序。我在这里有一些查询 1) 如何生成可重定位或位置无关的 ELF 可执行文件(编译器和链接器选项是什么) 2) 如何加载上面生成的 ELF 可执行
假设我有一个 lib xxx.so。所以我得到了所有的函数名和参数 以下命令: readelf -Ws xxx.so |c++filt 它将输出以下内容: 711: 00270209 40
我正在创建一个 ELF 可执行文件,我需要知道操作系统需要哪些部分才能加载和执行它。 Details: OS: Ubuntu 10.04 (64-bit)Kernel ve
SHT_NULL的目的是什么? ELF 中的部分? 它是由操作系统还是加载程序引用的? 这个部分的大小是多少? 它与 NULL 指针有什么关系吗? 此外,为什么此部分在部分段映射中没有条目? 来自 E
我正在学习 ELF 并且有一段时间的疑问。我试图寻找答案,但徒劳无功。如果有人能给我答案或引导我到地方寻找答案,我会很感激。 我读到的几乎所有关于 ELF 的文档都说 .text 部分包含可执行的二进
问题场景 : 简单来说,我们是否有一个 Trace32 命令来从加载到目标的 ELF 文件中读取符号(及其内容)?我们有这种特殊情况,其中 ELF 文件的应用程序特定调试符号作为 ELF 中“.nol
我试图从 Linux 程序的 elf 文件中提取特定的字符串变量(即符号),甚至从它来自的 .o 中提取。 它在 .rodata 部分,显然我知道符号名称。 是否有一系列 objdump 样式的命令和
在 Linux 上,我试图将静态链接的 ELF 文件剥离为基本要素。当我运行时: strip --strip-unneeded foo 或者 strip --strip-all foo 生成的文件仍然
我有一个 STM32,我将 ELF 文件加载到 RAM 中(使用 OpenOCD 和 JTAG)。到目前为止,我还没有真正关注我加载的 ELF 文件的大小。 通常,当我编译一个对我的板来说太大的 EL
我有一个 STM32,我将 ELF 文件加载到 RAM 中(使用 OpenOCD 和 JTAG)。到目前为止,我还没有真正关注我加载的 ELF 文件的大小。 通常,当我编译一个对我的板来说太大的 EL
我需要学习手动创建 ELF 可执行文件。到目前为止,我一直在使用在线指南,例如: Manually Creating an ELF Executable ELF reference 几次失败后,我将我
我在 readelf 实用程序的帮助下打开了我的对象 Sprite 文件: readelf -a ./my_object.o |较少的 结果我得到了很多有趣的信息。 我在部分表中看到了一个带有“GRO
ELF 文件包含两个结构来处理重定位: Elf64_Rel: typedef struct { Elf64_Addr r_offset; Uint64_t r_info; }
我一直在阅读 ELF 规范,但无法弄清楚程序入口点和 _start 地址从何而来。 看起来他们应该在一个非常一致的地方,但我做了一些琐碎的程序,_start 总是在不同的地方。 谁能澄清一下? 最佳答
这是我的测试。我有一个由源 main.c 和 misc.c 组成的 main 应用程序和一个由 lib.cname); m++; } return 0; } misc.
我是一名优秀的程序员,十分优秀!