个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
29
4
我有一个 elf 文件,我想知道是否有可能获得一些关于在可执行文件中使用变量(字符串)的信息。
如果我打印出 .elf 的字符串,我发现一个有趣的字符串,我想知道它在哪个函数中使用,这是否可能?
谢谢!
最佳答案
让我们考虑以下示例:
测试.c
#include <stdlib.h>
#include <stdio.h>
int
main(int argc, char *argv[])
{
char *str_a = "a";
char *str_abc = "abc";
printf("%s\n", str_a);
printf("%s\n", str_abc);
exit(EXIT_SUCCESS);
}
让我们编译它:gcc -Wall -pedantic-errors -o ~/test ~/test.c。
这将生成名为 test 的文件。
让我们检查一下 .rodata 部分:readelf -x .rodata ./test。
输出如下:
Hex dump of section '.rodata':
0x00400610 01000200 61006162 6300 ....a.abc.
显示起始地址 0x00400610。 四个 点显示在第一个字符串常量之前,因此字符串a 的地址将为0x00400614。跳过a和空字节(定界符)会跳过2字节,abc的地址将是0x00400616。所以,此时,这两个地址是已知的。
接下来,让我们执行objdump -M intel -d ./test。
这是 .text 部分中的 main list :
0000000000400546 <main>:
400546: 55 push rbp
400547: 48 89 e5 mov rbp,rsp
40054a: 48 83 ec 20 sub rsp,0x20
40054e: 89 7d ec mov DWORD PTR [rbp-0x14],edi
400551: 48 89 75 e0 mov QWORD PTR [rbp-0x20],rsi
400555: 48 c7 45 f8 14 06 40 mov QWORD PTR [rbp-0x8],<b>0x400614</b>
40055c: 00
40055d: 48 c7 45 f0 16 06 40 mov QWORD PTR [rbp-0x10],<b>0x400616</b>
400564: 00
400565: 48 8b 45 f8 mov rax,QWORD PTR [rbp-0x8]
400569: 48 89 c7 mov rdi,rax
40056c: e8 9f fe ff ff call 400410 <puts@plt>
400571: 48 8b 45 f0 mov rax,QWORD PTR [rbp-0x10]
400575: 48 89 c7 mov rdi,rax
400578: e8 93 fe ff ff call 400410 <puts@plt>
40057d: bf 00 00 00 00 mov edi,0x0
400582: e8 b9 fe ff ff call 400440 <exit@plt>
400587: 66 0f 1f 84 00 00 00 nop WORD PTR [rax+rax*1+0x0]
40058e: 00 00
所以,从 list 中可以很清楚地看出这两个字符串是如何显示在屏幕上的。该 list 提到了上面找到的两个地址 - 它们已突出显示。
所以,总而言之,您可以检查 .rodata 部分,找到特定字符串的位置地址,然后只需 grep 查找在 .text 部分中找到的地址.
关于debugging - ELF 文件 - 获取字符串使用位置的函数,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/46572974/
29
4
0
我们正在为大学编写一个模拟器项目,我们必须使用 ELF 文件作为输入,但我们不太确定 ELF 文件是什么样的。它应该包含我们可以执行的某些操作(所有这些都应该用二进制表示),但它是否包含其他内容?还是
我目前正在研究 ELF 格式。我想确认一下我认为正确的事情。 ELF是一种格式,它代表可执行和可链接格式。在linux中,一切都是ELF格式。 当使用gcc编译带有-c和-fPIC文件的代码时,它会将
基本上,我希望能够在 elf 二进制文件的 debug dwarf 部分中更改源文件的路径。 最佳答案 Basically I want to be able to change the path t
我想编写一个实用程序来从 ELF 二进制文件中删除程序头。例如,当我运行 readelf -l/my/elf 时,我会得到所有程序头的列表:PHDR INTERP ... GNU_STACK GNU_
考虑使用 GCC 编译的 C 标准 hello world 程序,没有任何开关。如 readelf -s说,它包含 64 个符号。它还说.symtab部分是 1024 字节长。然而,每个符号表条目有
我正在尝试为 ARM 平台编写 elf 可执行加载程序。我在这里有一些查询 1) 如何生成可重定位或位置无关的 ELF 可执行文件(编译器和链接器选项是什么) 2) 如何加载上面生成的 ELF 可执行
假设我有一个 lib xxx.so。所以我得到了所有的函数名和参数 以下命令: readelf -Ws xxx.so |c++filt 它将输出以下内容: 711: 00270209 40
我正在创建一个 ELF 可执行文件,我需要知道操作系统需要哪些部分才能加载和执行它。 Details: OS: Ubuntu 10.04 (64-bit)Kernel ve
SHT_NULL的目的是什么? ELF 中的部分? 它是由操作系统还是加载程序引用的? 这个部分的大小是多少? 它与 NULL 指针有什么关系吗? 此外,为什么此部分在部分段映射中没有条目? 来自 E
我正在学习 ELF 并且有一段时间的疑问。我试图寻找答案,但徒劳无功。如果有人能给我答案或引导我到地方寻找答案,我会很感激。 我读到的几乎所有关于 ELF 的文档都说 .text 部分包含可执行的二进
问题场景 : 简单来说,我们是否有一个 Trace32 命令来从加载到目标的 ELF 文件中读取符号(及其内容)?我们有这种特殊情况,其中 ELF 文件的应用程序特定调试符号作为 ELF 中“.nol
我试图从 Linux 程序的 elf 文件中提取特定的字符串变量(即符号),甚至从它来自的 .o 中提取。 它在 .rodata 部分,显然我知道符号名称。 是否有一系列 objdump 样式的命令和
在 Linux 上,我试图将静态链接的 ELF 文件剥离为基本要素。当我运行时: strip --strip-unneeded foo 或者 strip --strip-all foo 生成的文件仍然
我有一个 STM32,我将 ELF 文件加载到 RAM 中(使用 OpenOCD 和 JTAG)。到目前为止,我还没有真正关注我加载的 ELF 文件的大小。 通常,当我编译一个对我的板来说太大的 EL
我有一个 STM32,我将 ELF 文件加载到 RAM 中(使用 OpenOCD 和 JTAG)。到目前为止,我还没有真正关注我加载的 ELF 文件的大小。 通常,当我编译一个对我的板来说太大的 EL
我需要学习手动创建 ELF 可执行文件。到目前为止,我一直在使用在线指南,例如: Manually Creating an ELF Executable ELF reference 几次失败后,我将我
我在 readelf 实用程序的帮助下打开了我的对象 Sprite 文件: readelf -a ./my_object.o |较少的 结果我得到了很多有趣的信息。 我在部分表中看到了一个带有“GRO
ELF 文件包含两个结构来处理重定位: Elf64_Rel: typedef struct { Elf64_Addr r_offset; Uint64_t r_info; }
我一直在阅读 ELF 规范,但无法弄清楚程序入口点和 _start 地址从何而来。 看起来他们应该在一个非常一致的地方,但我做了一些琐碎的程序,_start 总是在不同的地方。 谁能澄清一下? 最佳答
这是我的测试。我有一个由源 main.c 和 misc.c 组成的 main 应用程序和一个由 lib.cname); m++; } return 0; } misc.
我是一名优秀的程序员,十分优秀!