本文共 33530 字,大约阅读时间需要 111 分钟。
★★ 前言
本篇文章以linux为平台为例,演示ELF动态解析符号的过程。
不正之处,还请斧正。通常,ELF解析符号方式称为lazy MODE装载的。这种装载技术是ELF平台上
默认的方式。在不同的体系平台在实现这种机制也是不同的。但是i386和SPARC 在大部分上是相同的。动态连接器(rtld)提供符号的动态连接,装载共享objects和解析标号的引用。
通常是ld.so,它可以是一个共享object也可以是个可执行的文件。★★ 符号表(symbol table)
每个object要想使它对其他的ELF文件可用,就要用到符号表(symbol table)中
symbol entry.事实上,一个symbol entry 是个symbol结构,它描述了这个 symbol的名字和该symbol的value.symbol name被编码作为dynamic string table的索引(index). The value of a symbol是在ELF OBJECT文件内该 symbol的地址。该地址通常需要被重新定位(加上该object装载到内存的基地址 (base load address)). 从而构成该symbol在内存中的绝对地址。 一个符号表入口有如下的格式: typedef struct { Elf32_Word st_name; /* Symbol name (string tbl index) */ Elf32_Addr st_value; /* Symbol value */ Elf32_Word st_size; /* Symbol size */ unsigned char st_info; /* Symbol type and binding */ unsigned char st_other; /* No defined meaning, 0 */ Elf32_Section st_shndx; /* Section index */ } Elf32_Sym;可执行文件他们知道运行时刻他们的地址,所以他们内部的引用符号在编译时候就已
经被重定位了。★★ GOT(global offset table)
GOT是一个数组,存在ELF image的数据段中,他们是一些指向objects的指针(通常
是数据objects).动态连接器将重新修改那些编译时还没有确定下来地址的符号的 GOT入口。所以说GOT在i386动态连接中扮演着重要的角色。★★ PLT(procedure linkage table)
PLT是一个这样的结构,它的entries包含了一些代码片段用来传输控制到外部的过程。
在i386体系下,PLT和他的代码片段entries有如下格式:PLT0:
push GOT[1] ; word of identifying information jmp GOT[2] ; pointer to rtld function nop ... PLTn: jmp GOT[x + n] ; GOT offset of symbol address push n ; relocation offset of symbol jmp PLT0 ; call the rtld PLTn + 1 jmp GOT[x +n +1]; GOT offset of symbol address push n +1 ; relocation offset of symbol jmp PLT0 ; call the rtld当传输控制到一个外部的函数时,它传输执行到PLT 中跟该symbol相关的那个entry
(是在编译时候连接器安装的)。在PLT entry中第一条指令将jump到一个存储在GOT 中的一个指针地址;假如符号还没有被解析,该GOT中存放着的是该PLT entry中的 下一条指令地址。该指令push一个在重定位表中的偏移量到stack,然后下一条指令 传输控制到PLT[0]入口。该PLT[0]包含了调用RTLD解析符号的函数代码。该 解析符号函数地址由程序装载器已经插入到GOT[2]中了。动态连接器将展开stack并且获取需要解析符号在重定位表地址信息。重定位入口、
符号表和字符串表共同决定着PLT entry引用的那个符号和在进程内存中符号应该 存放的地址。假如可能的话,该符号将被解析出来,它的地址将被存放在被该 PLT entry使用的GOT entry中。下一次该符号被请求时,与之对应的GOT已经包 含了该符号的地址了。所以,所有后来的调用将直接通过GOT传输控制。动态连接器 只解析第一次被二进制文件所引用的符号;这种引用方式就是我们上面所说的 lazy MODE。★★ 哈希表和链(hash table and chain)
除了符号表(symbol table),GOT(global offset table),PLT(procedure
linkage table),字符串表(string table),ELF objects还可以包含一个 hash table和chain(用来使动态连接器解析符号更加容易)。hash table和chain 通常被用来迅速判定在符号表中哪个entry可能符合所请求的符号名。hash table(总 是伴随着chain的)被作为整型数组存放。在hash表中,一半位置是留给那些buckets的, 另一半是留给在chain中的元素(element)的. hash table直接反映了symbol table 的元素数目和他们的次序。动态连接器结构提供了所有动态连接的执行是以透明方式访问动态连接器.
然而,明确访问也是可用的。动态连接(装载共享objects和解析符号), 可以通过直接访问RTLD的那些函数来完成:dlopen() , dlsym() and dlclose() .这些函数被包含在动态连接器本身中。为了访问那些函数, 连接时需要把动态连接函数库(libdl)连接进去。该库包含了一些stub函数 允许编译时候连接器解析那些函数的引用;然而那些stub函数只简单的返回0。 因为事实上函数驻留在动态连接器中,假如从静态连接的ELF文件中调用 那些函数,共享object的装载将会失败。对于执行动态连接器所必须的是:hash table,hash table元素的数目,
chain,dynamic string table和dynamic symbol talbe。满足了 这些条件,下面算法适用任何symbol的地址计算:1. hn = elf_hash(sym_name) % nbuckets;
2. for (ndx = hash[ hn ]; ndx; ndx = chain[ ndx ]) { 3. symbol = sym_tab + ndx; 4. if (strcmp(sym_name, str_tab + symbol->st_name) == 0) 5. return (load_addr + symbol->st_value); }hash号是elf_hash()的返回值,在ELF规范的第4部分有定义,以hash table中元素
个数取模。该号被用来做hash table的下表索引,求得hash值,找出与之匹配的符号 名的chain的索引(line 3)。使用该索引,符号从符号表中获得(line 3).比较获得 的符号名和请求的符号名是否相同(line 5).使用这个算法,就可以简单解析任何符号了。★★ 演示
#include <stdio.h>
int main(int argc, char *argv[]) { printf("Hello, world/n"); return 0; }Relocation section '.rel.plt' at offset 0x278 contains 4 entries: Offset Info Type Symbol's Value Symbol's Name 0804947c 00107 R_386_JUMP_SLOT 080482d8 __register_frame_info 08049480 00207 R_386_JUMP_SLOT 080482e8 __deregister_frame_info 08049484 00307 R_386_JUMP_SLOT 080482f8 __libc_start_main 08049488 00407 R_386_JUMP_SLOT 08048308 printf 只有R_386_JUMP_SLOT的才会出现在GOT中
Symbol table '.dynsym' contains 7 entries:
Num: Value Size Type Bind Ot Ndx Name 0: 0 0 NOTYPE LOCAL 0 UND 1: 80482d8 116 FUNC WEAK 0 UND (2) 2: 80482e8 162 FUNC WEAK 0 UND ( 2) 3: 80482f8 261 FUNC GLOBAL 0 UND (2) 4: 8048308 41 FUNC GLOBAL 0 UND (2) 5: 804843c 4 OBJECT GLOBAL 0 14 _IO_stdin_used 6: 0 0 NOTYPE WEAK 0 UND __gmon_start__[alert7@redhat]$ gcc -o test test.c [alert7@redhat]$ ./test Hello, world [alert7@redhat]$ objdump -x test ... Dynamic Section: NEEDED libc.so.6 INIT 0x8048298 FINI 0x804841c HASH 0x8048128 STRTAB 0x80481c8 SYMTAB 0x8048158 STRSZ 0x70 SYMENT 0x10 DEBUG 0x0 PLTGOT 0x8049470 PLTRELSZ 0x20 PLTREL 0x11 JMPREL 0x8048278 REL 0x8048270 RELSZ 0x8 RELENT 0x8 VERNEED 0x8048250 VERNEEDNUM 0x1 VERSYM 0x8048242 ... 7 .rel.got 00000008 08048270 08048270 00000270 2**2 CONTENTS, ALLOC, LOAD, READONLY, DATA 8 .rel.plt 00000020 08048278 08048278 00000278 2**2 CONTENTS, ALLOC, LOAD, READONLY, DATA 9 .init 0000002f 08048298 08048298 00000298 2**2 CONTENTS, ALLOC, LOAD, READONLY, CODE 10 .plt 00000050 080482c8 080482c8 000002c8 2**2 CONTENTS, ALLOC, LOAD, READONLY, CODE 11 .text 000000fc 08048320 08048320 00000320 2**4 CONTENTS, ALLOC, LOAD, READONLY, CODE 12 .fini 0000001a 0804841c 0804841c 0000041c 2**2 CONTENTS, ALLOC, LOAD, READONLY, CODE 13 .rodata 00000016 08048438 08048438 00000438 2**2 CONTENTS, ALLOC, LOAD, READONLY, DATA 14 .data 0000000c 08049450 08049450 00000450 2**2 CONTENTS, ALLOC, LOAD, DATA 15 .eh_frame 00000004 0804945c 0804945c 0000045c 2**2 CONTENTS, ALLOC, LOAD, DATA 16 .ctors 00000008 08049460 08049460 00000460 2**2 CONTENTS, ALLOC, LOAD, DATA 17 .dtors 00000008 08049468 08049468 00000468 2**2 CONTENTS, ALLOC, LOAD, DATA 18 .got 00000020 08049470 08049470 00000470 2**2 CONTENTS, ALLOC, LOAD, DATA 19 .dynamic 000000a0 08049490 08049490 00000490 2**2 CONTENTS, ALLOC, LOAD, DATA ... [alert7@redhat]$ gdb -q test (gdb) disass main Dump of assembler code for function main: 0x80483d0 <main>: push %ebp 0x80483d1 <main+1>: mov %esp,%ebp 0x80483d3 <main+3>: push $0x8048440 0x80483d8 <main+8>: call 0x8048308 <printf> 0x80483dd <main+13>: add $0x4,%esp 0x80483e0 <main+16>: xor %eax,%eax 0x80483e2 <main+18>: jmp 0x80483e4 <main+20> 0x80483e4 <main+20>: leave 0x80483e5 <main+21>: ret ... 0x80483ef <main+31>: nop End of assembler dump. (gdb) b * 0x80483d8 Breakpoint 1 at 0x80483d8 (gdb) r Starting program: /home/alert7/test
Breakpoint 1, 0x80483d8 in main ()
(gdb) disass 0x8048308 ① ⑴ Dump of assembler code for function printf: /****************************************/ //PLT4: 0x8048308 <printf>: jmp *0x8049488 //jmp GOT[6] //此时,GOT[6]中存在的是0x804830e 0x804830e <printf+6>: push $0x18 //$0x18为printf重定位入口在JMPREL section中的偏移量 0x8048313 <printf+11>: jmp 0x80482c8 <_init+48> //jmp PLT0 //PLT0处存放着调用RTLD函数的指令 //当函数返回时候,把GOT[6]修改为真正的 //printf函数地址,然后直接跳到printf函数 //执行。 该部分为PLT的一部分 /****************************************/ End of assembler dump. (gdb) x 0x8049488 0x8049488 <_GLOBAL_OFFSET_TABLE_+24>: 0x0804830e 080482c8 <.plt>: ② //PLT0: 80482c8: ff 35 74 94 04 08 pushl 0x8049474 //pushl GOT[1]地址 //GOT[1]是一个鉴别信息,是link_map类型的一个指针80482ce: ff 25 78 94 04 08 jmp *0x8049478 //JMP GOT[2]
//跳到动态连接器解析函数执行 80482d4: 00 00 add %al,(%eax) 80482d6: 00 00 add %al,(%eax)80482d8: ff 25 7c 94 04 08 jmp *0x804947c //PLT1:
80482de: 68 00 00 00 00 push $0x0 80482e3: e9 e0 ff ff ff jmp 80482c8 <_init+0x30>80482e8: ff 25 80 94 04 08 jmp *0x8049480 //PLT2:
80482ee: 68 08 00 00 00 push $0x8 80482f3: e9 d0 ff ff ff jmp 80482c8 <_init+0x30>80482f8: ff 25 84 94 04 08 jmp *0x8049484 //PLT3:
80482fe: 68 10 00 00 00 push $0x10 8048303: e9 c0 ff ff ff jmp 80482c8 <_init+0x30>8048308: ff 25 88 94 04 08 jmp *0x8049488 //PLT4:
804830e: 68 18 00 00 00 push $0x18 8048313: e9 b0 ff ff ff jmp 80482c8 <_init+0x30>(gdb) b * 0x80482c8
Breakpoint 2 at 0x80482c8 (gdb) c Continuing.Breakpoint 2, 0x80482c8 in _init ()
(gdb) x/8x 0x8049470 0x8049470 <_GLOBAL_OFFSET_TABLE_>: 0x08049490 0x40013ed0 0x4000a960 0x400fa550 0x8049480 <_GLOBAL_OFFSET_TABLE_+16>: 0x080482ee 0x400328cc 0x0804830e 0x00000000 (gdb) x/50x 0x40013ed0 ( * link_map类型) 0x40013ed0: 0x00000000 0x40010c27 0x08049490 0x400143e0 0x40013ee0: 0x00000000 0x40014100 0x00000000 0x08049490 0x40013ef0: 0x080494e0 0x080494d8 0x080494a8 0x080494b0 0x40013f00: 0x080494b8 0x00000000 0x00000000 0x00000000 0x40013f10: 0x080494c0 0x080494c8 0x08049498 0x080494a0 0x40013f20: 0x00000000 0x00000000 0x00000000 0x080494f8 0x40013f30: 0x08049500 0x08049508 0x080494e8 0x080494d0 0x40013f40: 0x00000000 0x080494f0 0x00000000 0x00000000 0x40013f50: 0x00000000 0x00000000 0x00000000 0x00000000 0x40013f60: 0x00000000 0x00000000 0x00000000 0x00000000 (gdb) disass 0x4000a960 ③ Dump of assembler code for function _dl_runtime_resolve: 0x4000a960 <_dl_runtime_resolve>: push %eax 0x4000a961 <_dl_runtime_resolve+1>: push %ecx 0x4000a962 <_dl_runtime_resolve+2>: push %edx 0x4000a963 <_dl_runtime_resolve+3>: mov 0x10(%esp,1),%edx 0x4000a967 <_dl_runtime_resolve+7>: mov 0xc(%esp,1),%eax 0x4000a96b <_dl_runtime_resolve+11>: call 0x4000a740 <fixup> //调用真正的解析函数fixup(),修正GOT[6],使它指向真正的printf函数地址 0x4000a970 <_dl_runtime_resolve+16>: pop %edx 0x4000a971 <_dl_runtime_resolve+17>: pop %ecx 0x4000a972 <_dl_runtime_resolve+18>: xchg %eax,(%esp,1) 0x4000a975 <_dl_runtime_resolve+21>: ret $0x8 //跳到printf函数地址执行 0x4000a978 <_dl_runtime_resolve+24>: nop 0x4000a979 <_dl_runtime_resolve+25>: lea 0x0(%esi,1),%esi End of assembler dump. (gdb) b * 0x4000a972 Breakpoint 4 at 0x4000a972: file dl-runtime.c, line 182. (gdb) c Continuing.Breakpoint 4, 0x4000a972 in _dl_runtime_resolve () at dl-runtime.c:182
182 in dl-runtime.c (gdb) i reg $eax $esp eax 0x4006804c 1074167884 esp 0xbffffb64 -1073743004 (gdb) b *0x4000a975 Breakpoint 5 at 0x4000a975: file dl-runtime.c, line 182. (gdb) c Continuing.Breakpoint 5, 0x4000a975 in _dl_runtime_resolve () at dl-runtime.c:182
182 in dl-runtime.c (gdb) si printf (format=0x1 <Address 0x1 out of bounds>) at printf.c:26 26 printf.c: No such file or directory. (gdb) disass ④ ⑵ Dump of assembler code for function printf: 0x4006804c <printf>: push %ebp 0x4006804d <printf+1>: mov %esp,%ebp 0x4006804f <printf+3>: push %ebx 0x40068050 <printf+4>: call 0x40068055 <printf+9> 0x40068055 <printf+9>: pop %ebx 0x40068056 <printf+10>: add $0xa2197,%ebx 0x4006805c <printf+16>: lea 0xc(%ebp),%eax 0x4006805f <printf+19>: push %eax 0x40068060 <printf+20>: pushl 0x8(%ebp) 0x40068063 <printf+23>: mov 0x81c(%ebx),%eax 0x40068069 <printf+29>: pushl (%eax) 0x4006806b <printf+31>: call 0x400325b4 0x40068070 <printf+36>: mov 0xfffffffc(%ebp),%ebx 0x40068073 <printf+39>: leave 0x40068074 <printf+40>: ret End of assembler dump. (gdb) x/8x 0x8049470 0x8049470 <_GLOBAL_OFFSET_TABLE_>: 0x08049490 0x40013ed0 0x4000a960 0x400fa550 0x8049480 <_GLOBAL_OFFSET_TABLE_+16>: 0x080482ee 0x400328cc 0x4006804c 0x00000000GOT[6]已经被修正为0x4006804c了
第一次调用printf()的时候需要经过①->②->③->④
以后调用printf()的时候就不需要这么复杂了,只要经过⑴->⑵就可以了我们来看看到底是如何修正GOT[6]的,也是就说如何找到要修正的地址的
(以前我在这点理解上发生了一些比较大的误解,误导各位的地方还请包涵:) )1:
进入PLT4的时候 push $0x18 ,该$0x18为printf重定位入口在JMPREL section中的偏移量 2: printf重定位地址为JMPREL+$0x18 /* Elf32_Rel * reloc = JMPREL + reloc_offset; */ (gdb) x/8x 0x8048278+0x18 0x8048290: 0x08049488 0x00000407 0x53e58955 0x000000e8 0x80482a0 <_init+8>: 0xc3815b00 0x000011cf 0x001cbb83 0x74000000 typedef struct { Elf32_Addr r_offset; Elf32_Word r_info; } Elf32_Rel; 也就是说printf重定位printf_retloc.r_offset=0x08049488; printf_retloc.r_info=0x00000407; 再看看0x08049488是什么地方 (gdb) x 0x08049488 0x8049488 <_GLOBAL_OFFSET_TABLE_+24>: 0x4006804c 也就是GOT[6] 3: void *const rel_addr = (void *)(l->l_addr + reloc->r_offset); 对一个可执行文件 或一个共享目标而言,rel_addr就等于reloc->r_offset 所以rel_addr=0x08049488=GOT[6]; 4: *reloc_addr = value; 修正了rel_addr也就是GOT[6] 至于value是如何计算的,请参考下面的源代码 同时r_info又关联着一个符号 Elf32_Sym * sym = &SYMTAB[ ELF32_R_SYM (reloc->r_info) ]; sym=0x8048158+0x00000407; typedef struct { Elf32_Word st_name; Elf32_Addr st_value; Elf32_Word st_size; unsigned char st_info; unsigned char st_other; Elf32_Half st_shndx; } Elf32_Sym; (gdb) x/10x 0x8048158+0x00000407 0x804855f: 0x00003a00 0x00008000 0x00000000 0x00006900 0x804856f: 0x00008000 0x00000000 0x00008300 0x00008000 0x804857f: 0x00000000 0x0000b700link_map结构说明如下:
/* Structure describing a loaded shared object. The `l_next' and `l_prev' members form a chain of all the shared objects loaded at startup.These data structures exist in space used by the run-time dynamic linker;
modifying them may have disastrous results.This data structure might change in future, if necessary. User-level
programs must avoid defining objects of this type. */★★ glibc中动态解析符号的源代码(glibc 2.1.3的实现)
.text
.globl _dl_runtime_resolve .type _dl_runtime_resolve, @function .align 16 _dl_runtime_resolve: pushl %eax # Preserve registers otherwise clobbered. pushl %ecx pushl %edx movl 16(%esp), %edx # Copy args pushed by PLT in register. Note movl 12(%esp), %eax # that `fixup' takes its parameters in regs. call fixup # Call resolver. popl %edx # Get register content back. popl %ecx xchgl %eax, (%esp) # Get %eax contents end store function address. ret $8 # Jump to function address.static ElfW(Addr) __attribute__ ((unused))
fixup ( # ifdef ELF_MACHINE_RUNTIME_FIXUP_ARGS ELF_MACHINE_RUNTIME_FIXUP_ARGS, # endif struct link_map *l, ElfW(Word) reloc_offset) { const ElfW(Sym) *const symtab = (const void *) l->l_info[DT_SYMTAB]->d_un.d_ptr; const char *strtab = (const void *) l->l_info[DT_STRTAB]->d_un.d_ptr;const PLTREL *const reloc /*计算函数重定位人口*/
= (const void *) (l->l_info[DT_JMPREL]->d_un.d_ptr + reloc_offset); /*l->l_info[DT_JMPREL]->d_un.d_ptr 为JMPREL section的地址*/const ElfW(Sym) *sym = &symtab[ELFW(R_SYM) (reloc->r_info)];/*计算函数symtab入口*/
void *const rel_addr = (void *)(l->l_addr + reloc->r_offset);/*重定向符号的绝对地址*/ ElfW(Addr) value;/* The use of `alloca' here looks ridiculous but it helps. The goal is
to prevent the function from being inlined and thus optimized out. There is no official way to do this so we use this trick. gcc never inlines functions which use `alloca'. */ alloca (sizeof (int));/* Sanity check that we're really looking at a PLT relocation. */
assert (ELFW(R_TYPE)(reloc->r_info) == ELF_MACHINE_JMP_SLOT);/*健壮性检查*//* Look up the target symbol. */
switch (l->l_info[VERSYMIDX (DT_VERSYM)] != NULL) { default: { const ElfW(Half) *vernum = (const void *) l->l_info[VERSYMIDX (DT_VERSYM)]->d_un.d_ptr; ElfW(Half) ndx = vernum[ELFW(R_SYM) (reloc->r_info)]; const struct r_found_version *version = &l->l_versions[ndx];if (version->hash != 0)
{ value = _dl_lookup_versioned_symbol(strtab + sym->st_name, &sym, l->l_scope, l->l_name, version, ELF_MACHINE_JMP_SLOT); break; } } case 0: value = _dl_lookup_symbol (strtab + sym->st_name, &sym, l->l_scope, l->l_name, ELF_MACHINE_JMP_SLOT); } /*此时value为object装载的基地址*/ /* Currently value contains the base load address of the object that defines sym. Now add in the symbol offset. */value = (sym ? value + sym->st_value : 0);/*函数的绝对地址*/
/* And now perhaps the relocation addend. */
value = elf_machine_plt_value (l, reloc, value);/*可能还需要一下重定位*//* Finally, fix up the plt itself. */
elf_machine_fixup_plt (l, reloc, rel_addr, value);/*修正rel_addr,一般来说是GOT[N]*/return value;
}static inline Elf32_Addr elf_machine_plt_value (struct link_map *map, const Elf32_Rela *reloc, Elf32_Addr value) { return value + reloc->r_addend; }
/* Fixup a PLT entry to bounce directly to the function at VALUE. */ static inline void elf_machine_fixup_plt (struct link_map *map, const Elf32_Rel *reloc, Elf32_Addr *reloc_addr, Elf32_Addr value) { *reloc_addr = value; }
参考资料:
1.glibc 2.1.3 src
2.<<ELF文件格式>> 3.<<Cheating the ELF Subversive Dynamic Linking to Libraries>> write by the grugq 4.Linux动态链接技术 = 5.p58-0x04 by Nergal <>
Linux支持动态连接库,不仅节省了磁盘、内存空间,而且可以提高程序运行效率[1]。不过引入动态连接库也可能会带来很多问题,例如动态连接库的调试[4]、升级更新[5]和潜在的安全威胁[6][7]。这里主要讨论符号的动态链接过程,即程序在执行过程中,对其中包含的一些未确定地址的符号进行重定位的过程[3][8]。
本篇主要参考资料[3]和[8],前者侧重实践,后者侧重原理,把两者结合起来就方便理解程序的动态链接过程了。另外,动态连接库的创建、使用以及调用动态连接库的部分参考了资料[1][2]。
下面先来看看几个基本概念,接着就介绍动态连接库的创建、隐式和显示调用,最后介绍符号的动态链接细节。
1、基本概念
1.1 ELF
ELF是Linux支持的一种程序文件格式,本身包含重定位、执行、共享(动态连接库)三种类型。(man elf)
代码:
Code:
[Ctrl+A Select All]
演示:
$ gcc -c test.c #通过-c生成可重定位文件test.o,这里不会进行链接 $ file test.o test.o: ELF 32-bit LSB relocatable, Intel 80386, version 1 (SYSV), not stripped $ gcc -o test test.o #链接后才可以执行 $ file test test: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked (uses shared libs), not stripped //也可链接成动态连接库,不过一般不会把main函数链接成动态连接库,后面再介绍 $ gcc -fpic -shared -W1,-soname,libtest.so.0 -o libtest.so.0.0 test.o $ file libtest.so.0.0 libtest.so.0.0: ELF 32-bit LSB shared object, Intel 80386, version 1 (SYSV), not stripped |
$ gcc -c test.c #生成可重定位文件test.o //包含全局变量、自定义函数以及动态连接库中的函数,但不包含局部变量;发现这个三个符号的地址都没有确定 $ nm test.o #nm可以用来查看ELF文件的符号表信息 00000000 B global 00000000 T main U printf $ gcc -o test test.o #生成可执行文件 //经过链接后,global和main的地址都已经确定了,但是printf却还没有,因为它是动态连接库glibc中定义函数,需要动态链接,而不是这里的“静态”链接 $ nm test | egrep "main$| printf|global$" 080495a0 B global 08048354 T main U printf@@GLIBC_2.0 |
$ nm /lib/libc.so.6 | grep "/ printf$" 000457b0 T printf |
$ readelf -d test | grep NEEDED 0x00000001 (NEEDED) Shared library: [libc.so.6] |
$ ldd test linux-gate.so.1 => (0xffffe000) libc.so.6 => /lib/libc.so.6 (0xb7da2000) /lib/ld-linux.so.2 (0xb7efc000) |
$ readelf -x .interp test Hex dump of section '.interp': 0x08048114 2f6c6962 2f6c642d 6c696e75 782e736f /lib/ld-linux.so 0x08048124 2e3200 .2. |
$ readelf -h test | grep Entry Entry point address: 0x80482b0 |
$ objdump -d -s -j .text test | grep printf 804837c: e8 1f ff ff ff call 80482a0 |
$ objdump -D test | grep "80482a0" | grep -v call 080482a0 : 80482a0: ff 25 8c 95 04 08 jmp *0x804958c |
$ readelf -d test Dynamic section at offset 0x4ac contains 20 entries: Tag Type Name/Value 0x00000001 (NEEDED) Shared library: [libc.so.6] 0x0000000c (INIT) 0x8048258 0x0000000d (FINI) 0x8048454 0x00000004 (HASH) 0x8048148 0x00000005 (STRTAB) 0x80481c0 0x00000006 (SYMTAB) 0x8048170 0x0000000a (STRSZ) 76 (bytes) 0x0000000b (SYMENT) 16 (bytes) 0x00000015 (DEBUG) 0x0 0x00000003 (PLTGOT) 0x8049578 0x00000002 (PLTRELSZ) 24 (bytes) 0x00000014 (PLTREL) REL 0x00000017 (JMPREL) 0x8048240 0x00000011 (REL) 0x8048238 0x00000012 (RELSZ) 8 (bytes) 0x00000013 (RELENT) 8 (bytes) 0x6ffffffe (VERNEED) 0x8048218 0x6fffffff (VERNEEDNUM) 1 0x6ffffff0 (VERSYM) 0x804820c 0x00000000 (NULL) 0x0 |
$ readelf -x .got.plt test Hex dump of section '.got.plt': 0x08049578 ac940408 00000000 00000000 86820408 ................ 0x08049588 96820408 a6820408 ........ |
$ objdump -d -d -s -j .plt test | grep "080482a0 :" -A 3 080482a0 : 80482a0: ff 25 8c 95 04 08 jmp *0x804958c 80482a6: 68 10 00 00 00 push $0x10 80482ab: e9 c0 ff ff ff jmp 8048270 <_init+0x18> |
$ objdump -d -d -s -j .plt test | grep -v "jmp 8048270 <_init+0x18>" | grep "08048270" -A 2 08048270 <__gmon_start__@plt-0x10>: 8048270: ff 35 7c 95 04 08 pushl 0x804957c 8048276: ff 25 80 95 04 08 jmp *0x8049580 |
$ readelf -x .got.plt test Hex dump of section '.got.plt': 0x08049578 ac940408 00000000 00000000 86820408 ................ 0x08049588 96820408 a6820408 ........ |
$ objdump -d -d -s -j .plt test 08048270 <__gmon_start__@plt-0x10>: 8048270: ff 35 7c 95 04 08 pushl 0x804957c 8048276: ff 25 80 95 04 08 jmp *0x8049580 804827c: 00 00 add %al,(%eax) ... 08048280 <__gmon_start__@plt>: 8048280: ff 25 84 95 04 08 jmp *0x8049584 8048286: 68 00 00 00 00 push $0x0 804828b: e9 e0 ff ff ff jmp 8048270 <_init+0x18> 08048290 <__libc_start_main@plt>: 8048290: ff 25 88 95 04 08 jmp *0x8049588 8048296: 68 08 00 00 00 push $0x8 804829b: e9 d0 ff ff ff jmp 8048270 <_init+0x18> 080482a0 : 80482a0: ff 25 8c 95 04 08 jmp *0x804958c 80482a6: 68 10 00 00 00 push $0x10 80482ab: e9 c0 ff ff ff jmp 8048270 <_init+0x18> |
$ readelf -x .got.plt test Hex dump of section '.got.plt': 0x08049578 ac940408 00000000 00000000 86820408 ................ 0x08049588 96820408 a6820408 ........ |
$ objdump -D test | grep 080494ac 080494ac <_DYNAMIC>: |
$ readelf -r test Relocation section '.rel.dyn' at offset 0x238 contains 1 entries: Offset Info Type Sym.Value Sym. Name 08049574 00000106 R_386_GLOB_DAT 00000000 __gmon_start__ Relocation section '.rel.plt' at offset 0x240 contains 3 entries: Offset Info Type Sym.Value Sym. Name 08049584 00000107 R_386_JUMP_SLOT 00000000 __gmon_start__ 08049588 00000207 R_386_JUMP_SLOT 00000000 __libc_start_main 0804958c 00000407 R_386_JUMP_SLOT 00000000 printf |
$ readelf -s test | grep ".dynsym" -A 6 Symbol table '.dynsym' contains 5 entries: Num: Value Size Type Bind Vis Ndx Name 0: 00000000 0 NOTYPE LOCAL DEFAULT UND 1: 00000000 0 NOTYPE WEAK DEFAULT UND __gmon_start__ 2: 00000000 410 FUNC GLOBAL DEFAULT UND __libc_start_main@GLIBC_2.0 (2) 3: 08048474 4 OBJECT GLOBAL DEFAULT 14 _IO_stdin_used 4: 00000000 57 FUNC GLOBAL DEFAULT UND printf@GLIBC_2.0 (2) |
链接编辑器创建这种重定位类型主要是为了支持动态链接。其偏移地址成员给出过程链接表项的位置。动态链接器修改全局偏移表项的内容,把控制传输给指定符号的地址。 |
$ gcc -c myprintf.c $ gcc -shared -W1,-soname,libmyprintf.so.0 -o libmyprintf.so.0.0 myprintf.o $ ln -sf libmyprintf.so.0.0 libmyprintf.so.0 $ ln -fs libmyprintf.so.0 libmyprintf.so $ ls libmyprintf.so libmyprintf.so.0 libmyprintf.so.0.0 myprintf.c myprintf.h myprintf.o |
$ gcc -o test test.c -lmyprintf -L./ -I./ $ ./test #直接运行test,提示找不到该库,因为库的默认搜索路径里头没有包含当前目录 ./test: error while loading shared libraries: libmyprintf.so: cannot open shared object file: No such file or directory $ LD_LIBRARY_PATH=$PWD ./test #如果指定库的搜索路径,则可以运行 Hello World |
$ gcc -o test1 test1.c -ldl |
$ make got $ readelf -d got | grep PLTGOT 0x00000003 (PLTGOT) 0x8049614 |
$ make got $ Hello World got2: 0xb7f376d8, got3: 0xb7f2ef10, old_addr: 0x80482da, new_addr: 0xb7e19a20 $ ./got Hello World got2: 0xb7f1e6d8, got3: 0xb7f15f10, old_addr: 0x80482da, new_addr: 0xb7e00a20 |
$ gcc -g -o got got.c $ gdb ./got (gdb) l 5 #include 6 7 #define GOT 0x8049614 8 9 int main(int argc, char *argv[]) 10 { 11 long got2, got3; 12 long old_addr, new_addr; 13 14 got2=*(long *)(GOT+4); (gdb) l 15 got3=*(long *)(GOT+8); 16 old_addr=*(long *)(GOT+24); 17 18 printf("Hello World/n"); 19 20 new_addr=*(long *)(GOT+24); 21 22 printf("got2: 0x%0x, got3: 0x%0x, old_addr: 0x%0x, new_addr: 0x%0x/n", 23 got2, got3, old_addr, new_addr); 24 (gdb) break 18 #在第一个printf处设置一个断点 Breakpoint 1 at 0x80483c3: file got.c, line 18. (gdb) break 22 #在第二个printf处设置一个断点 Breakpoint 2 at 0x80483dd: file got.c, line 22. (gdb) r #运行到第一个printf之前会停止 Starting program: /mnt/hda8/Temp/c/program/got Breakpoint 1, main () at got.c:18 18 printf("Hello World/n"); (gdb) x/8x 0x8049614 #查看执行printf之前的全局偏移表内容 0x8049614 <_GLOBAL_OFFSET_TABLE_>: 0x08049548 0xb7f3c6d8 0xb7f33f10 0x080482aa 0x8049624 <_GLOBAL_OFFSET_TABLE_+16>: 0xb7ddbd20 0x080482ca 0x080482da 0x00000000 (gdb) disassemble 0x080482da #查看GOT表项的最有一项,发现刚好是PLT表中push指令的地址,说明此时还没有进行进行符号的重定位,不过发现并非printf,而是puts(1) Dump of assembler code for function puts@plt: 0x080482d4 : jmp *0x804962c 0x080482da : push $0x18 0x080482df : jmp 0x8048294 <_init+24> (gdb) disassemble 0xb7f33f10 #查看GOT第三项的内容,刚好是dl-linux对应的代码, #可通过nm /lib/ld-linux.so.2 | grep _dl_runtime_resolve进行确认 Dump of assembler code for function _dl_runtime_resolve: 0xb7f33f10 <_dl_runtime_resolve+0>: push %eax 0xb7f33f11 <_dl_runtime_resolve+1>: push %ecx 0xb7f33f12 <_dl_runtime_resolve+2>: push %edx (gdb) x/8x 0xb7f3c6d8 #查看GOT表第二项处的内容,看不出什么特别的信息,反编译时提示无法反编译 0xb7f3c6d8: 0x00000000 0xb7f39c3d 0x08049548 0xb7f3c9b8 0xb7f3c6e8: 0x00000000 0xb7f3c6d8 0x00000000 0xb7f3c9a4 (gdb) break *(0xb7f33f10) #在*(0xb7f33f10)指向的代码处设置一个断点,确认它是否被执行 break *(0xb7f33f10) Breakpoint 3 at 0xb7f3cf10 (gdb) c Continuing. Breakpoint 3, 0xb7f3cf10 in _dl_runtime_resolve () from /lib/ld-linux.so.2 (gdb) c #继续运行,直到第二次调用printf Continuing. Hello World Breakpoint 2, main () at got.c:22 22 printf("got2: 0x%0x, got3: 0x%0x, old_addr: 0x%0x, new_addr: 0x%0x/n", (gdb) x/8x 0x8049614 #再次查看GOT表项,发现GOT表的最后一项的值应该被修改 0x8049614 <_GLOBAL_OFFSET_TABLE_>: 0x08049548 0xb7f3c6d8 0xb7f33f10 0x080482aa 0x8049624 <_GLOBAL_OFFSET_TABLE_+16>: 0xb7ddbd20 0x080482ca 0xb7e1ea20 0x00000000 (gdb) disassemble 0xb7e1ea20 #查看GOT表最后一项,发现变成了puts函数的代码,说明进行了符号puts的重定位(2) Dump of assembler code for function puts: 0xb7e1ea20 : push %ebp 0xb7e1ea21 : mov %esp,%ebp 0xb7e1ea23 : sub $0x1c,%esp |
$ LD_BIND_NOW=1 ./got #设置LD_BIND_NOW环境变量的运行结果 Hello World got2: 0x0, got3: 0x0, old_addr: 0xb7e61a20, new_addr: 0xb7e61a20 $ ./got #默认情况下的运行结果 Hello World got2: 0xb7f806d8, got3: 0xb7f77f10, old_addr: 0x80482da, new_addr: 0xb7e62a20 |
转载地址:http://tbhvi.baihongyu.com/