我知道可以基于information found in the header(即e_shoff + (e_shentsize * e_shnum))计算ELF文件的大小(即,它的结束位置),假设有一个节头表(“SHT”) ,而 SHT 是 ELF 的最后一部分。
但是,加载二进制文件不需要 SHT,我想知道如果 SHT 丢失(例如,剥离的二进制文件)是否可以计算相同的信息。我们可以利用程序头或其他偏移量以编程方式计算大小吗?
【问题讨论】:
标签: linux reverse-engineering executable elf
我们可以利用程序头或其他偏移量吗?
二进制文件开始运行所需的信息包含在程序头中(使用readelf -Wl a.out 来查看其中的内容)。
您可以通过找到phdr->p_offset + phdr->p_filesz 的最大值来计算二进制所需的最小值。如果您以该大小截断文件,它应该可以继续工作(或至少加载并到达main)。
但该文件可能包含任意数量的附加不可加载部分,因此如果您计算的大小小于磁盘上的文件大小,请不要感到惊讶。
是否需要这些额外的部分完全取决于可执行文件——它可能包含opens argv[0]、seeks 到某个偏移量的代码,以及来自那里的reads 数据(其中以防应用程序在截断后停止工作)。
附言
假设 ...SHT 是 ELF 的最后一部分。
该假设不一定正确,当然也不需要文件是正确的ELF 文件。
【讨论】:
p_offset + phdr->p_filesz?
readelf 一样。偏移量和计数在 ELF 文件头中找到。
e_phnum 然后索引信息。那不可能得到确切的尺寸吗?仅估算?