当前位置: 首页>移动开发>正文

AES_KEY头文件 elf头文件

   android是建立在linux的基础上,其底层代码是安装linux可执行文件——elf的格式来组装的。本文结合android中的so文件来了解elf格式,资料大多收集于网上;elf格式位于android源码:elf.h(下面涉及到的结构体和宏定义都可以在此头文件中找到)。

elf大致可分为三部分:elf头、程序头表、节区头表;当然还有上图没标出的动态符号表,

                                       

AES_KEY头文件 elf头文件,AES_KEY头文件 elf头文件_Word,第1张

 elf头:

#define EI_NIDENT       16
 typedef struct {
      unsigned char       e_ident[EI_NIDENT];    //magic    
      Elf32_Half          e_type;          //type 1:重定位文件;2:可执行文件;3:共享文件
      Elf32_Half          e_machine;        //cpu结构
      Elf32_Word          e_version;        //版本
      Elf32_Addr          e_entry;          //程序进入点 可执行:main;so:无用
      Elf32_Off           e_phoff;        //程序头表偏移
      Elf32_Off           e_shoff;        //节区表偏移
      Elf32_Word          e_flags;        //文件和处理器相关的标志
      Elf32_Half          e_ehsize;        //elf头大小
      Elf32_Half          e_phentsize;      //程序头占用空间即大小
      Elf32_Half          e_phnum;        //程序头项目数
      Elf32_Half          e_shentsize;    //节区头占用空间即大小
      Elf32_Half          e_shnum;        //节区数
      Elf32_Half          e_shstrndx;      //字符串表,在节区中索引
  } Elf32_Ehdr;

 

  我们会发现 e_ehsize = e_phoff(为什么?看第一幅图)。在elf头中我们很容易发现其实主要分三部分:info相关,程序头相关,节区头相关;刚好对应着链接器和装载器所需内容。e_phoff、e_phentsize、e_phnum装载器必须;e_shoff、e_shentsize、e_shnum、e_shstrndx是链接器必须;即section是供给linker使用,而segment是供给loader使用。注意下e_shstrndx是字符串表头在section头中的索引,例如e_shstrndx=2,则section头中的第3个旧市字符串表头。

phdr头:

typedef struct elf32_phdr{
Elf32_Word p_type;         //segment类型
Elf32_Off p_offset;        //该segment在文件的偏移地址
Elf32_Addr p_vaddr;        //segment映射到内存中的地址
Elf32_Addr p_paddr;        //segment物理地址,现代操作系统基本无法触及,基本无效
Elf32_Word p_filesz;      //segment在文件中所占大小,有些segment在文件中不存在却占据一定的内存大小,则为0
Elf32_Word p_memsz;        //segment在内存中所占的地址空间大小
Elf32_Word p_flags;        //segment可操作的读写权限
Elf32_Word p_align;        //按几个字节对齐
} Elf32_Phdr;

 

  重点是p_offset和p_filesz,它们是segment的起始地址和大小;p_type为segment类型详见elf.h中的PT开头的宏定义;p_flags为segment的可操作权限详见elf.h中的PF开头宏定义(跟linux的文件权限rwx是一样的)。

 shdr头:

typedef struct {
Elf32_Word sh_name;        //section name:.data、.dynamic、.got、.init......
Elf32_Word sh_type;        //section类型
Elf32_Word sh_flags;    //section权限
Elf32_Addr sh_addr;        //section映射到内存中起始地址
Elf32_Off sh_offset;    //该section在文件中的偏移
Elf32_Word sh_size;        //section大小
Elf32_Word sh_link;        //一般来说是该section所用的string table在section header table中的索引,见参考资料3
Elf32_Word sh_info;        //
Elf32_Word sh_addralign;//section按几字节对齐
Elf32_Word sh_entsize;    //section内容中表项所占大小,例如.dynamic为8下面解释
} Elf32_Shdr;

 

动态符号表(dynamic_symbol_table):

  

    介绍完elf格式的整体框架后,来深入了解内在的联系和一些section。

   .shstrtab:字符串表保存着一系列以NULL结尾的的字符串

   .dynstr:该section包含了用于动态链接的字符串,通常是符号表项名称字符串;

 .dynamic:该section包含了动态链接信息,该section属性将包含SHF_ALLOC比特位,而SHF_WRITE比特位是否为1取决于处理器(通常.dynamic会独占一个segment叫dynamic);简单来说它包含着一连串的dynamic结构

typedef struct dynamic{
Elf32_Sword d_tag;
union{
    Elf32_Sword d_val;
    Elf32_Addr d_ptr;
    } d_un;
} Elf32_Dyn;

d_tag控制d_un是d_val还是d_ptr;可通过d_tag来识别是属于哪个section(elf.h中DT开头的宏定义),d_un为d_tag在文件中的偏移量(不完全正确!,以后再补充)。例如d_tag为6则是DT_SYMTAB为.dynsym,则d_un为.dynsym为偏移量。值得一提的是在该section中,sh_addralign为4,sh_entsize为8(为什么看dynamic结构体)。这个节区非常重要,android linker就是通过它解析出其他section,看源码:http://androidxref.com/4.4_r1/xref/bionic/linker/linker.cpp#1339。注意d_tag = NEEDED表示为共享库,而其共享库的name是strtab[dun]为首字母的字符串。

 

 .hash:包含了符号hash表,hash表内容的组合形式如下:

Symbol Hash Table 

nbucket 
nchain 
bucket[0] 
... 
bucket[nbucket - 1]   /
chain[0] 
... 
chain[nchain - 1]

由此可以看出hash表的长度为(nbucket+nchain+2)*4。假设函数hash值为funHash,在.hash中得到值funIndex=bucket[funHash]或chain[funHash]。

 

     .dynsym:该section包含了动态链接符号表;其实该section是elf32_sym结构体数组

typedef struct elf32_sym{
Elf32_Word st_name;
Elf32_Addr st_value;
Elf32_Word st_size;
unsigned char st_info;      //不是很理解,看源码http://androidxref.com/4.4_r1/xref/bionic/libc/include/sys/exec_elf.h  STT_FUNC
unsigned char st_other;
Elf32_Half st_shndx;
} Elf32_Sym;

sh_name值是以.dynstr为基址的索引,st_value为fun指令偏移地址,st_size为fun指令长度。funInfo = sym[funIndex],可得到fun的信息。st_shndx为STN_UNDEF表示该函数为外部引用需要被重定位,即st_value为0。这里提下st_info这个字符,它由类型和绑定属性组成,可以源码

 

.rel:重定位表

typedef struct elf32_rel {
Elf32_Addr r_offset;            //
Elf32_Word r_info;        //
} Elf32_Rel;

  r_offset为需要重定位的内容地址,而r_info分为2部分:elf.h中定义了宏定义,ELF32_R_SYM是在dynsym的索引,ELF32_R_TYPE是重定位的类型:

#define R_ARM_ABS32       2   //外部函数局部指针函数调用方式 位于.rl.dyn    
/* 20-31 are reserved for ARM Linux. */ 位于源码/bionic/libc/arch-arm/include/machine/elf_machdep.h
#define R_ARM_COPY            20
#define R_ARM_GLOB_DAT        21  //外部函数全局指针函数调用方式   位于.rl.dyn
#define R_ARM_JUMP_SLOT      22    //外部函数直接调用方式         位于.rl.plt
#define R_ARM_RELATIVE        23
#define R_ARM_GOTOFF         24
#define R_ARM_GOTPC           25
#define R_ARM_GOT32           26
#define R_ARM_PLT32           27

   r_offset是该函数的指令或者数据的值在内存中的指针,比如r_offset = addr1,在地址addr1中存放addr2,则addr2为函数指令地址

                                     

AES_KEY头文件 elf头文件,AES_KEY头文件 elf头文件_AES_KEY头文件_02,第2张

 

Tips:

  1 字符串符号表.shstrtab后跟着section_header_table;节区表头分布在elf文件最后,而字符串符号表往往是在最靠后的内容

  2 section name需要在shstr table找;而segment 没有name只有type,只需比较就能确定类型

  3 根据函数名找到函数指令:函数名hash值funHash,在hash表得到索引值funIndex,在dynsym表索引得到funInfo,funIndo.st_name为.dynstr的索引(这可以判断是否为我们要找到的函数),funInfo.st_value为函数指令偏移地址

  4 .dynsym的项数=.hash中nchain

 

资料:

 1 【原创】简单粗暴的so加解密实现

   2 【原创】手工打造ELF文件

   3 ELF文件格式解析 (嵌入式很多用这个格式)

   4 ELF格式文件符号表全解析及readelf命令使用方法




https://www.xamrdz.com/mobile/4xs1932613.html

相关文章: