0x01 引言
ELF文件格式,主要基於兩種,一種是基於鏈接視圖,鏈接視圖即是基於節(Section)來進行解析,一種是基於執行視圖,執行視圖即是基於段(Segment)來進行解析。前一種是用於靜態分析的時候,譬如IDA載入。後一種是在動態鏈接執行的時候,譬如linker載入。
所以修改節信息實際上是不影響ELF正常執行的,而且hook功能也只能在執行視圖中進行符號解析。
所以修改節信息實際上是不影響ELF正常執行的,而且hook功能也只能在執行視圖中進行符號解析。
所以修改節信息實際上是不影響ELF正常執行的,而且hook功能也只能在執行視圖中進行符號解析。
0x02 re.dyn 和 rel.plt的區別
基於執行視圖通過PT_DYNAMIC獲取重定位段,然後在重定位段中可獲得主要兩種類型的重定位表:DT_REL(A),DT_JUMPREL,分別對應rel.dyn和rel.plt。在這兩種表裏面,可通過ELF_R_TYPE_T獲取重定位類型,重定位類型按功能性分函數類型和變量類型,後面會詳述。那rel.dyn和rel.plt分別存放的重定位類型是有所不同,R_ARM_RELATIVE、R_ARM_ABS32和R_ARM_GLOB_DAT存放在rel.dyn上,R_ARM_JUMP_SLOT存放在rel.plt上。
0x03 重定位類型詳解
常見的重定位函數類型有三種:R_ARM_JUMP_SLOT,R_ARM_ABS32和R_ARM_GLOB_DAT。
對於64位或者其他平臺的有:
#if defined(__arm__)
#define JUMP_SLOT_T R_ARM_JUMP_SLOT //.rel.plt
#define GLOB_DAT_T R_ARM_GLOB_DAT //.rel.dyn
#define ABS_T R_ARM_ABS32 //.rel.dyn
#elif defined(__aarch64__)
#define JUMP_SLOT_T R_AARCH64_JUMP_SLOT
#define GLOB_DAT_T R_AARCH64_GLOB_DAT
#define ABS_T R_AARCH64_ABS64
#elif defined(__i386__)
#define JUMP_SLOT_T R_386_JMP_SLOT
#define GLOB_DAT_T R_386_GLOB_DAT
#define ABS_T R_386_32
#elif defined(__x86_64__)
#define JUMP_SLOT_T R_X86_64_JUMP_SLOT
#define GLOB_DAT_T R_X86_64_GLOB_DAT
#define ABS_T R_X86_64_64
#endif
那每種對應什麼類型呢
參考
https://bbs.pediy.com/thread-222731.htm
https://bbs.pediy.com/thread-193720.htm
http://www.cs.cmu.edu/afs/cs/academic/class/15213-s00/doc/elf.pdf