0x01 引言
ELF文件格式,主要基于两种,一种是基于链接视图,链接视图即是基于节(Section)来进行解析,一种是基于执行视图,执行视图即是基于段(Segment)来进行解析。前一种是用于静态分析的时候,譬如IDA载入。后一种是在动态链接执行的时候,譬如linker载入。
所以修改节信息实际上是不影响ELF正常执行的,而且hook功能也只能在执行视图中进行符号解析。
所以修改节信息实际上是不影响ELF正常执行的,而且hook功能也只能在执行视图中进行符号解析。
所以修改节信息实际上是不影响ELF正常执行的,而且hook功能也只能在执行视图中进行符号解析。
0x02 re.dyn 和 rel.plt的区别
基于执行视图通过PT_DYNAMIC获取重定位段,然后在重定位段中可获得主要两种类型的重定位表:DT_REL(A),DT_JUMPREL,分别对应rel.dyn和rel.plt。在这两种表里面,可通过ELF_R_TYPE_T获取重定位类型,重定位类型按功能性分函数类型和变量类型,后面会详述。那rel.dyn和rel.plt分别存放的重定位类型是有所不同,R_ARM_RELATIVE、R_ARM_ABS32和R_ARM_GLOB_DAT存放在rel.dyn上,R_ARM_JUMP_SLOT存放在rel.plt上。
0x03 重定位类型详解
常见的重定位函数类型有三种:R_ARM_JUMP_SLOT,R_ARM_ABS32和R_ARM_GLOB_DAT。
对于64位或者其他平台的有:
#if defined(__arm__)
#define JUMP_SLOT_T R_ARM_JUMP_SLOT //.rel.plt
#define GLOB_DAT_T R_ARM_GLOB_DAT //.rel.dyn
#define ABS_T R_ARM_ABS32 //.rel.dyn
#elif defined(__aarch64__)
#define JUMP_SLOT_T R_AARCH64_JUMP_SLOT
#define GLOB_DAT_T R_AARCH64_GLOB_DAT
#define ABS_T R_AARCH64_ABS64
#elif defined(__i386__)
#define JUMP_SLOT_T R_386_JMP_SLOT
#define GLOB_DAT_T R_386_GLOB_DAT
#define ABS_T R_386_32
#elif defined(__x86_64__)
#define JUMP_SLOT_T R_X86_64_JUMP_SLOT
#define GLOB_DAT_T R_X86_64_GLOB_DAT
#define ABS_T R_X86_64_64
#endif那每种对应什么类型呢
参考
https://bbs.pediy.com/thread-222731.htm
https://bbs.pediy.com/thread-193720.htm
http://www.cs.cmu.edu/afs/cs/academic/class/15213-s00/doc/elf.pdf
