ELF फ़ाइल में बिल्ड-आईडी डेटा ऑफ़सेट

Aug 18 2020

मुझे build-idELF नोट्स अनुभाग को संशोधित करने की आवश्यकता है । मुझे पता चला कि यह यहाँ संभव है । यह भी पता चला कि मैं इस कोड को संशोधित करके कर सकता हूं । मैं जो पता नहीं लगा सकता वह डेटा लोकेशन है। यहां मैं बात कर रहा हूं।

$ eu-readelf -S myelffile Section Headers: [Nr] Name Type Addr Off Size ES Flags Lk Inf Al ... [ 2] .note.ABI-tag NOTE 000000000000028c 0000028c 00000020 0 A 0 0 4 [ 3] .note.gnu.build-id NOTE 00000000000002ac 000002ac 00000024 0 A 0 0 4 ... $ eu-readelf -n myelffile

Note section [ 2] '.note.ABI-tag' of 32 bytes at offset 0x28c:
  Owner          Data size  Type
  GNU                   16  GNU_ABI_TAG
    OS: Linux, ABI: 3.14.0

Note section [ 3] '.note.gnu.build-id' of 36 bytes at offset 0x2ac:
  Owner          Data size  Type
  GNU                   20  GNU_BUILD_ID
    Build ID: d75a086c288c582036b0562908304bc3a8033235

.note.gnu.build-idखंड 36 बाइट्स है। बिल्ड आईडी 20 बाइट्स है। अन्य 16 बाइट्स क्या हैं?

मैं कोड के साथ थोड़ा खेला और myelffileऑफसेट पर 36 बाइट्स पढ़ा 0x2ac। निम्नलिखित मिला 040000001400000003000000474e5500d75a086c288c582036b0562908304bc3a8033235।

तब मैंने Elf64_Shdrपरिभाषा का उपयोग करने का फैसला किया , इसलिए मैंने पते पर डेटा पढ़ा 0x2ac + sizeof(Elf64_Shdr.sh_name) + sizeof(Elf64_Shdr.sh_type) + sizeof(Elf64_Shdr.sh_flags)और मुझे अपनी बिल्ड आईडी मिली d75a086c288c582036b0562908304bc3a8033235। यह समझ में आता है कि मुझे यह क्यों मिला sizeof(Elf64_Shdr.sh_name) + sizeof(Elf64_Shdr.sh_type) + sizeof(Elf64_Shdr.sh_flags) = 16 bytes, लेकिन Elf64_Shdrपरिभाषा के अनुसार मुझे इंगित करना चाहिए Elf64_Addr sh_addr, अर्थात अनुभाग वर्चुअल पता।

तो क्या मेरे लिए स्पष्ट नहीं है अनुभाग के अन्य 16 बाइट्स क्या हैं? वे क्या प्रतिनिधित्व करते हैं? मैं Elf64_Shdrपरिभाषा और परिणामों को अपने प्रयोगों से प्राप्त नहीं कर सकता।

जवाब

1 EmployedRussian Aug 18 2020 at 09:07

.note.gnu.build-id अनुभाग 36 बाइट्स है। बिल्ड आईडी 20 बाइट्स है। अन्य 16 बाइट्स क्या हैं?

प्रत्येक .note.*खंड Elf64_Nhdr(12 बाइट्स) के साथ शुरू होता है , इसके बाद (4-बाइट संरेखित) नोट का नाम चर आकार ( GNU\0यहां), इसके बाद (4-बाइट संरेखित) वास्तविक नोट डेटा। प्रलेखन ।

/bin/dateमेरे सिस्टम को देखते हुए :

 eu-readelf -Wn /bin/date

Note section [ 2] '.note.ABI-tag' of 32 bytes at offset 0x2c4:
  Owner          Data size  Type
  GNU                   16  GNU_ABI_TAG
    OS: Linux, ABI: 3.2.0

Note section [ 3] '.note.gnu.build-id' of 36 bytes at offset 0x2e4:
  Owner          Data size  Type
  GNU                   20  GNU_BUILD_ID
    Build ID: 979ae4616ae71af565b123da2f994f4261748cc9

ऑफसेट पर बाइट्स क्या हैं 0x2e4?

 dd bs=1 skip=$((0x2e4)) count=36 < /bin/date | xxd

00000000: 0400 0000 1400 0000 0300 0000 474e 5500  ............GNU.
00000010: 979a e461 6ae7 1af5 65b1 23da 2f99 4f42  ...aj...e.#./.OB
00000020: 6174 8cc9                                at..

तो हमने: .n_namesz == 4, .n_descsz == 20, .n_type == 3 == NT_GNU_BUILD_ID, 4 बाइट के बाद GNU\0, नोट नाम बाइट्स वास्तविक निर्माण आईडी के 20 बाइट्स द्वारा पीछा किया 0x97, 0x9aआदि