build-id data offset ในไฟล์ ELF

Aug 18 2020

ฉันต้องการแก้ไขbuild-idส่วนบันทึกย่อของ ELF ผมพบว่ามันเป็นไปได้ที่นี่ นอกจากนี้ยังพบว่าฉันสามารถทำได้โดยการแก้ไขรหัสนี้ สิ่งที่ฉันคิดไม่ออกคือตำแหน่งข้อมูล นี่คือสิ่งที่ฉันกำลังพูดถึง

$ eu-readelf -S myelffile Section Headers: [Nr] Name Type Addr Off Size ES Flags Lk Inf Al ... [ 2] .note.ABI-tag NOTE 000000000000028c 0000028c 00000020 0 A 0 0 4 [ 3] .note.gnu.build-id NOTE 00000000000002ac 000002ac 00000024 0 A 0 0 4 ... $ eu-readelf -n myelffile

Note section [ 2] '.note.ABI-tag' of 32 bytes at offset 0x28c:
  Owner          Data size  Type
  GNU                   16  GNU_ABI_TAG
    OS: Linux, ABI: 3.14.0

Note section [ 3] '.note.gnu.build-id' of 36 bytes at offset 0x2ac:
  Owner          Data size  Type
  GNU                   20  GNU_BUILD_ID
    Build ID: d75a086c288c582036b0562908304bc3a8033235

.note.gnu.build-idส่วนคือ 36 ไบต์ รหัสการสร้างคือ 20 ไบต์ 16 ไบต์อื่น ๆ คืออะไร?

ฉันเล่นกับรหัสบิตและอ่าน 36 ไบต์ของที่ออฟเซตmyelffile มีดังต่อไปนี้0x2ac040000001400000003000000474e5500d75a086c288c582036b0562908304bc3a8033235

แล้วผมก็ตัดสินใจที่จะใช้Elf64_Shdrความหมายดังนั้นฉันอ่านข้อมูลที่อยู่และฉันได้สร้างรหัสของฉัน0x2ac + sizeof(Elf64_Shdr.sh_name) + sizeof(Elf64_Shdr.sh_type) + sizeof(Elf64_Shdr.sh_flags) d75a086c288c582036b0562908304bc3a8033235มันสมเหตุสมผลว่าทำไมฉันถึงได้มันsizeof(Elf64_Shdr.sh_name) + sizeof(Elf64_Shdr.sh_type) + sizeof(Elf64_Shdr.sh_flags) = 16 bytesแต่ตามElf64_Shdrคำจำกัดความฉันควรจะชี้ไปที่Elf64_Addr sh_addrนั่นคือที่อยู่เสมือนของส่วน

ดังนั้นสิ่งที่ฉันไม่ชัดเจนคือส่วนอื่น ๆ อีก 16 ไบต์คืออะไร? พวกเขาแสดงถึงอะไร? ฉันไม่สามารถปรับElf64_Shdrความหมายและผลลัพธ์ที่ได้รับจากการทดลองของฉัน

คำตอบ

1 EmployedRussian Aug 18 2020 at 09:07

.note.gnu.build-id ส่วน 36 ไบต์ รหัสการสร้างคือ 20 ไบต์ 16 ไบต์อื่น ๆ คืออะไร?

แต่ละ.note.*ส่วนเริ่มต้นด้วยElf64_Nhdr(12 ไบต์) ตามด้วยชื่อโน้ต (จัดเรียง 4 ไบต์) ของขนาดตัวแปร ( GNU\0ที่นี่) ตามด้วยข้อมูลโน้ตจริง (จัดเรียง 4 ไบต์) เอกสารประกอบ .

ดูที่/bin/dateระบบของฉัน:

 eu-readelf -Wn /bin/date

Note section [ 2] '.note.ABI-tag' of 32 bytes at offset 0x2c4:
  Owner          Data size  Type
  GNU                   16  GNU_ABI_TAG
    OS: Linux, ABI: 3.2.0

Note section [ 3] '.note.gnu.build-id' of 36 bytes at offset 0x2e4:
  Owner          Data size  Type
  GNU                   20  GNU_BUILD_ID
    Build ID: 979ae4616ae71af565b123da2f994f4261748cc9

ไบต์ที่ออฟเซ็ต0x2e4คืออะไร?

 dd bs=1 skip=$((0x2e4)) count=36 < /bin/date | xxd

00000000: 0400 0000 1400 0000 0300 0000 474e 5500  ............GNU.
00000010: 979a e461 6ae7 1af5 65b1 23da 2f99 4f42  ...aj...e.#./.OB
00000020: 6174 8cc9                                at..

ดังนั้นเราจึงมี: .n_namesz == 4, .n_descsz == 20, .n_type == 3 == NT_GNU_BUILD_IDตามด้วย 4 ไบต์GNU\0ชื่อโน้ตตามด้วย 20 ไบต์ของจริงสร้างรหัสไบต์0x97, 0x9aฯลฯ