那些遇到过的问题

奇怪的ELF二进制文件

dae*_*hee 5 linux reverse-engineering elf

我有一个奇怪的ELF二进制文件.我可以在32位linux中运行这个二进制文件.

但是如果我用IDA反汇编程序打开这个二进制文件,IDA会说"无效入口点".

readelf的结果如下:

root@meltdown-VirtualBox:/home/meltdown# readelf -S -l SimpleVM 

There are no sections in this file.

Elf file type is EXEC (Executable file)
Entry point 0xc023dc
There are 2 program headers, starting at offset 52

Program Headers:
  Type           Offset   VirtAddr   PhysAddr   FileSiz MemSiz  Flg Align
  LOAD           0x000000 0x00c01000 0x00c01000 0x013c7 0x013c7 RWE 0x1000
  LOAD           0x00019c 0x0804b19c 0x0804b19c 0x00000 0x00000 RW  0x1000
Run Code Online (Sandbox Code Playgroud)

没有部分.我以为这个二进制文件很紧凑.但是,第一个LOAD段的最后一个虚拟地址是0xc023c7.入口点的虚拟地址为0xc023dc,超出范围......

谁能告诉我发生了什么事?

先感谢您.

  • / proc/PID/maps如下(创建了两个进程......)

    root@meltdown-VirtualBox:/proc/3510# cat maps
00110000-00111000 rwxp 00000000 00:00 0 
006c0000-006c1000 r-xp 00000000 00:00 0          [vdso]
007d2000-007d4000 rwxp 00000000 00:00 0 
00c01000-00c02000 rwxp 00000000 08:01 3801242    /home/meltdown/SimpleVM
00ca4000-00e43000 r-xp 00000000 08:01 17171359   /lib/i386-linux-gnu/libc-2.15.so
00e43000-00e45000 r-xp 0019f000 08:01 17171359   /lib/i386-linux-gnu/libc-2.15.so
00e45000-00e46000 rwxp 001a1000 08:01 17171359   /lib/i386-linux-gnu/libc-2.15.so
00e46000-00e49000 rwxp 00000000 00:00 0 
08048000-0804b000 r-xp 00000000 00:00 0 
0804b000-0804c000 rwxp 00000000 00:00 0 
b77a7000-b77c7000 r-xp 00000000 08:01 17171339   /lib/i386-linux-gnu/ld-2.15.so
b77c7000-b77c8000 r-xp 0001f000 08:01 17171339   /lib/i386-linux-gnu/ld-2.15.so
b77c8000-b77c9000 rwxp 00020000 08:01 17171339   /lib/i386-linux-gnu/ld-2.15.so
bfa90000-bfab1000 rwxp 00000000 00:00 0          [stack]

root@meltdown-VirtualBox:/proc/3511# cat maps
00110000-00111000 rwxp 00000000 00:00 0 
006c0000-006c1000 r-xp 00000000 00:00 0          [vdso]
007d2000-007d4000 rwxp 00000000 00:00 0 
00c01000-00c02000 rwxp 00000000 08:01 3801242    /home/meltdown/SimpleVM
00ca4000-00e43000 r-xp 00000000 08:01 17171359   /lib/i386-linux-gnu/libc-2.15.so
00e43000-00e45000 r-xp 0019f000 08:01 17171359   /lib/i386-linux-gnu/libc-2.15.so
00e45000-00e46000 rwxp 001a1000 08:01 17171359   /lib/i386-linux-gnu/libc-2.15.so
00e46000-00e49000 rwxp 00000000 00:00 0 
08048000-0804b000 r-xp 00000000 00:00 0 
0804b000-0804c000 rwxp 00000000 00:00 0 
b77a7000-b77c7000 r-xp 00000000 08:01 17171339   /lib/i386-linux-gnu/ld-2.15.so
b77c7000-b77c8000 r-xp 0001f000 08:01 17171339   /lib/i386-linux-gnu/ld-2.15.so
b77c8000-b77c9000 rwxp 00020000 08:01 17171339   /lib/i386-linux-gnu/ld-2.15.so
bfa90000-bfab1000 rwxp 00000000 00:00 0          [stack]
    Run Code Online (Sandbox Code Playgroud)

Geo*_*edy 3

这可能是因为映射长度的粒度。映射的长度将四舍五入为页面大小的倍数。在我的系统上,页面大小为 4k,因此映射将四舍五入为 4k 并包含入口点。即使页面大小为 1k,长度也会四舍五入为 0x1400,足以包含入口点。如果文件足够长,那么额外的字节可能来自文件而不是页面初始化。

归档时间:

查看次数:

545 次

最近记录:

9 年,3 月 前
相关归档
随机随机播放bash中的文件 48
了解负载平均值与CPU使用率 29
supervisorctl错误(没有这样的过程) 28
Linux上的线程局部变量访问速度有多快 17
diff命令只获取不同行的数量 16
如何为Linux用户设置CAP_SYS_NICE功能? 13
在ARM处理器上运行嵌入式Linux的最低配置? 11
后台作业的作业ID后面的后缀"+"和" - "是什么意思? 11
套接字recv()在MSG_WAITALL的大消息上挂起 10
在不使用libelf或其他库的情况下创建ELF二进制文件 4
难疑归档
如何检查对象是否是数组? 2581
在vi中快速缩进多行 2111
无法打开与身份验证代理的连接 1473
在JavaScript中修剪字符串? 1285
如何使用Sublime Text 2重新格式化HTML代码? 1282
如何从GET参数中获取值? 1255
如何在Python中使用线程? 1210
如何重置MySQL中的AUTO_INCREMENT? 1174
创建将T限制为枚举的通用方法 1122
有效地使用Git和Dropbox? 1117