ELF解析03 - 加载段

本文主要讨论 mmap 函数以及如何使用 mmap 函数来加载一个 ELF 的可加载段。

01纠错

Android 8 及以后是会读取 section header 的,但不是所有的 section 都会读取。

cs.android.com/android/pla...

Android 8 应该是一个分水岭,可以看到会有很多版本检查逻辑:

mmap 函数

这个函数的参数在 man7 里面有非常详细的说明,建议看看:

man7.org/linux/man-p...

看一个例子:

arduino 复制代码
#include <stdio.h>
#include <sys/mman.h>
#include <dlfcn.h>

int main()
{

    FILE *fp = fopen("/data/local/tmp/four.bin", "rb");
    void *addr = mmap((void *)0x80000000, 0x100, PROT_EXEC | PROT_WRITE | PROT_READ, MAP_PRIVATE | MAP_FIXED, fileno(fp), 0);

    fclose(fp);

    printf("%p\n", addr);

    printf("%08x\n", *(__uint8_t *)0x80000000);

    return 0;
}

需要注意的是,我们这里是脱离了Android Studio 来编写一个可执行程序,所以需要先搭建一下环境:

需要2个额外的文件来做交叉编译,试了下直接使用 aarch64-linux-gnu-gcc 编译出来的也无法执行,似乎必须得使用 ndk + cmake 来编译,不深入研究了,能跑就行。

2个额外文件的代码就不贴了,会上传到github上的 elf 文件夹里面。

github.com/aprz512/And...

将编译好的文件push到 /data/local/tmp/ 文件夹下,测试各个参数的作用。

第一个参数

第一个参数表示我们期望映射的地址,但是os并不一定会映射到这个地址,文档里面也说了,linux会选择一个页对齐的地址返回,如果该地址被占用了,会返回一个其他的地址。

第二个参数

第二个参数是映射的长度,这个很值得研究,需要分情况讨论。

我们以 four.bin 为例,该文件里面就只有 3 个字符串数字,大小为4个字节:

bash 复制代码
echo "123" > four.bin

当mmap传递的参数小于文件大小时,我们修改代码,将第二个参数的值改为2:

ini 复制代码
void *addr = mmap((void *)0x80000000, 0x2, PROT_EXEC | PROT_WRITE | PROT_READ, MAP_PRIVATE | MAP_FIXED, fileno(fp), 0);

尝试访问 0x80000002 处的地址,按照直觉来说,这个位置没有被分配,所以应该会出现 Segmentation fault 之类的错误。但是实际上并没有,输出结果为:

0x80000000
00000033

0x33对应的ascii就是字符"3",这说明,它将整个文件都映射进去了,其实mmap是按照页来映射的,以 4KB 为单位。我们可以使用 IDA 验证一下,使用 getchar 卡住程序,然后调试程序:

可以看到 0x80000000 开始的位置确实是 four.bin 文件的数据。往下看直到 0x80000FFF的位置都是0值,从 0x80001000开始就不是进程空间地址了。

我们再做一个实验,将映射长度改为8KB,访问4KB+1的位置会如何呢?

go 复制代码
0x80000000
00000033
Bus error

可以看到,访问 0x80000002 位置依然没有问题,但是访问 0x80001000 位置却出现了 Bus error。这个文档里面也说明了,出现这个错误是因为访问了超出文件映射结尾的页地址导致的。

我们看下 IDA 情况:

可以看到,后面的一页都是问号,访问这里面的虚拟地址就会出现 bus error。

第三个参数

权限标志位,没啥好说的,不如看文档。

需要注意的是,这里我们先全给 RWX,因为需要重定位,否则会报错。

第四个参数

只说一个MAP_FIXED,前面说到第一个参数的时候,我们传递了一个值给os,可是os不一定理我们。但是有些情况我们一定要os映射到指定的位置才行,比如段的加载。elf里面有 .text / .data 段,这两个段之间是有关系的,它们之间存在相互引用,如果不将这两个玩意挨着放,那么它们之间的一些相对偏移就会出问题。

所以,如何解决这个问题呢?就是传递 MAP_FIXED 标志位,它表示如果不能映射到我们指定的位置,干脆就直接失败。

加载段

好了,有了上面的基础,我们就可以自己实现 elf 的段加载了,其实就是调用 mmap 函数,将可加载段映射一下就完事。

不过需要考虑的事情有:当文件大小小于内存大小的时候,要怎么解决?

上面我们已经验证过了,如果直接映射会出 bus error。

所以,我们可以分两次映射,第二次映射一个匿名文件,是不是想到 maps 里面没名字的那一行了。

我们可以先看 linker 源码学习一下。

linker 源码

github.com/aosp-mirror...

由于linker的核心代码变化不会太大,所以强烈建议研究老版本的源码,弄清楚了再去看新版本的。

这里有一个图:

示例代码

ini 复制代码
#include <stdio.h>
#include <sys/mman.h>
#include <dlfcn.h>
#include <stdlib.h>
#include <string.h>
#include <elf.h>

#define PAGE_SIZE (4096)
#define PAGE_MASK (PAGE_SIZE - 1)
#define BASE (0x80000000)

int main()
{

    // FILE *fp = fopen("/data/local/tmp/four.bin", "rb");
    // void *addr = mmap((void *)0x80000000, 0x2000, PROT_EXEC | PROT_WRITE | PROT_READ, MAP_PRIVATE | MAP_FIXED, fileno(fp), 0);

    // fclose(fp);

    // printf("%p\n", addr);

    // printf("%08x\n", *(__uint8_t *)0x80000002);
    // // printf("%08x\n", *(__uint8_t *)0x80001000);

    // getchar();

    size_t elf64_header = sizeof(Elf64_Ehdr);

    Elf64_Ehdr *ehdr = (Elf64_Ehdr *)malloc(elf64_header);

    FILE *fp = fopen("/data/local/tmp/ls", "rb");

    // read Elf64_Ehdr bytes
    fread(ehdr, elf64_header, 1, fp);

    printf("e_phoff: %08x\n", ehdr->e_phoff);

    size_t elf64_phdr = sizeof(Elf64_Phdr);
    int phdr_num = ehdr->e_phnum;
    printf("phdr_num: %d\n", phdr_num);

    Elf64_Phdr *phdr = (Elf64_Phdr *)malloc(elf64_phdr * phdr_num);

    fseek(fp, ehdr->e_phoff, SEEK_SET);

    fread(phdr, elf64_phdr * phdr_num, 1, fp);

    uint64_t len;
    uint64_t tmp;
    uint64_t pbase;
    uint64_t extra_len;
    uint64_t extra_base;

    for (size_t i = 0; i < phdr_num; i++)
    {

        // printf("p_type: %d\n", phdr->p_type);
        if (phdr->p_type == PT_LOAD)
        {
            // 这里计算的是 pbase 的值
            tmp = BASE + phdr->p_vaddr & (~PAGE_MASK);
            // 看图可知,这里的文件大小加上 ( base + p_vaddr - pbase),也就是 mask off 的值
            len = phdr->p_filesz + (phdr->p_vaddr & PAGE_MASK);
            pbase = mmap(
                tmp,
                len,
                PROT_EXEC | PROT_WRITE | PROT_READ,
                MAP_PRIVATE | MAP_FIXED,
                fileno(fp),
                phdr->p_offset & (~PAGE_MASK));

            printf("mapped addr: %08x, %08x\n", pbase, len);

            tmp = (unsigned char *)(((unsigned)pbase + len + PAGE_SIZE - 1) & (~PAGE_MASK));
            if (tmp < (BASE + phdr->p_vaddr + phdr->p_memsz))
            {
                extra_len = BASE + phdr->p_vaddr + phdr->p_memsz - tmp;
                extra_base = mmap((void *)tmp, extra_len,
                                  PROT_EXEC | PROT_WRITE | PROT_READ,
                                  MAP_PRIVATE | MAP_FIXED | MAP_ANONYMOUS,
                                  -1, 0);
                printf("mapped addr: %08x, %08x\n", extra_base, extra_len);
            }
        }

        phdr++;
    }

    free(ehdr);
    free(phdr);
    fclose(fp);
    printf("mapped ok!!!");

    return 0;
}

运行结果如下:

makefile 复制代码
sailfish:/data/local/tmp # ./elf                                       
e_phoff: 00000040
phdr_num: 9
mapped addr: 80000000, 0005c45c
mapped addr: 8005d000, 000047a0
mapped addr: 80062000, 00003966
相关推荐
滚雪球~2 分钟前
npm error code ETIMEDOUT
前端·npm·node.js
沙漏无语3 分钟前
npm : 无法加载文件 D:\Nodejs\node_global\npm.ps1,因为在此系统上禁止运行脚本
前端·npm·node.js
supermapsupport5 分钟前
iClient3D for Cesium在Vue中快速实现场景卷帘
前端·vue.js·3d·cesium·supermap
brrdg_sefg6 分钟前
WEB 漏洞 - 文件包含漏洞深度解析
前端·网络·安全
胡西风_foxww13 分钟前
【es6复习笔记】rest参数(7)
前端·笔记·es6·参数·rest
m0_7482548814 分钟前
vue+elementui实现下拉表格多选+搜索+分页+回显+全选2.0
前端·vue.js·elementui
星就前端叭1 小时前
【开源】一款基于Vue3 + WebRTC + Node + SRS + FFmpeg搭建的直播间项目
前端·后端·开源·webrtc
m0_748234521 小时前
前端Vue3字体优化三部曲(webFont、font-spider、spa-font-spider-webpack-plugin)
前端·webpack·node.js
Web阿成1 小时前
3.学习webpack配置 尝试打包ts文件
前端·学习·webpack·typescript
jwensh2 小时前
【Jenkins】Declarative和Scripted两种脚本模式有什么具体的区别
运维·前端·jenkins