synopsis
可以使用 readelf ,objdump,hexdump等工具查看 二进制程序内的.interp段信息。
1. 使用readelf查看.interp段
readelf 是一个查看ELF(Executable and Linkable Format)文件信息的工具,特别适合查看ELF头和各个段的信息。
bash
# readelf
# -h 、--file-headers 展示文件开始位置的 ELF头信息。
# -l 、--program-headers 、--segments 展示文件段头(segment headers)内的信息。
readelf -l <your-elf-file>这将显示ELF文件的程序头(program-headers),其中包括所有的段信息。
如下图所示,100这个程序的 INTERP段的offset是:0x00000000000002a8,它指向了动态链接器的路径。(通常是/lib64/ld-linux-x86-64.so.2)(查看二进制依赖可以用 ldd <your-elf-file> 来查看。就会发现有ld.so)
如果想查看具体的内容,可以用,readelf -p .interp <your-elf-file>。这将显示.interp的具体内容。
2. 使用objdump 查看 .interp段
使用 objdump -s -j .interp 查看,使用-s查看节区(segment)的内容。
(-s参数=--full-contents,表示请求的任意段的完整内容,默认展示所有的非空节)
(-j 参数= --segment=name ,表示只展示给定 section 的 信息。
这将显示 .interp段的内容,通常是链接器路径的字符串。
附:如果是 objdump -s <you-elf-file> 通常是展示所有段(section)的信息。
3. 使用hexdump查看.interp段的内容。
如果更倾向于用手动分析,可以用 hexdump 或者 xxd 来查看文件中 .interp段的内容。首先找到.interp段的偏移量(offset),然后使用hexdump查看该段内容。
假设.interp段偏移量在 0x00000000000002a8,则可以使用 如下命令:
bash
hexdump -C -s 0x2a8 -n 32 <your_elf_file>
# -C 表示 Canonical hex+ASCII display。典型的 16进制+ASCII码表示。以16进制格式展示输入偏置,跟随输入数据的8个"空格分隔,5列,0填充" 的2byte单元。
# -n 表示 lenght,表示只解释输入数据的 几个字节。这将显示从 0x2a8开始的32字节内容。
总结
要查看 ELF 文件中的 .interp 段,可以使用以下方法:
readelf -l <your_elf_file>查看程序头,找到 INTERP 段。readelf -p .interp <your_elf_file>查看 .interp 段的内容(动态链接器路径)。objdump -s -j .interp <your_elf_file>显示 .interp 段的详细内容。- 使用 hexdump 或 xxd 以十六进制格式手动查看该段。