Linux Hook技术（三）

转载自：https://blog.csdn.net/yyttiao/article/details/7358578
今天主要讲述的是ELF 文件的另一个大块叫节头(Section Headers),那么什么叫节头呢.节头里面分散着不同的段,有.bss .text .init .data .got .shstrtab 等等.节头表主要是在连接的角度看待ELF的.每一个节都保存着该节特有的数据,由于节中数据的用途不同,节被分为不同的类型,每种类型都又自己组织数据的方式.有的节储存着一些字符串,例如前面提过的.shstrtab 这个节,就专门储存节对应名词的字符串.今天这一节内容,我们就用使用这个节,获取节的名字.

下面按照我们每一次的惯例,先看一下结构体说明,然后再逐一介绍每一个成员,在前面几节中,我们主要是对ELF进行一个全面的了解,为以后进行HOOK做充分的准备.因为那部分得在ELF文件的基础上去实施的,好了.加油吧~~~

详细说明请参阅 elf.h

/* Section header.  */
typedef struct
{
  Elf32_Word    sh_name;     /* Section name (string tbl index) */
  Elf32_Word    sh_type;     /* Section type */
  Elf32_Word    sh_flags;    /* Section flags */
  Elf32_Addr    sh_addr;     /* Section virtual addr at execution */
  Elf32_Off sh_offset;   /* Section file offset */
  Elf32_Word    sh_size;     /* Section size in bytes */
  Elf32_Word    sh_link;     /* Link to another section */
  Elf32_Word    sh_info;     /* Additional section information */
  Elf32_Word    sh_addralign;    /* Section alignment */
  Elf32_Word    sh_entsize;  /* Entry size if section holds table */
} Elf32_Shdr;

sh_name: 该成员是字符串表中的一个索引

通过该索引就可以获取这个节所对应的节的名字.通常同节的类型(sh_type)来判断当前是属于什么节.

sh_type: 节的类型

这个成员可以告诉我们这个节里面存放的到底是什么数据,对于不同的数据,我们再通过不同的数据结构去获取数据

sh_flags: 节的属性

这个成员指定该节的内容是否可读可写等属性,具体定义如下:

#define SHF_WRITE        (1 << 0)
/* Writable */
#define SHF_ALLOC        (1 << 1)
/* Occupies memory during execution */
#define SHF_EXECINSTR    (1 << 2)
/* Executable */
#define SHF_MERGE        (1 << 4)
/* Might be merged */
#define SHF_STRINGS  (1 << 5)
/* Contains nul-terminated strings */
#define SHF_INFO_LINK    (1 << 6)
/* `sh_info' contains SHT index */
#define SHF_LINK_ORDER(1 << 7)
/* Preserve order after combining */
#define SHF_OS_NONCONFORMING (1 << 8)
/* Non-standard OS specific handling required */

sh_addr: 指向进程空间内的虚拟地址

如果这个节需要被加载到进程中,那么该字段就指向内存中的虚拟地址

sh_offset: 指向文件空间内的绝对偏移(相对整个文件的起始地址的)

该地址可以获取到很多关于节内容的信息.

sh_size: 节的内容大小

如果此节在文件中占用一定的字节,那么这个字段给出了该节所占用的字节大小,

如果此节不存在于文件却在内存中,那么这个字段给出了该节在内存中的字节大小

sh_link: 如果这个节于别的节相连,那么这个字段给出了相关的节在节头中的索引

sh_info: 额外的信息

对于部分节来说,还有一些额外的信息.

sh_addralign: 地址对齐

对于双字节等数据格式,很多时候必须对数据进行必要的对齐,来保证数据的准确存储,这个数是2的整数次幂,对齐只能有2字节对齐,4字节对齐,8字节对齐等,如果是0或者1表示这个节不用对齐.

sh_entsize: 指定节内部数据的大小

这个字段代表字节大小的数,对于某些字节才有意义,例如动态符号节来说,这个字段就给出动态符号表中每一个符号结构的字节大小.

上面说到,要获取节的名字要怎么做呢.sh_name字段只是保存了一个值,并不是字符串地址,那要怎么才能获取字符串呢.在前面讲述的第一个ELF Head的时候有这样一个字段e_shstrndx这个成员就是指向字符串表的索引,就可以知道找到节点中的字符串节表了.

同样在遍历节头的时候,如果字段类型等于SHT_STRTAB,那么对应的也就是字符串表.但是为了方便,在ELF Head中已经指出了他所对应的索引了.在字符串表中是以一系列的'\0'结尾的字符串,在这个节的第一个字节也是0,为什么第一个字节会是0呢,其实这就是空字符串.在这个节的最后一个字节也是0. 因为字符串的最后一个都市'\0'.

既然找到了字符串表,那怎么获取他里面的名字呢,其实可以把字符串表当成一个很大的char型数组sh_name就是所需要的字符串的首字符,通过字符串表首地址加上相对的偏移量就是对应的字符串的名字了.

下面我们就来通过代码来加深印象..

示例代码:

#include "readShdr.h"
SectionType secTyoe[] = {
    {0, "NULL"},
    {1, "SHT_PROGBITS"},
    {2, "SHT_SYMTAB"},
    {3, "SHT_STRTAB"},
    {4, "SHT_RELA"},
    {5, "SHT_HASH"},
    {6, "SHT_DYNAMIC"},
    {7, "SHT_NOTE"},
    {8, "SHT_NOBITS"},
    {9, "SHT_REL"},
    {10, "SHT_SHLIB"},
    {11, "SHT_DYNSYM"},
    {14, "SHT_INIT_ARRAY"},
    {15, "SHT_FINI_ARRAY"},
    {16, "SHT_PREINIT_ARRAY"},
    {17, "SHT_GROUP"},
    {18, "SHT_SYMTAB_SHNDX"},
    {19, "SHT_NUM"},
    {0x60000000, "SHT_LOOS"},
    {0x6ffffff6, "SHT_GNU_HASH"},
    {0x6ffffff7, "SHT_GNU_LIBLIST"},
    {0x6ffffff8, "SHT_CHECKSUM"},
    {0x6ffffffa, "SHT_LOSUNW"},
    {0x6ffffffb, "SHT_SUNW_move"},
    {0x6ffffffc, "SHT_SUNW_COMDAT"},
    {0x6ffffffd, "SHT_SUNW_syminfo"},
    {0x6ffffffe, "SHT_GNU_verdef"},
    {0x6fffffff, "SHT_GNU_verneed"},
    {0x70000000, "SHT_LOPROC"},
    {0x7fffffff, "SHT_HIPROC"},
    {0x80000000, "SHT_LOUSER"},
    {0x8fffffff, "SHT_HIUSER"},
};
char *findSecTypeName(unsigned int type)
{
    int i = 0;
    for (i = 0; i < sizeof(secTyoe) / sizeof(SectionType); i++)
    {
        if (secTyoe[i].type == type)
        {
            return secTyoe[i].typeName;
            break;
        }
    }
    return secTyoe[0].typeName;
}
void displayShdr(Elf32_Ehdr *ehdr, Elf32_Shdr *shdr)
{
    int py = ehdr->e_shstrndx * sizeof(Elf32_Shdr);
    Elf32_Shdr *symtab = (Elf32_Shdr *)((char *)shdr + py);
    printf("symtab 0x%x\n", symtab);
    char *szShdrName = (char *)(symtab->sh_offset + (char *)ehdr);
    printf("e_shstrndx=%dsizeof(Elf32_Shdr)=%dshdr=x%x\n", ehdr->e_shstrndx, sizeof(Elf32_Shdr), shdr);
    printf("Section Headers: 0x%x\n", szShdrName);
    int i = 0;
    printf("[Nr] %-20s%-20s%-5s%-8s%-6s%-6s%-6s%-4s%-4s%-2s\n",
           "Name", "Type",
           "Flg", "Addr", "Off", "Size", "Lk", "Inf", "Al", "ES");
    for (i = 0; i < ehdr->e_shnum; i++)
    {
        printf("[%-2d] %-20s", i, szShdrName + shdr->sh_name);
        printf("%-20s", findSecTypeName(shdr->sh_type));
        printf("%-5x", shdr->sh_flags);
        printf("%-08x", shdr->sh_addr);
        printf("%-06x", shdr->sh_offset);
        printf("%-06x", shdr->sh_size);
        printf("%-4x", shdr->sh_link);
        printf("%-4x", shdr->sh_info);
        printf("%-4x", shdr->sh_addralign);
        printf("%-02x\n", shdr->sh_entsize);
        shdr++;
    }
}