一步一步走进Linux HOOK API(三) Linux

一步一步走进Linux HOOK API(三) 经过前两篇的教程,我很郁闷,CSDN的博客发布出来之后,跟我的排版完全不一样了,等这一系列的内容全部完成完成之后,我会发布该系列的全部doc文件,如果觉得本系列还不错的话,欢迎大家下载收藏..谢谢支持~~~
下面进入正题,今天主要讲述的是ELF 文件的另一个大块叫节头(Section Headers),那么什么叫节头呢.节头里面分散着不同的段,有.bss .text .init .data .got .shstrtab 等等.节头表主要是在连接的角度看待ELF的.每一个节都保存着该节特有的数据,由于节中数据的用途不同,节被分为不同的类型,每种类型都又自己组织数据的方式.有的节储存着一些字符串,例如前面提过的.shstrtab 这个节,就专门储存节对应名词的字符串.今天这一节内容,我们就用使用这个节,获取节的名字.
下面按照我们每一次的惯例,先看一下结构体说明,然后再逐一介绍每一个成员,在前面几节中,我们主要是对ELF进行一个全面的了解,为以后进行HOOK做充分的准备.因为那部分得在ELF文件的基础上去实施的,好了.加油吧~~~
详细说明请参阅 elf.h

/* Section header.*/ typedef struct { Elf32_Word sh_name; /* Section name (string tbl index) */ Elf32_Word sh_type; /* Section type */ Elf32_Word sh_flags; /* Section flags */ Elf32_Addr sh_addr; /* Section virtual addr at execution */ Elf32_Off sh_offset; /* Section file offset */ Elf32_Word sh_size; /* Section size in bytes */ Elf32_Word sh_link; /* Link to another section */ Elf32_Word sh_info; /* Additional section information */ Elf32_Word sh_addralign; /* Section alignment */ Elf32_Word sh_entsize; /* Entry size if section holds table */ } Elf32_Shdr;

sh_name: 该成员是字符串表中的一个索引
【一步一步走进Linux HOOK API(三)】通过该索引就可以获取这个节所对应的节的名字.通常同节的类型(sh_type)来判断当前是属于什么节.
sh_type: 节的类型
这个成员可以告诉我们这个节里面存放的到底是什么数据,对于不同的数据,我们再通过不同的数据结构去获取数据
sh_flags: 节的属性
这个成员指定该节的内容是否可读可写等属性,具体定义如下:

#define SHF_WRITE(1 << 0) /* Writable */ #define SHF_ALLOC(1 << 1) /* Occupies memory during execution */ #define SHF_EXECINSTR(1 << 2) /* Executable */ #define SHF_MERGE(1 << 4) /* Might be merged */ #define SHF_STRINGS(1 << 5) /* Contains nul-terminated strings */ #define SHF_INFO_LINK(1 << 6) /* `sh_info' contains SHT index */ #define SHF_LINK_ORDER(1 << 7) /* Preserve order after combining */ #define SHF_OS_NONCONFORMING (1 << 8) /* Non-standard OS specific handling required */

sh_addr: 指向进程空间内的虚拟地址
如果这个节需要被加载到进程中,那么该字段就指向内存中的虚拟地址

sh_offset:指向文件空间内的绝对偏移(相对整个文件的起始地址的)
该地址可以获取到很多关于节内容的信息.

sh_size: 节的内容大小
如果此节在文件中占用一定的字节,那么这个字段给出了该节所占用的字节大小,
如果此节不存在于文件却在内存中,那么这个字段给出了该节在内存中的字节大小

sh_link:如果这个节于别的节相连,那么这个字段给出了相关的节在节头中的索引

sh_info: 额外的信息
对于部分节来说,还有一些额外的信息.

sh_addralign:地址对齐
对于双字节等数据格式,很多时候必须对数据进行必要的对齐,来保证数据的准确存储,这个数是2的整数次幂,对齐只能有2字节对齐,4字节对齐,8字节对齐等,如果是0或者1表示这个节不用对齐.

sh_entsize: 指定节内部数据的大小
这个字段代表字节大小的数,对于某些字节才有意义,例如动态符号节来说,这个字段就给出动态符号表中每一个符号结构的字节大小.

上面说到,要获取节的名字要怎么做呢.sh_name字段只是保存了一个值,并不是字符串地址,那要怎么才能获取字符串呢.在前面讲述的第一个ELF Head的时候有这样一个字段e_shstrndx这个成员就是指向字符串表的索引,就可以知道找到节点中的字符串节表了.
同样在遍历节头的时候,如果字段类型等于SHT_STRTAB,那么对应的也就是字符串表.但是为了方便,在ELF Head中已经指出了他所对应的索引了.在字符串表中是以一系列的'\0'结尾的字符串,在这个节的第一个字节也是0,为什么第一个字节会是0呢,其实这就是空字符串.在这个节的最后一个字节也是0. 因为字符串的最后一个都市'\0'.
既然找到了字符串表,那怎么获取他里面的名字呢,其实可以把字符串表当成一个很大的char型数组sh_name就是所需要的字符串的首字符,通过字符串表首地址加上相对的偏移量就是对应的字符串的名字了.
下面我们就来通过代码来加深印象..
示例代码:

#include "readShdr.h" SectionType secTyoe[] = { {0,"NULL"},{1,"SHT_PROGBITS"}, {2,"SHT_SYMTAB"},{3,"SHT_STRTAB"}, {4,"SHT_RELA"},{5,"SHT_HASH"}, {6,"SHT_DYNAMIC"},{7,"SHT_NOTE"}, {8,"SHT_NOBITS"},{9,"SHT_REL"}, {10,"SHT_SHLIB"},{11,"SHT_DYNSYM"}, {14,"SHT_INIT_ARRAY"},{15,"SHT_FINI_ARRAY"}, {16,"SHT_PREINIT_ARRAY"},{17,"SHT_GROUP"}, {18,"SHT_SYMTAB_SHNDX"},{19,"SHT_NUM"}, {0x60000000,"SHT_LOOS"},{0x6ffffff6,"SHT_GNU_HASH"}, {0x6ffffff7,"SHT_GNU_LIBLIST"},{0x6ffffff8,"SHT_CHECKSUM"}, {0x6ffffffa,"SHT_LOSUNW"},{0x6ffffffb,"SHT_SUNW_move"}, {0x6ffffffc,"SHT_SUNW_COMDAT"},{0x6ffffffd,"SHT_SUNW_syminfo"}, {0x6ffffffe,"SHT_GNU_verdef"},{0x6fffffff,"SHT_GNU_verneed"}, {0x70000000,"SHT_LOPROC"},{0x7fffffff,"SHT_HIPROC"}, {0x80000000,"SHT_LOUSER"},{0x8fffffff,"SHT_HIUSER"}, }; char* findSecTypeName(unsigned int type) { int i = 0; for(i = 0; i < sizeof(secTyoe) / sizeof(SectionType); i++){ if(secTyoe[i].type == type){ return secTyoe[i].typeName; break; } } return secTyoe[0].typeName; } void displayShdr(Elf32_Ehdr *ehdr,Elf32_Shdr *shdr) { int py = ehdr->e_shstrndx * sizeof(Elf32_Shdr); Elf32_Shdr *symtab = (Elf32_Shdr *)((char*)shdr + py); printf("symtab 0x%x\n",symtab); char *szShdrName = (char*)(symtab->sh_offset + (char*)ehdr); printf("e_shstrndx=%dsizeof(Elf32_Shdr)=%dshdr=x%x\n",ehdr->e_shstrndx,sizeof(Elf32_Shdr),shdr); printf("Section Headers: 0x%x\n",szShdrName); int i = 0; printf("[Nr] %-20s%-20s%-5s%-8s%-6s%-4s%-6s%-4s%-4s%-2s\n", "Name","Type","Addr","Off","Size","ES", "Flg","Lk","Inf","Al" ); for(i = 0; i < ehdr->e_shnum; i++){ printf("[%-2d] %-20s",i,szShdrName + shdr->sh_name); printf("%-20s",findSecTypeName(shdr->sh_type)); printf("%-5x",shdr->sh_flags); printf("%-08x",shdr->sh_addr); printf("%-06x",shdr->sh_offset); printf("%-06x",shdr->sh_size); printf("%-4x",shdr->sh_link); printf("%-4x",shdr->sh_info); printf("%-4x",shdr->sh_addralign); printf("%-02x\n",shdr->sh_entsize); shdr++; } }