页面权限存储在ELF二进制文件中的什么位置？

逆向工程 | 2021-01-05 | 编程黑洞网 | 0条评论 | 290 人阅读

也许我误会了它的工作原理，但是据我所知，ELF二进制文件可以为堆栈提供NX保护，也可以没有。我假设的是二进制文件中有一个地方可以说明这一点，但是我不确定该信息的确切存储位置。

如何从反汇编中找出ELF二进制文件的页面权限？

事实证明它在标题中，但我可能会将问题留给像我一样在谷歌搜索方面遇到麻烦的其他人。为我服务，因为不知道ELF标头格式。

好吧，您可以随时回答自己的问题。

只要有资格，我就会答应，除非有人花哨地回答：)

#1 楼

权限在程序标头的p_flags成员中。

       typedef struct {
           uint32_t   p_type;
           Elf32_Off  p_offset;
           Elf32_Addr p_vaddr;
           Elf32_Addr p_paddr;
           uint32_t   p_filesz;
           uint32_t   p_memsz;
           uint32_t   p_flags;
           uint32_t   p_align;
       } Elf32_Phdr;

       p_flags     This member holds a bit mask of flags relevant to the
                   segment:

                   PF_X   An executable segment.
                   PF_W   A writable segment.
                   PF_R   A readable segment.

                   A text segment commonly has the flags PF_X and PF_R.  A
                   data segment commonly has PF_X, PF_W and PF_R.

#2 楼

ELF二进制文件中包含名为“程序标头”的标头。当内核将二进制文件加载到内存中时，它只关心3种类型的头文件。

因此，是的，内核根据ELF中是否存在程序标头将堆栈设置为不可执行或可执行。 ELF进程以后可以使用PT_LOAD libc / system调用来赋予内存中特定页面的可执行特权。