如何从 ELF 二进制文件中删除程序头

发布于 2024-11-05 02:23:50 字数 192 浏览 1 评论 0原文

我想编写一个实用程序来从 ELF 二进制文件中删除程序头。例如，当我运行 readelf -l /my/elf 时，我会得到所有程序头的列表：PHDR INTERP ... GNU_STACK GNU_RELRO。当我运行我的实用程序时，我希望以相同的顺序返回所有相同的程序头，减去我删除的程序头。有没有比从头开始重新创建整个 ELF 并跳过不需要的标头更简单的方法呢？

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

坏尐絯 2024-11-12 02:23:50

有没有比从头开始重新创建整个 ELF 更简单的方法

？当然：程序头在 ehdr.e_phoff 给定的偏移量处形成一个固定记录表，其中包含 .e_phnum .e_phentsize 字节的条目。

要删除一个条目，只需将其余条目复制到其上，然后递减 .e_phnum 即可。这就是全部内容了。

请注意：删除某些条目可能会导致动态加载器崩溃。 GNU_STACK 是唯一可以删除而不会造成太大损害的标头（我能想到的）。

更新：

是的，将 .p_type 设置为 PT_NULL 是另一种（也是更简单的）方法。但是这样的条目通常不会出现，并且您可能会发现某些系统中 PT_NULL 将在加载程序（或其他程序）中触发断言。

最后，添加新的 Phdr 可能会很棘手。通常没有空间来扩展表格（因为它后面紧跟着一些其他数据，例如.text）。您可以将表重新定位到文件末尾，并设置.e_phoff和.e_phnum以对应于新表，但许多程序期望整个Phdr 表要在运行时加载并可用，这并不容易安排，因为文件末尾的新位置不会被任何 PT_LOAD 段“覆盖”。