问题:
如下图所示,第一个是text段、第二个是data段,Align对齐:0x1000(4kb)对齐。
问: 为什么data段虚拟地址的起始位置不是0x08049000?
答:
下面这幅图是程序执行后的内存分布图,第一个是text段区域,第二个是只读数据区,第三个是读写数据区。
根据下面这个程序运行时的内存分布图可以知道,0x49000开始的区域是只读数据。
主要组成是填充区域和.ctors,.dtors,.dynamic,.got部分(重定位完成后的只读数据区域)
,这个可以根据上面的ELF格式中第二个需要加载的data段虚拟起始位置为0x08049f08(EFL规范p_vaddr ( mod PAGE_SIZE )=p_offset ( mod PAGE_SIZE )
),那么可以从内存中看到0x08049000到0x08049f08的值是填充值,并且根据上面图中ELF格式中的GNU_RELRO
(内存中的地址刚好是一个内存页的尾部:0x08049f08-0x0804a000),参考[3]中的解释,这个内存页尾部包含了重定位后的只读数据。
然后下一个内存页0x084a000-0x084b000就是可以读写的数据段(填充数据+只读数据
)
**小结:**所以从内存分布可以看见,这个32位文件的数据段起始位置其实是0x08049000的,
主要包含:填充区域 + 只读数据 + 读写数据 + 填充区域
扩充:64位ELF可执行文件
下面是64位文件的文件格式:
- text段、data段是200000对齐的。
- text段在内存空间可以用的区域:0x400000-0x600000
- data段在内存空间可以用的区域:0x600000-0x800000
- data段和text段在内存空间里,中间有0x1000大小的只读数据区域
小结
可以看到32、64位ELF文件text段和data段中间的有很多填充区域,都可以作为病毒体的存储位置
参考
elf官方规范: http://refspecs.linuxbase.org/elf/elf.pdf
Linux/Unix环境中ELF格式病毒的分析 https://www2.isye.gatech.edu/~yxie77/computer_engineering.pdf
[3]Acronyms relevant to Executable and Linkable Format (ELF) https://www.cs.stevens.edu/~jschauma/631/elf.html