Extracción de Secciones ELF

1. ¿Qué hace este código?

Este código analiza un archivo ELF y extrae información sobre sus secciones, incluyendo:

  • .text → Contiene el código ejecutable.
  • .data → Contiene datos inicializados.
  • .bss → Contiene datos no inicializados.
  • .rodata → Contiene datos de solo lectura.
  • .plt → Tabla de enlace de procedimientos (para llamadas a funciones externas).

2. Código fuente en C

Archivo de encabezado: elf_sections.h

#ifndef ELF_SECTIONS_H #define ELF_SECTIONS_H #include <stdio.h> #include <stdlib.h> #include <elf.h> void extraer_secciones_elf(const char *archivo); #endif // ELF_SECTIONS_H

Archivo fuente: elf_sections.c

#include "elf_sections.h" #include <fcntl.h> #include <unistd.h> #include <string.h> #include <libelf.h> void extraer_secciones_elf(const char *archivo) { int fd = open(archivo, O_RDONLY); if (fd < 0) { perror("Error al abrir el archivo ELF"); return; } if (elf_version(EV_CURRENT) == EV_NONE) { fprintf(stderr, "Error: versión ELF no soportada.\\n"); close(fd); return; } Elf *elf = elf_begin(fd, ELF_C_READ, NULL); if (!elf) { fprintf(stderr, "Error al leer el archivo ELF.\\n"); close(fd); return; } Elf64_Shdr *shdr; Elf_Scn *scn = NULL; size_t shstrndx; if (elf_getshdrstrndx(elf, &shstrndx) != 0) { fprintf(stderr, "Error al obtener índice de nombres de secciones.\\n"); elf_end(elf); close(fd); return; } printf("\\n--- Secciones ELF encontradas ---\\n"); while ((scn = elf_nextscn(elf, scn)) != NULL) { shdr = elf64_getshdr(scn); const char *nombre_seccion = elf_strptr(elf, shstrndx, shdr->sh_name); if (nombre_seccion) { if (strcmp(nombre_seccion, ".text") == 0 || strcmp(nombre_seccion, ".data") == 0 || strcmp(nombre_seccion, ".bss") == 0 || strcmp(nombre_seccion, ".rodata") == 0 || strcmp(nombre_seccion, ".plt") == 0) { printf("Sección: %s\\n", nombre_seccion); printf("Dirección en memoria: 0x%lx\\n", shdr->sh_addr); printf("Tamaño: %lu bytes\\n", shdr->sh_size); printf("Tipo de sección: %u\\n", shdr->sh_type); printf("-----------------------------------\\n"); } } } elf_end(elf); close(fd); }

Código de ejecución: main.c

#include "elf_sections.h" int main(int argc, char *argv[]) { if (argc < 2) { printf("Uso: %s <archivo ELF>\\n", argv[0]); return 1; } extraer_secciones_elf(argv[1]); return 0; }

3. Pasos para compilar y ejecutar

  1. Instalar libelf si no está instalada: sudo apt-get install libelf-dev
  2. Compilar el programa: gcc -o elf_sections main.c elf_sections.c -lelf
  3. Ejecutar el análisis ELF: ./elf_sections ejecutable.elf

4. Interpretación de las secciones ELF

Sección Propósito
.text Contiene el código ejecutable del programa.
.data Contiene datos inicializados.
.bss Contiene datos no inicializados.
.rodata Contiene datos de solo lectura.
.plt Tabla de enlace de procedimientos (para llamadas a funciones externas).

Este código ahora extrae información detallada de las secciones ELF, mostrando nombres, direcciones, tamaños y tipos.

Comentarios

Publicar un comentario

Entradas populares de este blog

UTF-8 con y sin BOM

Imagen
1. ¿Qué es el BOM en UTF-8? El Byte Order Mark (BOM) es un conjunto especial de bytes al inicio de un archivo de texto, que indica la codificación utilizada. En UTF-8, el BOM está representado por los bytes: EF BB BF Este marcador no es obligatorio en UTF-8, pero algunos programas lo utilizan para identificar el formato del archivo. 2. Diferencias entre UTF-8 con BOM y UTF-8 sin BOM Característica UTF-8 con BOM UTF-8 sin BOM Presencia de marcador BOM Sí ( EF BB BF ) No Compatibilidad con sistemas Pueden causar problemas en algunos programas Más compatible Uso en archivos de código fuente No recomendado Recomendado Sistemas UNIX/Linux Puede mostrarse como caracteres basura (  ) ...
Leer más

Edición y Estructura de Archivos ELF

Imagen
Este código hexadecimal representa la cabecera de un archivo ELF (Executable and Linkable Format) , que es un formato de archivo ejecutable utilizado en sistemas operativos como Linux y Unix. 7f45 4c46 0201 0100 0000 0000 0000 0000 0300 3e00 0100 0000 8011 0000 0000 0000 4000 0000 0000 0000 2839 0000 0000 0000 0000 0000 4000 3800 0d00 4000 1f00 1e00 0600 0000 0400 0000 4000 0000 0000 0000 4000 0000 0000 0000 4000 0000 0000 0000 d802 0000 0000 0000 d802 0000 0000 0000 0800 0000 0000 0000 0300 0000 0400 0000 1803 0000 0000 0000 1803 0000 0000 0000 1803 0000 0000 0000 1c00 0000 0000 0000 1c00 0000 0000 0000 0100 0000 0000 0000 0100 0000 0400 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 a008 0000 0000 0000 a008 0000 0000 0000 0010 0000 0000 0000 0100 0000 0500 0000 0010 0000 0000 0000 0010 0000 0000 0000 0010 0000 0000 0000 cd07 0000 0000 0000 cd07 0000 0000 0000 0010 0000 0000 0000 0100 0000 0400 0000 0020 0000 0000 0000 0020 0000 0000 0000 0020 0000 0000 00...
Leer más

Análisis de Archivos ELF y Llamadas al Sistema

Imagen
1. Relación entre funciones ELF y llamadas al sistema Las funciones dentro de un archivo ELF interactúan con el sistema operativo a través de llamadas al sistema (syscalls) . Estas llamadas permiten que los programas accedan a recursos del sistema, como archivos, memoria y procesos. Cuando un programa ejecutable en formato ELF necesita realizar una operación como leer un archivo o asignar memoria, no lo hace directamente. En su lugar, llama a una función de biblioteca (como open() o malloc() ), que a su vez invoca una llamada al sistema para comunicarse con el kernel. 2. Código fuente en C para extraer funciones y llamadas al sistema Archivo de encabezado: elf_syscalls.h #ifndef ELF_SYSCALLS_H #define ELF_SYSCALLS_H #include <stdio.h> #include <stdlib.h> #include <elf.h> void extraer_funciones_detalladas(const char *archivo); void obtener_syscalls(const char *archivo); #endif // ELF_SYSCALLS_H Archivo fuente: elf...
Leer más