ELF 二进制动态库提取指南：解析 `.dt_needed` 节

Linux

2024-03-05 19:43:51

查找 ELF 二进制所需的动态库

ELF（可执行和链接格式）是一种广泛使用的文件格式，用于存储可执行文件、代码段和共享库等信息。了解如何提取 ELF 二进制所需的动态库至关重要，因为这有助于调试、分析并深入了解其与系统组件的交互。

深入 ELF 文件格式

ELF 文件由多个节组成，每个节包含特定类型的数据。对于我们的目标，关键节包括：

.interp: 指向解释器的路径。
.dynamic: 指向动态链接程序的信息。
.dt_needed: 所需共享库的列表。

提取动态库列表

要提取 ELF 二进制的动态库列表，我们可以采取以下步骤：

打开 ELF 文件： 使用 ElfW(Ehdr) 结构和 mmap() 函数打开 ELF 文件。
查找 .dynamic 节： 解析 ELF 头部，以找到 .dynamic 节的节头。
解析 .dynamic 节： 遍历 .dynamic 节，查找 DT_NEEDED 项。每个 DT_NEEDED 项都指向一个包含所需共享库名称的字符串。
存储库名称： 将提取的共享库名称存储在列表中。

代码实现

以下 C++ 代码展示了如何实现这些步骤：

int main() {
  // 打开 ELF 文件
  int fd = open("binary.elf", O_RDONLY);
  if (fd == -1) { perror("open"); return 1; }

  // 映射 ELF 文件
  void* data = mmap(NULL, 4096, PROT_READ, MAP_PRIVATE, fd, 0);
  if (data == MAP_FAILED) { perror("mmap"); return 1; }

  // 解析 ELF 头部
  ElfW(Ehdr)* header = (ElfW(Ehdr)*)data;

  // 查找 .dynamic 节
  ElfW(Shdr)* dynamic_section = nullptr;
  for (int i = 0; i < header->e_shnum; i++) {
    ElfW(Shdr)* section = (ElfW(Shdr)*)(data + header->e_shoff + i * header->e_shentsize);
    if (section->sh_type == SHT_DYNAMIC) {
      dynamic_section = section;
      break;
    }
  }

  if (dynamic_section == nullptr) { std::cerr << ".dynamic section not found" << std::endl; return 1; }

  // 解析 .dynamic 节
  std::vector<std::string> libraries;
  char* dynamic_data = (char*)(data + dynamic_section->sh_offset);
  for (int i = 0; i < dynamic_section->sh_size; i += sizeof(ElfW(Dyn))) {
    ElfW(Dyn)* dynamic_entry = (ElfW(Dyn)*)(dynamic_data + i);
    if (dynamic_entry->d_tag == DT_NEEDED) {
      char* library_name = (char*)(data + dynamic_entry->d_un.d_val);
      libraries.push_back(library_name);
    }
  }

  // 打印动态库列表
  for (const auto& library : libraries) { std::cout << library << std::endl; }

  // 取消映射
  munmap(data, 4096);

  // 关闭 ELF 文件
  close(fd);

  return 0;
}