因此出于好奇,我今天尝试运行以下代码(与gcc -m32 1.c
一起编译):
int main(void)
{
// EB is the opcode for jmp rel/8
// FE is hex for -2
// So this is essentially an infinite loop
((void(*)(void))"\xEB\xFE")();
}
...而且有效!没有段错误,程序(正确吗?)进入无限循环。查看反汇编(
objdump -d a.out
),您可以看到对...的调用,无论地址0x8048480
是什么:080483d6 <main>:
....
80483e7: b8 80 84 04 08 mov $0x8048480,%eax
80483ec: ff d0 call *%eax
....
objdump -s -j .rodata a.out
提供:Contents of section .rodata:
8048478 03000000 01000200 ebfe00 ...........
~~~~
因此,它确实在执行字符串,该字符串存储在
.rodata
节中。所以我运行readelf --sections a.out
并得到:Section Headers:
[Nr] Name Type Addr Off Size ES Flg Lk Inf Al
[ 0] NULL 00000000 000000 000000 00 0 0 0
[ 1] .interp PROGBITS 08048154 000154 000013 00 A 0 0 1
[ 2] .note.ABI-tag NOTE 08048168 000168 000020 00 A 0 0 4
[ 3] .note.gnu.build-i NOTE 08048188 000188 000024 00 A 0 0 4
[ 4] .gnu.hash GNU_HASH 080481ac 0001ac 000020 04 A 5 0 4
[ 5] .dynsym DYNSYM 080481cc 0001cc 000040 10 A 6 1 4
[ 6] .dynstr STRTAB 0804820c 00020c 000045 00 A 0 0 1
[ 7] .gnu.version VERSYM 08048252 000252 000008 02 A 5 0 2
[ 8] .gnu.version_r VERNEED 0804825c 00025c 000020 00 A 6 1 4
[ 9] .rel.dyn REL 0804827c 00027c 000008 08 A 5 0 4
[10] .rel.plt REL 08048284 000284 000008 08 AI 5 23 4
[11] .init PROGBITS 0804828c 00028c 000023 00 AX 0 0 4
[12] .plt PROGBITS 080482b0 0002b0 000020 04 AX 0 0 16
[13] .plt.got PROGBITS 080482d0 0002d0 000008 00 AX 0 0 8
[14] .text PROGBITS 080482e0 0002e0 000182 00 AX 0 0 16
[15] .fini PROGBITS 08048464 000464 000014 00 AX 0 0 4
[16] .rodata PROGBITS 08048478 000478 00000b 00 A 0 0 4
[17] .eh_frame_hdr PROGBITS 08048484 000484 000034 00 A 0 0 4
[18] .eh_frame PROGBITS 080484b8 0004b8 0000e0 00 A 0 0 4
[19] .init_array INIT_ARRAY 08049f0c 000f0c 000004 04 WA 0 0 4
[20] .fini_array FINI_ARRAY 08049f10 000f10 000004 04 WA 0 0 4
[21] .dynamic DYNAMIC 08049f14 000f14 0000e8 08 WA 6 0 4
[22] .got PROGBITS 08049ffc 000ffc 000004 04 WA 0 0 4
[23] .got.plt PROGBITS 0804a000 001000 000010 04 WA 0 0 4
[24] .data PROGBITS 0804a010 001010 000008 00 WA 0 0 4
[25] .bss NOBITS 0804a018 001018 000004 00 WA 0 0 1
[26] .comment PROGBITS 00000000 001018 00001a 01 MS 0 0 1
[27] .symtab SYMTAB 00000000 001034 0003f0 10 28 45 4
[28] .strtab STRTAB 00000000 001424 0001bd 00 0 0 1
[29] .shstrtab STRTAB 00000000 0015e1 000105 00 0 0 1
因此,在ELF二进制文件中,该部分被标记为不可执行。但是在内存中,页面是可执行的(
cat /proc/xxx/maps
):08048000-08049000 r-xp 00000000 08:01 663551 /home/andrew/Desktop/a.out
08049000-0804a000 r--p 00000000 08:01 663551 /home/andrew/Desktop/a.out
0804a000-0804b000 rw-p 00001000 08:01 663551 /home/andrew/Desktop/a.out
我最初的猜测是这些部分之间的间距太小(在
AX
范围内同时存在A
和08048000-08049000
部分),因此Linux被迫为页面提供ELF许可位(AX | A == AX
)的并集。但是,即使增加了.rodata
节的大小(通过添加许多长字符串),包含.rodata
节的所有页面仍然可以执行。为什么是这样?(据记录,我在Linux内核4.11.7,GCC 7.1.1上运行,并且编译为64位仍显示此行为)
最佳答案
您不应调用节段(ELF既包含段又包含段mean different things)。
节仅在静态链接时才重要,并且可以完全删除(在运行时不需要)。在运行时只有段很重要,典型的ELF二进制文件将有两个段具有R-X
和RW-
权限。
通常将.rodata
部分与.text
部分合并并放入可执行段中。如果您使用--rosegment
链接程序(patch引入了此功能),则可以使用gold
标志进行更改。
您可以在readelf -Wl a.out
输出中看到节到段的映射。
更新:
没有.rodata
需要可执行的可移植情况。正如您在问题中所做的那样,可以构造一个需要它的非便携式程序。
合并.rodata
和.text
是一种优化:它需要两个mmap
调用而不是三个(与--rosegment
链接的程序将具有三个单独的PT_LOAD
段,分别具有R-X
,R--
和R-W
保护),并且也减少了虚拟空间的碎片。此外,在Linux上,整个映射在系统范围内受到限制,因此,如果您将所有内容都与--rosegment
链接,则可以一次运行的程序总数减少50%。
更新2:
最近的Linux发行版停止了.text
和.rodata
的合并,现在有三个或四个单独的LOAD
段。参见this answer。
关于linux - .rodata节已加载到可执行页面中,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/44938745/