如何在二进制文件中查找全局变量的值

背景

从二进制文件中找出一个初始化了的全局变量的值。

原理

初始化的全局变量的值，一定是在可执行文件中的，就看怎么定位到这个地址了。

环境说明

可执行二进制文件为 linux 下 elf 文件格式。二进制文件的符号表没被删除，并且知道这个全局变量名。

方法

先在文件中找到这个变量的地址。

readelf -s prob |grep accessID

319: 0000000000cf2610    16 OBJECT  GLOBAL DEFAULT    9 main.accessID
4414: 00000000009ad660    17 OBJECT  GLOBAL DEFAULT    2 main.accessID.str

prob 为二进制文件名，accessID 就是我想知道的全局变量名，readelf -s 查看 prob 的符号表，找到 accessID 这个变量。

从符号名上应该能看出第二条记录是我们需要的：(实际应该从第一条记录去找，因为我知道这个变量是个字符串，所以这个变量的值应该是个地址，而这个地址里的内容才是真正的字符串值。经验证，0xcf2610 这个地址的内容就是 0x9ad660)

名称 -> main.accessID.str
内存地址 -> 0x9ad660
size -> 17 字节

但是 0x9ad660 这个地址是应用加载进内存之后，在内存中的地址，并不是在二进制文件中的地址。

找到变量在文件中相对与文件头的偏移

readelf -S prob

There are 24 section headers, starting at offset 0x1c8:

Section Headers:
  [Nr] Name              Type             Address           Offset
       Size              EntSize          Flags  Link  Info  Align
  [ 0]                   NULL             0000000000000000  00000000
       0000000000000000  0000000000000000           0     0     0
  [ 1] .text             PROGBITS         0000000000401000  00001000
       0000000000424f78  0000000000000000  AX       0     0     16
  [ 2] .rodata           PROGBITS         0000000000826000  00426000
       000000000019e7c4  0000000000000000   A       0     0     32
  [ 3] .shstrtab         STRTAB           0000000000000000  005c47e0
       0000000000000193  0000000000000000           0     0     1
  [ 4] .typelink         PROGBITS         00000000009c4980  005c4980
       0000000000004078  0000000000000000   A       0     0     32
  [ 5] .itablink         PROGBITS         00000000009c89f8  005c89f8
       0000000000000f88  0000000000000000   A       0     0     8
  [ 6] .gosymtab         PROGBITS         00000000009c9980  005c9980
       0000000000000000  0000000000000000   A       0     0     1
  [ 7] .gopclntab        PROGBITS         00000000009c9980  005c9980
       00000000002fa65b  0000000000000000   A       0     0     32
  [ 8] .noptrdata        PROGBITS         0000000000cc4000  008c4000
       000000000002da61  0000000000000000  WA       0     0     32
  [ 9] .data             PROGBITS         0000000000cf1a80  008f1a80
       000000000000cb50  0000000000000000  WA       0     0     32
  [10] .bss              NOBITS           0000000000cfe5e0  008fe5e0
       000000000001fe50  0000000000000000  WA       0     0     32

readelf -S 查看文件的 section 表，可以看出我们要找的变量 0x9ad660 这个地址在.rodata 段(只读数据段，字符串在这个段应该没错了)，这个段的信息：

名称 -> .rodata
内存起始地址 -> 0x826000
相对于文件头的偏移 -> 0x426000
size -> 0x19e7c4 字节

根据 0x826000 < 0x9ad660 < (0x826000+0x19e7c4)，确定这个变量在这个段的。

设该变量在文件中的偏移为 X，则，

0x9ad660 - X = 0x826000 - 0x426000， X = 0x9ad660 - 0x400000 = 0x5ad660

输出这个变量的内容

hexdump prob -C -s 0x5ad660 -n 17

005ad660  4c 54 41 49 62 42 67 6a  62 39 59 59 72 4d 4b 68  |LTAIbBgjb9YYrMKh|
005ad670  00                                                |.|

既然找到了偏移，查看的方式有很多，其中**-C 是为了输出 ascii 值**，-s 起始地址，-n 17 是之前确认的 size 大小

结束

好多说不清楚，没办法再说下 elf 文件格式，程序加载到内存变成进程的过程，以及 section 和 segment 的区别。这些都可以在《程序员的自我修养》这本书上学到。

Windows 进程的内核对象句柄表

当一个进程被初始化时,系统要为它分配一个句柄表。该句柄表只用于内核对象 ,不用于用户对象或 GDI 对象。 [图片] 创建内核对象当进程初次被初始化时，它的句柄表是空的。然后，当进程中的线程调用创建内核对象的函数时，比如 CreateFileMapping，内核就为该对象分配一个内存块，并对它初始化。这时，内核对进程 ..

java 读取文件容易犯的错误

今天被安排一个工作，工作内容是要读取记事本中的内容。内容是二进制格式存储的。其中涉及到一个读取银行卡号，并且卡号的后 8 位用 des 进行了加密。我在读取文件的时候首先用百度到的资料 InputStreamReader read; read = new InputStreamReader(new FileInputS ..

某道 Pwn（格式化字符串漏洞）

格式化字符串漏洞近几年出现频率少了，但是一些 CTF 中还有涉及，就当玩玩好了。首先看这一段代码，什么比赛的题我忘了： #include int main(void) { int flag = 0; int *p = &flag; char a[100]; scanf('%s',a); printf(a); ..

旧设备焕发新生 -ArchLinux-xfce4 安装指南

前言 Linux 相比于 Windows，对于普通消费者而言，体验不如 MacOS 和 Windows。优点是轻量，可自行定制，安全性高，Windows 如果安装一个软件，许多能够通用的文件会被反复安装，导致占用空间，Linux 软件安装能够检查现有软件包，安装缺失的依赖，有点类似全量与增量。缺点是 Linux 部 ..

Linux 特殊权限

01 Linux 特殊权限 [TOC] **此前我们已经学习过 **r、w、 x 这三种权限，但在査询系统文件时会发现有一些其他权限的字母；比如：/usr/bin/passwd 文件，属主应该是 x 的权限位出现了 s，比如：/usr/bin/write 文件，属组应该是 x 的权限位出现了 s；比如：/tmp ..

欢迎来到这里！

我们正在构建一个小众社区，大家在这里相互信任，以平等 • 自由 • 奔放的价值观进行分享交流。最终，希望大家能够找到与自己志同道合的伙伴，共同成长。

关于