Вопросы Теги

Получить абсолютные адреса памяти вместо относительных смещений из hexdump

Эх... наконец-то я использую другие правила вместо pac и попробовал Privoxy и это работает. Вот что я сделал.

  1. Установите Privoxy и слушайте 127.0.0.1:1234.
  2. Получаем gfwlist.txt и конвертируем его в файл действий Privoxy.
  3. В файле действий некоторые url будут отправляться через прокси, а другие подключаться напрямую.

1
26.04.2019, 17:49
2 ответа

Hexdump ничего не знает об адресах (или памяти ). Он просто печатает поток байтов и добавляет к нему префикс с количеством байтов, просмотренных до сих пор. Если его ввод поступает из файла, эти числа, таким образом, соответствуют позиции в файле.

Чтобы выяснить, где эти байты оказываются в памяти после загрузки файла, необходимо просмотреть метаданные в файле. Для файлов ELF это означает заголовки разделов (, а иногда и заголовки программ ).

readelf -S path/to/your/binaryпоказывает что-то вроде этого:

Section Headers:
  [Nr] Name              Type             Address           Offset
       Size              EntSize          Flags  Link  Info  Align
…
  [13].text             PROGBITS         000000000050eac0  0010eac0
       0000000001833275  0000000000000000  AX       0     0     16
…

Здесь значение в разделе «Смещение» — это позиция в файле, где начинается конкретный раздел, а значение в разделе «Адрес» — это соответствующий виртуальный адрес (, где он заканчивается в памяти ). Вам просто нужно добавить разницу между этими двумя числами из hexdump, чтобы получить адреса.

Вы также можете использовать objdump -h path/to/your/binaryдля получения тех же данных:

Sections:
Idx Name          Size      VMA               LMA               File off  Algn
…
 12.text         01833275  000000000050eac0  000000000050eac0  0010eac0  2**4
                  CONTENTS, ALLOC, LOAD, READONLY, CODE
…

Опять же,«File off» — это смещение в файле, а «VMA» — соответствующий виртуальный адрес. Если вам интересно, что такое «LMA», посмотрите здесь .

3
27.01.2020, 23:22

Насколько я понимаю, абсолютные физические адреса хорошо защищены. Но есть способ найти логические адреса. В учебных целях вы можете написать простую программу на языке C, которая содержит бесконечный цикл и работает в фоновом режиме. Во время работы программы вы можете использовать «pmap», утилиту Linux, чтобы обойти виртуальный адрес вашей программы. команда для запуска исполняемого файла в фоновом режиме в Linux zsh:

executable_filename&
pmap -x process_id

0
24.03.2021, 17:39

Теги

Похожие вопросы

  • 0
    Шаги загрузки Grub 23.08.2021
    Устанавливаю gentoo. В загрузчике Grub не может найти ядро, что странно, потому что его существование было проверено перед перезагрузкой машины. Кажется, нет ни команды «root», ни «kernel», ни «vmlinuz». Hexdumping gpt1 и gpt2
  • 7
    Преобразование из двоичного в шестнадцатеричный и обратно 20.03.2017
    Как вы преобразовали двоичный файл в шестнадцатеричную строку и обратно, используя только стандартные инструменты, такие как sed и cut, в минимальной системе с установленным busybox? Эти инструменты недоступны: perl ...
  • 24
    hexdump уважает порядок байтов своей системы? 27.08.2014
    На моей машине я получаю следующий вывод, когда я выполняю эти команды: $ повторяют foos> myfile $ hexdump myfile 6f66 736f 000a, вывод от hexdump является прямым порядком байтов. Делает это означает что моя машина...
  • 7
    Hexdump строки, запускающейся в новых строках? 14.03.2015
    Скажите, что у меня есть мультилиния строки, но записи на ней коротки; если я пробую к hexdump, то я получаю что-то вроде этого: отзовитесь эхом "что-то пишется здесь" | hexdump-C № 00000000 73 6f 6d 65 74...
  • 0
    Восстановить шестнадцатеричный дамп звездочки с исходным содержимым 06.04.2020
    Say I Сгенерировал два шестнадцатеричных дампа, в которых есть звездочка. Первый файл (xxd -r работает): hexdump random.dat 0000000 6161 6161 6161 6161 6161 6161 6161 6161 * 0000020 6161 6261 6262 6262 6262 6262 6262 ...
  • 39
    Как вывести двоичный файл как строковый литерал C/C++? 27.12.2014
    У меня есть двоичный файл, который я хотел бы включать в свой исходный код C (временно, для тестирования), таким образом, я хотел бы получить содержание файла как струну до, что-то вроде этого: \x01\x02\x03\x04...
  • 0
    Как получить вывод Hexdump в том же формате, что и hexedit? 24.10.2018
    Я пытаюсь получить вывод моей команды hexdump, чтобы он выглядел так, как по умолчанию hexedit. Я играл со строками формата, используя -e, но поскольку там не очень хорошая документация, это ...