第7题-ELF文件注入1

【题目解析】 本题主要涉及Linux环境下的ELF文件注入技术，要求在没有源代码的情况下，对一个已有的ELF可执行程序进行修改，使其在运行时先执行一个附加功能，即创建或打开一个文件并写入“helloworld”字符串，然后继续执行原程序的功能。以下是实现这个目标的关键步骤和技术要点： 1. **ELF文件格式理解**：ELF（Executable and Linkable Format）是Linux系统中常用的二进制文件格式，包含了程序的入口点(e_entry)、程序头表(program headers)、节区头表(section headers)等信息。了解这些结构对于修改ELF文件至关重要。 2. **汇编编程**：由于没有源代码，我们需要自行编写汇编代码来实现附加功能，如创建文件和写入字符串。汇编代码应适应目标程序的环境，如64位系统，并确保与目标ELF文件的架构兼容。 3. **修改ELF文件**： - **增加页面大小**：可能需要根据操作系统的页面大小（通常是4KB）来调整ELF文件。 - **修正ELF头部(e_header)**：更新e_shoff字段，以容纳新增的代码。 - **调整程序头部表**：第一个程序头部需要扩展，更新p_filesz和p_memsz字段，以适应新注入的代码大小。 - **更新e_entry**：将e_entry指向新的起始地址，即注入代码的入口。 - **修正头部偏移(p_offset)**：增加PAGESIZE大小，确保数据的正确对齐。 - **修正节区头部(sh_offset)**：同样需要调整以适应新增代码。 - **修改注入代码**：根据新的地址调整数据段存储地址，并添加跳转指令，使得程序执行完附加功能后跳转回原程序的入口点。 4. **数据存储与插入**： - **备份原始数据**：保存目标节区的数据，以便在注入代码后恢复。 - **插入代码**：在目标节区的适当位置插入修正后的汇编代码，填充至PAGESIZE大小。 - **恢复原始数据**：将备份的数据接在注入代码后面。 5. **开发环境**：本题的开发环境是基于Linux内核4.16.0-999-generic的Ubuntu 16.04 LTS 64位系统，使用的GCC版本为5.4.0，汇编代码采用AT&T格式。开发过程中，需要熟悉并使用相关的工具，如`objdump`用于反汇编和分析ELF文件，`gcc`用于编译C和汇编代码。 6. **代码组织**：工程文件包括了汇编源代码(helloworld.s)，编译后的二进制对象文件(helloworld.o和main)，以及C源代码(test.c和main.c)，用于生成和处理ELF文件。 在实现这个任务的过程中，你需要对Linux系统调用有深入的理解，如open、write和close等，以及如何在汇编语言中调用它们。同时，对ELF文件结构的熟练掌握是关键，确保修改不会破坏原有程序的执行流程。