Почему у разделенного двоичного файла все еще может быть информация о вызове библиотеки в дизассемблированном файле?

Question

тестовая платформа - 32-разрядная Linux.

компилировать кесареву программу без полосы символьной информации, а также использовать objdump для разборки эльфа исполняемого файла.

Это часть результатов.

804831c: e8 8c fe ff ff  call 8048360 <printf@plt> 

Если я использую:

strip binary 

удалить данные символа и использовать objdump снова разборке эльфа исполняемый файл, я до сих пор можно увидеть результаты, как:

804831c: e8 8c fe ff ff  call 8048360 <printf@plt> 

Так мой вопрос:

Как инструмент разборки, такой как objdump, знает имя определенной функции библиотеки после того как я раздели всю информацию о символе ..?

Спасибо!

Answer 1

ELF-файл содержит 2 таблицы символов: .symtab и .dynsym. Последнее предназначено для динамических символов, необходимых для динамической компоновки (перемещения). В вашем случае printf находится в .dynsym и может также присутствовать в .symtab; по умолчанию полоса удалит .symtab, но не .dynsym, который необходим для перемещения.

Вы можете попробовать

полоса -R .dynsym your_binary

удалить раздел dynsym вручную, и вы увидите, что не может работать из-за сбоя перераспределения.

Answer 2

Импортированные вызовы всегда будут иметь имя, это необходимо для ссылки во время выполнения. Если вы разделили имя импорта, как ваше приложение узнает, что назвать? Методы из внешних библиотек могут (и обычно) иметь разные адреса каждый раз, когда ваше приложение выполняется.

С другой стороны, в некоторых случаях встроенные или статически связанные методы могут быть идентифицированы и названы даже без символьной информации. Многие дизассемблеры ищут общие шаблоны, связанные с некоторыми стандартными библиотечными функциями. Например, memcpy() часто может быть эвристически идентифицирован и помечен даже без информации о символе.