如何轻松查找Linux二进制ELF格式文件的直接共享对象依赖关系?
我知道ldd工具,但它似乎输出了二进制文件所有的依赖项,包括它所依赖的任何共享对象的依赖项。
您可以使用readelf
来探索ELF头文件。readelf -d
将列出直接依赖项作为NEEDED
部分。
$ readelf -d elfbin
Dynamic section at offset 0xe30 contains 22 entries:
Tag Type Name/Value
0x0000000000000001 (NEEDED) Shared library: [libssl.so.1.0.0]
0x0000000000000001 (NEEDED) Shared library: [libc.so.6]
0x000000000000000c (INIT) 0x400520
0x000000000000000d (FINI) 0x400758
...
objdump
工具可以告诉你这些信息。如果你使用-x
选项调用objdump
,让它输出所有的头文件,那么你就会在“Dynamic Section”中找到共享对象依赖关系,它们位于开头。
例如,在我的系统上运行objdump -x /usr/lib/libXpm.so.4
,会在“Dynamic Section”中给出以下信息:
Dynamic Section:
NEEDED libX11.so.6
NEEDED libc.so.6
SONAME libXpm.so.4
INIT 0x0000000000002450
FINI 0x000000000000e0e8
GNU_HASH 0x00000000000001f0
STRTAB 0x00000000000011a8
SYMTAB 0x0000000000000470
STRSZ 0x0000000000000813
SYMENT 0x0000000000000018
PLTGOT 0x000000000020ffe8
PLTRELSZ 0x00000000000005e8
PLTREL 0x0000000000000007
JMPREL 0x0000000000001e68
RELA 0x0000000000001b38
RELASZ 0x0000000000000330
RELAENT 0x0000000000000018
VERNEED 0x0000000000001ad8
VERNEEDNUM 0x0000000000000001
VERSYM 0x00000000000019bc
RELACOUNT 0x000000000000001b
直接共享对象依赖关系列在“NEEDED”值中。因此,在上面的示例中,我的系统上的libXpm.so.4
只需要libX11.so.6
和libc.so.6
。objdump
的二进制文件所需的所有符号都存在于库中,但至少可以显示加载器在加载二进制文件时将尝试加载哪些库。ldd -v 会在“版本信息:”部分下打印依赖树。该部分的第一个块是二进制文件的直接依赖项。
objdump -x <binary> | grep "NEEDED"
有什么区别呢?我的意思是,两者几乎完全相同,只是用 ldd
比 objdump
多获取了一个 .so
文件。但结果不同让我想知道哪种方法更准确。 - m4l490nlinux-vdso.so
,这是由内核注入到每个进程中的虚拟库。它仅在内核构建期间存在为文件,然后只存储在内核中。它加速了不需要昂贵模式转换的非特权调用,例如time()
。 - kkmldd
命令检查文件存在安全风险,因为它会加载文件中指定的加载器来加载文件并解析其依赖项。这些漏洞已经被修补,但请记住,使用ldd
命令只需一步即可运行程序,它实际上告诉加载器运行程序、解决依赖关系并跟踪它们,并在最后一刻停止。objdump
和readelf
都将ELF文件作为数据文件进行读取。objdump
使用常见的bfd库来解析文件,而readelf
则是自包含的(请阅读其源代码开头的注释以获取说明)。 - kkm