字符串常量的地址是在编译时决定的。这个地址和字符串常量可以在可执行程序中找到(以ELF格式)。例如,以下代码输出:String Literal: 0x400674
printf("String Literal: %p\n", "Hello World");
执行objdump -s -j .rodata test1命令后,显示如下:
部分.rodata节的内容如下:
400670 01000200 48656c6c 6f20576f 726c6400 ....Hello World.
....
因此,看起来我可以通过读取可执行程序本身来获取“Hello World”的虚拟地址。
问题:我如何通过读取ELF格式在地址和字符串本身之间建立表/映射/字典?
我正在尝试编写一个独立的Python脚本或C ++程序来读取elf程序并生成该表。如果表中包含额外的映射(而不是字符串文字),则也可以接受,只要表包含整个字符串文字的映射即可。
"abcd"和"cd"文字字符串的编译器被允许(但不是必须)共享它们的存储,并使用"abcd"+2作为第二个字符串。请参见此答案。.rodata或.text部分),它们可能与某些非字符串常量相同。 ELF文件不保留任何类型信息(除了使用-g编译时的调试DWARF信息)。换句话说,以下内容:const uint8_t constable[] = { 0x65, 0x68, 0x6c, 0x6c, 0x6f, 0 };
这个变量与字符串常量"hello"的机器表示完全相同,但它不是一个源字符串。更糟糕的是,机器代码的某些部分可能看起来像字符串。
顺便说一下,您可以使用strings(1)命令,或者学习它的源代码并根据您的需要进行修改。
请记住,两个不同的进程(按定义!)在虚拟内存中具有不同的地址空间。还要阅读关于ASLR的文章。字符串常量也可能出现在共享对象中(例如共享库,如libc.so),这些对象通常在不同的地址段上进行mmap(因此,在不同的进程中,相同的字符串常量将具有不同的地址!)。
您可能会对libelf、readelf(1)或bfd感兴趣,以读取ELF文件。
g++ -Os编译,这些地址只相差一个字节。而且.rodata显示ELF rodata部分只有一个字符串字面量。 - Peng Zhang
strings命令吗? - Basile Starynkevitch