如何在 Linux 上检查 ELF 文件数据部分的内容？

问题描述：

我一直在objdump查看 Linux ELF 二进制文件中的汇编代码。

rodata有时，可以通过存储在（只读数据）部分中的跳转表进行间接跳转。

如何获取objdump或任何其他工具来向我显示该数据部分的内容？

我可以执行该程序并在调试器中检查相关地址，但我不想这样做，因为它必须以交互方式完成。

理想的答案将找到一种工具，它不仅可以向我显示内容，还可以让我控制显示格式od。

解决方案 1：

objdump -s -j .rodata exefile

给出该部分内容的并排十六进制/可打印 ASCII 转储，rodata例如：

Contents of section .rodata:
 0000 67452301 efcdab89 67452301 efcdab89  gE#.....gE#.....
 0010 64636261 68676665 64636261 68676665  dcbahgfedcbahgfe

看起来里面没有任何东西可以控制格式，但这是一个开始。我想，你总是可以取消转储十六进制并将其提供给 od :)

解决方案 2：

readelf -x .rodata hello_world.o

给出：

Hex dump of section '.rodata':
  0x00000000 48656c6c 6f20776f 726c6421 0a       Hello world!.

readelf您应该尽可能地选择，因为objdump根本不显示某些部分，例如.symtab：为什么 objdump 不显示 .bss、.shstratab、.symtab 和 .strtab 部分？

您还可以使用以下提到的技术提取原始字节：如何仅提取 ELF 部分的内容以及ysdx 所提到的内容。

解决方案 3：

您可以使用以下命令获取 RAW（非十六进制转储）ELF 部分：

# To a file:
objcopy file /dev/null --dump-section .text=text.data
# To stdout:
objcopy file /dev/null --dump-section .text=/dev/stdout | cat

在这里我使用它| cat来强制将 stdout 变为管道。/dev/stdout如果 stdout 是文件则可能会意外工作。.text=-不是发送到 stdout 而是发送到-文件。

但是objcopy 和 objdump 也存在一些缺陷（因为它们基于抽象不同可执行格式的 BFD）。

更新：我编写了一个工具来执行此操作，它不依赖于 BFD。