❶ 关于动态库 静态库 区别与使用 路径查找等
一、引言
我们通常把一些公用函数制作成函数库,供其它程序使用。
函数库分为静态库和动态库两种。
通常情况下,对函数库的链接是放在编译时期(compile time)完成的。所有相关的对象文件(object file)与牵涉到的函数库(library)被链接合成一个可执行文件(executable file)。程序在运行时,与函数库再无瓜葛,因为所有需要的函数已拷贝到相应目录下下。所以这些函数库被成为静态库(static libaray),通常文件名为“libxxx.a”的形式。
其实,我们也可以把对一些库函数的链接载入推迟到程序运行的时期(runtime)。这就是动态链接库(dynamic link library)技术。
二、两者区别:
a,静态库的使用需要:
1 包含一个对应的头文件告知编译器lib文件里面的具体内容
2 设置lib文件允许编译器去查找已经编译好的二进制代码
b,动态库的使用:
程序运行时需要加载动态库,对动态库有依赖性,需要手动加入动态库
c,依赖性:
静态链接表示静态性,在编译链接之后, lib库中需要的资源已经在可执行程序中了, 也就是静态存在,没有依赖性了
动态,就是实时性,在运行的时候载入需要的资源,那么必须在运行的时候提供 需要的 动态库,有依赖性, 运行时候没有找到库就不能运行了
d,区别:
简单讲,静态库就是直接将需要的代码连接进可执行程序;动态库就是在需要调用其中的函数时,根据函数映射表找到该函数然后调入堆栈执行。
做成静态库可执行文件本身比较大,但不必附带动态库
做成动态库可执行文件本身比较小,但需要附带动态库
链接静态库,编译的可执行文件比较大,当然可以用strip命令精简一下(如:strip libtest.a),但还是要比链接动态库的可执行文件大。程序运行时间速度稍微快一点。
静态库是程序运行的时候已经调入内存,不管有没有调用,都会在内存里头。静态库在程序编译时会被连接到目标代码中,程序运行时将不再需要该静态库。
其在编译程序时若链接,程序运行时会在系统指定的路径下搜索,然后导入内存,程序一般执行时间稍微长一点,但编译的可执行文件比较小;动态库是程序运行的时候需要调用的时候才装入内存,不需要的时候是不会装入内存的。
动态库在程序编译时并不会被连接到目标代码中,而是在程序运行是才被载入,因此在程序运行时还需要动态库存在。
三、动态链接库的特点与优势
首先让我们来看一下,把库函数推迟到程序运行时期载入的好处:
1. 可以实现进程之间的资源共享。
什么概念呢?就是说,某个程序的在运行中要调用某个动态链接库函数的时候,操作系统首先会查看所有正在运行的程序,看在内存里是否已有此库函数的拷贝了。如果有,则让其共享那一个拷贝;只有没有才链接载入。这样的模式虽然会带来一些“动态链接”额外的开销,却大大的节省了系统的内存资源。C的标准库就是动态链接库,也就是说系统中所有运行的程序共享着同一个C标准库的代码段。
2. 将一些程序升级变得简单。用户只需要升级动态链接库,而无需重新编译链接其他原有的代码就可以完成整个程序的升级。Windows 就是一个很好的例子。
3. 甚至可以真正坐到链接载入完全由程序员在程序代码中控制。
程序员在编写程序的时候,可以明确的指明什么时候或者什么情况下,链接载入哪个动态链接库函数。你可以有一个相当大的软件,但每次运行的时候,由于不同的操作需求,只有一小部分程序被载入内存。所有的函数本着“有需求才调入”的原则,于是大大节省了系统资源。比如现在的软件通常都能打开若干种不同类型的文件,这些读写操作通常都用动态链接库来实现。在一次运行当中,一般只有一种类型的文件将会被打开。所以直到程序知道文件的类型以后再载入相应的读写函数,而不是一开始就将所有的读写函数都载入,然后才发觉在整个程序中根本没有用到它们。
静态库:在编译的时候加载生成目标文件,在运行时不用加载库,在运行时对库没有依赖性。
动态库:在目标文件运行时加载,手动加载,且对库有依赖性。
具体在开发中用到哪种库,我觉得还是根据实际的内存大小,ROM大小,运行的速度等综合考虑。
❷ linux 静态库和动态库编译的区别
Linux库有动态与静态两种,动态通常用.so为后缀,静态用.a为后缀。例如:libhello.so libhello.a
为了在同一系统中使用不同版本的库,可以在库文件名后加上版本号为后缀,例如: libhello.so.1.0,由于程序连接默认以.so为文件后缀名。所以为了使用这些库,通常使用建立符号连接的方式。
ln -s libhello.so.1.0 libhello.so.1
ln -s libhello.so.1 libhello.so
动态库和静态库的区别:
当要使用静态的程序库时,连接器会找出程序所需的函数,然后将它们拷贝到执行文件,由于这种拷贝是完整的,所以一旦连接成功,静态程序库也就不再需要了。然而,对动态库而言,就不是这样。动态库会在执行程序内留下一个标记‘指明当程序执行时,首先必须载入这个库。由于动态库节省空间,linux下进行连接的缺省操作是首先连接动态库,也就是说,如果同时存在静态和动态库,不特别指定的话,将与动态库相连接。
两种库的编译产生方法:
第一步要把源代码编绎成目标代码。以下面的代码hello.c为例,生成hello库:
/* hello.c */
#include
void sayhello()
{
printf("hello,world\n");
}
用gcc编绎该文件,在编绎时可以使用任何全法的编绎参数,例如-g加入调试代码等:
gcc -c hello.c -o hello.o
1.连接成静态库
连接成静态库使用ar命令,其实ar是archive的意思
$ar cqs libhello.a hello.o
2.连接成动态库
生成动态库用gcc来完成,由于可能存在多个版本,因此通常指定版本号:
$gcc -shared -Wl,-soname,libhello.so.1 -o libhello.so.1.0 hello.o
另外再建立两个符号连接:
$ln -s libhello.so.1.0 libhello.so.1
$ln -s libhello.so.1 libhello.so
这样一个libhello的动态连接库就生成了。最重要的是传gcc -shared 参数使其生成是动态库而不是普通执行程序。
-Wl 表示后面的参数也就是-soname,libhello.so.1直接传给连接器ld进行处理。实际上,每一个库都有一个soname,当连接器发现它正在查找的程序库中有这样一个名称,连接器便会将soname嵌入连结中的二进制文件内,而不是它正在运行的实际文件名,在程序执行期间,程序会查找拥有 soname名字的文件,%B
❸ linux动态库和静态库的区别
动态链接库和静态链接库一般是编译集成一系列的接口(函数)
在程序源代码编译完成后通过编译器编译并通过链接器与这些库进行链接
动态链接库与静态链接库的区别在于链接器在进行链接时静态库会被直接编译进程序里
而动态链接库并不会,我们这里将这些链接库称作依赖(动态库和静态库)
程序的运行需要这些依赖,程序在静态链接后该程序本身便已包含该依赖
而动态链接后的程序本身本不包含该依赖,这些依赖需要执行者自行安装进操作系统(动态库、运行时库)
程序运行时会动态地加载这些库
linux上动态库一般的后缀后为.so
静态库一般的后缀为.a
由于静态链接会直接将库编译进程序里所以静态编译后的程序相较于动态链接所要大
这就是因为静态链接会将链接库编译进程序里的原因,所以占用就要大了
出于这种原因,静态库不易于维护与更新,如果链接库中有实现有bug等需要更新则需要更新整个程序,因为静态库被编译进程序中了
但动态库就没有这种情况了,因为动态库是程序运行时动态加载的,所以我们只需要更新动态库而不需要更新所有依赖该库的程序(软件)
另一方面,很多程序的开发都会使用到相同的链接库,也就是很多程序(软件)会有相同的依赖
如果将这些依赖全部静态编译的话将会造成存储资源占用过多而造成资源浪费
而使用动态库的方式这些程序(软件)则可以共享一个链接库,而不需要每个程序都带一个链接库,这样就大大地减少了存储资源占用空间
❹ 怎么在命令行里用gcc去编译连接一个程序
你的说法本身就有问题,gcc编译的时候只能去链接 其他依赖文件和库(静态库/动态库)
动态库:.so结尾,在运行时加载。
静态库:.a结尾,在编译时加载。
例如编译hello.c 输出hello可执行文件
链接静态库:
gcc hello.c -L /home/lib -static -l mylib -o hello
-L参数可以向gcc的库文件搜索路径中添加新目录
-static选项强制使用静态链接库
-l mylib -l后面是要静态连接的库(libhellos.a)
链接动态库:
gcc -o hello hello.c -L. -lhello
-L后面的点为当前目录
-lhello 是去链接libhello.so
❺ 二进制固件函数锁定术-DYNAMIC
背景介绍
固件系统中的二进制文件依赖于特定的系统环境执行,针对固件的研究在没有足够的资金的支持下需要通过固件的模拟来执行二进制文件程序。依赖于特定硬件环境的固件无法完整模拟,需要hook掉其中依赖于硬件的函数。
LD_PRELOAD的锁定
对于特定函数的锁定技术分为动态注入锁定和静态注入锁定两种。静态注入指的是通过修改静态二进制文件中的内容来实现对特定函数的注入。动态注入则指的是在运行的过程中对特定的函数进行锁定,动态注入锁定一方面可以通过锁定PLT表或者GOT表来实现,另一方面可以通过环境变量LD_PRELOAD来实现。
在《揭秘家用路由器0dayCVE挖掘》中作者针对D-linkDIR-605L(FW_113)路由器中的Web应用程序boa,通过hook技术锁定apmib_init()和apmib_get()函数修复boa对硬件的依赖,使得qemu-static-mips可以模拟执行,在文中作者通过LD_PRELOAD环境变量实现对函数的锁定。网上针对LD_PRELOAD的锁定也有大量的描述。但是LD_PRELOAD仍旧不是普适的。
存在的问题
LD_PRELOAD环境变量的开关在编译生成ulibc的时候指定,当关闭该选项的时候,无法使用LD_PRELOAD来预加载指定的动态链接库文件。
固件的二进制文件中会将二进制文件中的Section信息去除掉,只保留下Segment的信息,使得无法通过patchelf来增加动态链接库实现锁定。patchelf支持对二进制文件的patch修改,或者添加执行过程中的链接lib。
本文方案思路
在ELF文件中,存在DYNAMICSegment,ld.so通过该段内容来加载程序运行过程中需要的lib文件,图1为在IDA中反编译后查看的DYNAMIC段的内容。
?
图1Elf32_Dyn结构体数组
DYNAMIC段介绍
dynamic段开头包含了由N个Elf32_Dyn组成的结构体,该结构体的D_tag代表了结构体的类型。d_un为通过union联合的指针d_ptr或者对应的结构体的值d_val。
typedefstruct{Elf32_Swordd_tag;union{Elf32_Wordd_val;Elf32_Addrd_ptr;}d_un;}Elf32_Dyn;d_tag字段保存了类型的定义参数,详见ELF(5)手册。下面列出了动态链接器常用的比较重要的类型值
1-DT_NEEDED该类型的数据结构保存了程序所需要的共享库的名字相对字符串表的偏移量
2-DT_SYMTAB动态符号表的地址,对应的节名为.dynsym
3-DT_HASH符号散列表的名称,对应的节名为.hash又称为.gnu.hash
4-DT_STRTAB符号字符串表的地址,对应的节名为.dynstr
5-DT_PLTGOT全局偏移表的地址
如上各个字段对应到IDA中显示如下,d_tag字段代表了动态段的类型,当该值为1的时候。表示程序依赖的共享库的名字,其对应的d_val表示了是要加载的lib的名称在stringtable中的偏移。
共享库文件名对应的结构体的类型值为0x01,如图2所示,0x4001C4-0x4001E4保存有5个二进制文件所依赖的共享库名字,其D_VAL的值是指向stringtable的偏移量。
?
图2DT_NEEDED共享库依赖图
DYNAMIC段的定位
从二进制文件头起始定位DYNAMIC段的流程如下:
ELF_HEADER->ProgramHeader->DYNAMICProgram
ELF_HEADER中保存有ProgramHeader的偏移
?
图3ELFHeader
ProgramHeader中保存有DynamicSegment的相关结构体信息
?
图4ProgramHeader
展开该结构体,可以找到Dynamic段在文件中的偏移量0x140h
ProgramHeader结构体
DT_NEEDED伪造
动态段由dynamic的结构体数组组成,dynamic的结构体定义如下:
?
在dynamic和elf_hash之间仍存在一段空余空余可填充空间。本文利用该段空间填充,实现特定lib的加载。
?
【----帮助网安学习,所有资料加weixin:yj009991,备注“掘金”获取!】
①网安学习成长路径思维导图②60+网安经典常用工具包③100+SRC分析报告④150+网安攻防实战技术电子书⑤最权威CISSP认证考试指南+题库⑥超1800页CTF实战技巧手册⑦最新网安大厂面试题合集(含答案)⑧APP客户端安全检测指南(安卓+IOS)
本文方案实验与测试
利用dynamic和elf_hash之间的空余区域,在该区域伪造出新的dynamic的一个数组。如下图,不修改二进制文件大小,伪造增添ibcjson.so,使得二进制文件加载ibcjson.so。在ibcjson.so中编写对应的锁定函数。
?
思路:将原有的Elf32_Dyn数组元素依次后移,并在该数组的首部添加伪造的ibcjson.so,该lib的命名可以选用stringtable中的任一字符串即可。
?
核心移动代码,将Elf32_Dyn中的元素依次后移一个,dynamic段dynamic[0]元素作为要伪造填充的数据,在本文的实验中,将dynamic[0]中的value值加1。由于在MIPS下存在大小端两种架构,在小端机器上的代码解决大端架构的填充伪造时要注意大小端的转换问题。
voidmove_dynamic(char*buf){intx=0;Elf32_Dyn*dyn=(Elf32_Dyn*)buf;while(1){if(dyn[x].d_tag==0&&dyn[x].d_un.d_ptr==0){break;}x++;if(x>100){printf("Errorbreak ");break;}}while(x--){//printf("theindexxis%x ",x);mem_cpy(&dyn[x],&dyn[x+1],8);}dyn[x+1].d_un.d_val=b2l(l2b(dyn[x+1].d_un.d_val)+1);}测试环境
TOTOLinkN210RE中boa程序,锁定函数参考DIR605A,锁定apmib_init以及apmib_get
该固件的ld,关闭了LD_PRELOAD程序选项,未提供/etc/ld.preload
锁定函数代码,采用了《揭秘家用路由器CVE挖掘》提供的示例代码如下,在原有的基础上,增加printf来查看显示是否锁定成功。
#include<stdio.h>#defineMIB_HW_VER0x250#defineMIB_IP_ADDR170#defineMIB_CAPTCHA0x2C1intapmib_init(void){printf("helllo");return1;}intfork(void){return0;}voidapmib_get(intcode,int*value){switch(code){caseMIB_HW_VER:*value=1;break;caseMIB_IP_ADDR:*value=1;break;caseMIB_CAPTCHA:*value=1;break;}return;}通过mips-linux-gcc进行编译,这里注意mips-linux-gcc在编译过程中的编译文件的位置要位于参数之后(踩坑了!!!!)
mips-linux-gcc-Wall-fPIC-sharedapmib.c-oibcjson.so通过如下代码,给原有的boa二进制文件添加一个dynamic
#include<stdio.h>#include<stdio.h>#include<stdlib.h>#include"elf.h"#definePATCH"boa_patch"intb2l(intbe){return((be>>24)&0xff)|((be>>8)&0xFF00)|((be<<8)&0xFF0000)|((be<<24));}char*buf=NULL;intl2b(intle){return(le&0xff)<<24|(le&0xff00)<<8|(le&0xff0000)>>8|(le>>24)&0xff;}staticchar*_get_interp(char*buf){intx;//_Ehdr*hdr=(Elf_Ehdr*)buf;Elf_Phdr*phdr=(Elf_Phdr*)(buf+l2b(hdr->e_phoff));printf("thephdraddressis:0x%x0x%x0x%x0x%x ",phdr,l2b(hdr->e_phoff),buf,sizeof(hdr->e_phoff));for(x=0;x<hdr->e_phnum;x++){if(l2b(phdr[x].p_type)==PT_DYNAMIC){//Thereisadynamicloaderpresent,soloaditreturnbuf+l2b(phdr[x].p_offset);}}returnNULL;}intmem_cpy(char*src,char*dst,intlen){printf("thesrcaddris%x,%x ",src-buf,dst-buf);for(intx=0;x<len;x++){dst[x]=src[x];}return0;}/*1234temp=2strcpy(1,2)12strcpy()*/voidmove_dynamic(char*buf){intx=0;Elf32_Dyn*dyn=(Elf32_Dyn*)buf;//Elf32_Dyntmp_dyn;//mem_cpy()while(1){if(dyn[x].d_tag==0&&dyn[x].d_un.d_ptr==0){printf("thexis%d ",x);break;}x++;if(x>100){printf("Errorbreak ");break;}}while(x--){//printf("theindexxis%x ",x);mem_cpy(&dyn[x],&dyn[x+1],8);}dyn[x+1].d_un.d_val=b2l(l2b(dyn[x+1].d_un.d_val)+1);//FILE*fw=fopen("")}voidanalyse(char*buf){char*phdr_address=NULL;phdr_address=_get_interp(buf);printf("phdraddress:0x%x ",phdr_address-buf);move_dynamic(phdr_address);}voidsave_binary(char*buf,intsize){FILE*fw=fopen(PATCH,"wb");fwrite(buf,size,1,fw);fclose(fw);}intmain(intargc,char*argv[],char*envp[]){if(argc<2){printf("notenoughargc ");}FILE*fp=fopen(argv[1],"rb");fseek(fp,0,SEEK_END);intsize=ftell(fp);fseek(fp,0L,SEEK_SET);buf=malloc(size);fread(buf,size,1,fp);analyse(buf);save_binary(buf,size);free(buf);return0;}Makefile如下
all:elf.hanalyse_ph.cgccanalyse_ph.c-m32-g3-oanalyse./analyseboa_real_n210针对N210RE的测试截图如下,通过exportLD_LIBRARY_PATH使得程序加载ibcjson.so,成功锁定boa,输出helllo
?
Ubuntu下rand函数锁定测试
rand函数的头文件是stdlib.h
编写rand.c
#include<stdio.h>#include<stdlib.h>intmain(){inta=0;a=rand()%100;printf("theais%d ",a);return0;}//gcc-m32rand.c-orand编写rand_hook.so
#include<stdio.h>intrand(){printf("hook! ");return100;}//gcc-fPIC-Wall-shared-m32rand_hook.c-orand_hook.so使用LD_PRELOAD测试,成功实现对该函数的锁定
?
使用patch,针对dynamic段元素添加伪造,测试rand_patch,依赖的库文件增加ibc.so.6,ibc.so.6需要通过exportLD_LIBRARY_PATH导入ibc.so.6的文件路径
?
实现对rand的锁定
?
总结
本文通过研究二进制文件中的dynamic段,通过修改二进制文件增加依赖共享库,可以解决在模拟固件的过程时,固件缺少节信息且固件函数无法通过LD_PRELOAD锁定的问题。该方案仍有不足之处,对于ld加载共享库的依赖顺序、共享库锁定的底层原理尚未深入探究。
参考
《揭秘家用路由器0day挖掘技术》
《二进制分析实战》
更多靶场实验练习、网安学习资料,请点击这里>>
原文:https://juejin.cn/post/7104190931556892679