为什么在 ELF 二进制文件中,字节以两个为一组进行反转
Why in ELF binaries the bytes are inverted in groups of two
我正在尝试创建 ELF 格式 header 编辑器。在开发过程中,我注意到在两个字节的二进制组中总是反转。
这里有一个 hexdump 的例子(我称它为 hexdump1 以供参考)。
pc@pc-VirtualBox:~/Documents/ElfEditor$ hexdump Test | head
0000000 457f 464c 0102 0001 0000 0000 0000 0000
0000010 0003 003e 0001 0000 07a0 0000 0000 0000
0000020 0040 0000 0000 0000 2758 0000 0000 0000
0000030 0000 0000 0040 0038 0009 0040 0022 0021
0000040 0006 0000 0004 0000 0040 0000 0000 0000
0000050 0040 0000 0000 0000 0040 0000 0000 0000
0000060 01f8 0000 0000 0000 01f8 0000 0000 0000
0000070 0008 0000 0000 0000 0003 0000 0004 0000
0000080 0238 0000 0000 0000 0238 0000 0000 0000
0000090 0238 0000 0000 0000 001c 0000 0000 0000
例如,在前 4 个字节中,我期待的是“7f45 4c46”而不是“457f 464c”。
当我 运行 带有 -C 参数的 hexdump 时,我得到了我期望的转储。 (我将此 hexdump 称为 hexdump2 以供参考)。
00000000 7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00 |.ELF............|
00000010 03 00 3e 00 01 00 00 00 a0 07 00 00 00 00 00 00 |..>.............|
00000020 40 00 00 00 00 00 00 00 58 27 00 00 00 00 00 00 |@.......X'......|
00000030 00 00 00 00 40 00 38 00 09 00 40 00 22 00 21 00 |....@.8...@.".!.|
00000040 06 00 00 00 04 00 00 00 40 00 00 00 00 00 00 00 |........@.......|
00000050 40 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00 |@.......@.......|
00000060 f8 01 00 00 00 00 00 00 f8 01 00 00 00 00 00 00 |................|
00000070 08 00 00 00 00 00 00 00 03 00 00 00 04 00 00 00 |................|
00000080 38 02 00 00 00 00 00 00 38 02 00 00 00 00 00 00 |8.......8.......|
00000090 38 02 00 00 00 00 00 00 1c 00 00 00 00 00 00 00 |8...............|
二进制文件保存为hexdump1,在C语言中难以读取
只是一些附加信息。这不是字节序问题,因为相关数据(例如整数)在 hexdump2 中以小端格式正确,而在 hexdump1 中不正确。例如,在偏移字节 0x14 中开始一个 32 位 Int(值为 1),在 hexdump2 中它由字节 01 00 00 00 正确表示,而在 hexdump1 中它不正确(字节 00 01 00 00)。
所以我的疑惑是:
- 这种行为正常吗?
- 为什么会这样?
- 在所有 Linux 发行版和架构中都是这样吗?
- 我可以只反转整个文件(包括二进制文件的其余部分)中的字节吗?
- 是否有简单或正确的方法来更正字节顺序?
我想让我的程序在任何 Linux 发行版或体系结构中都能灵活地 运行。
感谢提前帮助。
e_ident[EI_DATA]
定义 elf 二进制文件的字节顺序。
根据字节顺序,大小大于1的字段将被反转或不反转。
我正在尝试创建 ELF 格式 header 编辑器。在开发过程中,我注意到在两个字节的二进制组中总是反转。
这里有一个 hexdump 的例子(我称它为 hexdump1 以供参考)。
pc@pc-VirtualBox:~/Documents/ElfEditor$ hexdump Test | head
0000000 457f 464c 0102 0001 0000 0000 0000 0000
0000010 0003 003e 0001 0000 07a0 0000 0000 0000
0000020 0040 0000 0000 0000 2758 0000 0000 0000
0000030 0000 0000 0040 0038 0009 0040 0022 0021
0000040 0006 0000 0004 0000 0040 0000 0000 0000
0000050 0040 0000 0000 0000 0040 0000 0000 0000
0000060 01f8 0000 0000 0000 01f8 0000 0000 0000
0000070 0008 0000 0000 0000 0003 0000 0004 0000
0000080 0238 0000 0000 0000 0238 0000 0000 0000
0000090 0238 0000 0000 0000 001c 0000 0000 0000
例如,在前 4 个字节中,我期待的是“7f45 4c46”而不是“457f 464c”。
当我 运行 带有 -C 参数的 hexdump 时,我得到了我期望的转储。 (我将此 hexdump 称为 hexdump2 以供参考)。
00000000 7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00 |.ELF............|
00000010 03 00 3e 00 01 00 00 00 a0 07 00 00 00 00 00 00 |..>.............|
00000020 40 00 00 00 00 00 00 00 58 27 00 00 00 00 00 00 |@.......X'......|
00000030 00 00 00 00 40 00 38 00 09 00 40 00 22 00 21 00 |....@.8...@.".!.|
00000040 06 00 00 00 04 00 00 00 40 00 00 00 00 00 00 00 |........@.......|
00000050 40 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00 |@.......@.......|
00000060 f8 01 00 00 00 00 00 00 f8 01 00 00 00 00 00 00 |................|
00000070 08 00 00 00 00 00 00 00 03 00 00 00 04 00 00 00 |................|
00000080 38 02 00 00 00 00 00 00 38 02 00 00 00 00 00 00 |8.......8.......|
00000090 38 02 00 00 00 00 00 00 1c 00 00 00 00 00 00 00 |8...............|
二进制文件保存为hexdump1,在C语言中难以读取
只是一些附加信息。这不是字节序问题,因为相关数据(例如整数)在 hexdump2 中以小端格式正确,而在 hexdump1 中不正确。例如,在偏移字节 0x14 中开始一个 32 位 Int(值为 1),在 hexdump2 中它由字节 01 00 00 00 正确表示,而在 hexdump1 中它不正确(字节 00 01 00 00)。
所以我的疑惑是:
- 这种行为正常吗?
- 为什么会这样?
- 在所有 Linux 发行版和架构中都是这样吗?
- 我可以只反转整个文件(包括二进制文件的其余部分)中的字节吗?
- 是否有简单或正确的方法来更正字节顺序?
我想让我的程序在任何 Linux 发行版或体系结构中都能灵活地 运行。 感谢提前帮助。
e_ident[EI_DATA]
定义 elf 二进制文件的字节顺序。
根据字节顺序,大小大于1的字段将被反转或不反转。