概述
ELF文件头包含了该可执行文件的一些系统级信息:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
| e_ident[16]:ELF文件的标识 包括魔数和其他信息
e_type: 文件类型 例如可执行文件, 目标文件, 共享目标文件等
e_machine: 文件运行的CPU体系结构
e_version: ELF文件的版本号
e_entry: 程序的入口点地址
e_phoff: 程序头表在文件中的偏移量
e_shoff: 节头表在文件中的偏移量
e_flags: 处理器专用标志
e_ehsize: ELF文件头的大小
e_phentsize:程序头表中每个条目的大小
e_phnum: 程序头表中条目的数量
e_shentsize:节头表中每个条目的大小
e_shnum: 节头表中条目的数量
e_shstrndx: 节头字符串表的索引
|
更改其中的某些数据 例如程序入口点, 操作系统位数, 大小端序等 会导致程序运行流程改变 从而使得文件无法被工具识别 达到隐藏程序主要功能的目的