GOT 表和 PLT 表在程序中的作用非常巨大,接下来的讲解希望大家可以仔细看看
我们用一个非常简单的例子来讲解,代码如下:
图1
然后我们编译
我们直接 gdb./a.out 来进行反编译处理,然后通过 disasmain 查看 main 函数中的反编译代码如下:
图3
我们可以观察到 gets@plt 和 puts@plt 这两个函数,为什么后面加了个 @plt ,因为这个为 PLT 表中的数据的地址。那为什么反编译中的代码地址为 PLT 表中的地址呢。
原因
为了更好的用户体验和内存 CPU 的利用率,程序编译时会采用两种表进行辅助,一个为 PLT 表,一个为 GOT 表, PLT 表可以称为内部函数表, GOT 表为全局函数表(也可以说是动态函数表这是个人自称),这两个表是相对应的,什么叫做相对应呢, PLT 表中的数据就是 GOT 表中的一个地址,可以理解为一定是一一对应的,如下图:
图 4
PLT 表中的每一项的数据内容都是对应的 GOT 表中一项的地址这个是固定不变的,到这里大家也知道了 PLT 表中的数据根本不是函数的真实地址,而是 GOT 表项的地址,好坑啊。
其实在大家进入带有 @plt 标志的函数时,这个函数其实就是个过渡作用,因为 GOT 表项中的数据才是函数最终的地址,而 PLT 表中的数据又是 GOT 表项的地址,我们就可以通过 PLT 表跳转到 GOT 表来得到函数真正的地址。
那问题来了,这个 @plt 函数时怎么来的,这个函数是编译系统自己加的,大家可以通过disas gets
看看里面的代码,如下图:
图 5
大家可以发现,这个函数只有三行代码,第一行跳转,第二行压栈,第三行又是跳转,解释:
第一行跳转,它的作用是通过 PLT 表跳转到 GOT 表,而在第一次运行某一个函数之前,这个函数 PLT 表对应的 GOT 表中的数据为 @plt 函数中第二行指令的地址,针对图中来说步骤如下:
push 0x3
#这个为在 GOT 中的下标序号jmp 0x400440
这里我们要提几个问题:
1. PLT[0] 处到底做了什么,按照我们之前的思路它不是应该跳转到 GOT[0] 吗?
2. 为什么中间要进行 push 压栈操作?
3. 压入的序号为什么为 0x3 ,不是最开始应该为 0x0 吗?
解决问题
看下图:
图 6
我们尝试着查看 0x400440 地址的数据内容发现一个问题,从 0x400440−0x400450 之间的数据完全不知道是什么,而真正的 PLT[x] 中的数据是从 0x400450 开始的,从这里才有了 @plt 为后缀的地址,但是我们disas gets
看代码的时候是从 0x400440 开始的,我们可以通过x /5i 0x400440
查看 0x400440 处的代码,如下:
图 7
我们看到了后面的#之后又一个 16 进制数,一看便可以知道是 GOT 表的地址,为什么这么肯定呢,因为我们可以通过objdump -R ./a.out
查看一个程序的 GOT 函数的地址,如下图:
图 8
这里都是些 GOT 地址,我们发现都是 0x601... 这些,所以可以断定图 7 中的也是 GOT 地址,那么我们可以猜想出,在正式存储一个函数的 GOT 地址前,我们的 PLT 表前面有一项进行一些处理,我们暂且不具体深入剖析这些代码有什么用,但是我们可以肯定 puts@plt 前面那 16 个字节也算是 PLT 表中的内容,这其实就是我们的 PLT[0] ,正如我们之前问题提到的那样,我们的 PLT[0] 根本没有跳转到 GOT[0] ,它不像我们的 PLT[1] 这些存储的是 GOT 表项的地址,它是一些代码指令,换句话说, PLT[0] 是一个函数,这个函数的作用是通过 GOT[1] 和 GOT[2] 来正确绑定一个函数的正式地址到 GOT 表中来。
咦,这里问题好像又产生了,本来按照最开始的思路 PLT[1] 也是跳转到 GOT[1] 的, GOT[2] 同理,但是这两个数据好像被 PLT[0] 利用了,同时 GOT[0] 好像消失了,这里 GOT[0] 暂且不说它的作用是什么,针对 GOT[1] 和 GOT[2] 被 PLT[0] 利用,所以我们程序中真实情况其实是从 PLT[1] 到 GOT[3] , PLT[2] 到 GOT[4] ,所以我们推翻了我们的图 4 ,建立一张新的处理表
图 9
而 plt[0] 代码做的事情则是:由于 GOT[2] 中存储的是动态链接器的入口地址,所以通过 GOT[1] 中的数据作为参数,跳转到 GOT[2] 所对应的函数入口地址,这个动态链接器会将一个函数的真正地址绑定到相应的 GOT[x] 中。
这就是 PLT 表和 GOT 表,总而言之,我们调用一个函数的时候有两种方法,一个是通过 PLT 表调用,一个则是通过 GOT 表调用,因为 PLT 表最终也是跳转 GOT 表, GOT 表中则是一个函数真正的地址,这里需要注意的是,在一个函数没有运行一次之前, GOT 表中的数据为 @plt 函数中下一条指令的地址,图 5 有说。
中间进行的压栈是为了确定 PLT 对应的 GOT 表项,即是 PLT[1]−>GOT[3] , 0x3 就是 GOT 的下标 3 ,也就是说压栈后我们跳转到 PLT[0] ,接着 PLT[0] 中的指令会通过这次压栈的序号来确定操作的 GOT 表项为多少
好像都在第一个问题都已经解决了,这里压入 0x3 的原因是因为,我们的 GOT[0] , GOT[1] , GOT[2] 都有额外用处。要从 GOT[3] 开始