我看到了很多类似的东西:
open("/lib64/libpthread.so.0", O_RDONLY) = 3
read(3, "\177ELF\2\1\1\0\0\0\0\0\0\0\0\0\3\0>\0\1\0\0\0\260W \0242\0\0\0"..., 832) = 832
开头的 832 字节是什么?
问问题
376 次
1 回答
3
如果上面的列表是在程序启动时捕获的,那么您很可能会看到运行时加载程序在运行,因为它会在启动程序之前引入共享库并解析符号。
至于读取的初始内容,每个 ELF 文件都以 ELF 头开始,该头描述了文件其余部分的布局和内容——请参阅教程“ libelf by Example ”了解更多信息。
于 2011-06-23T13:32:50.213 回答