SoloCodigo

A ver, no se si me podrán responder esto. Perdón si es que va en otro foro, pero imagino que quienes puedan responder son las personas mas metidas en assembler

Los ficheros ELF de GNU/Linux tienen una estructura de tablas para el Program Header llamadas Program Headers Tables o PHT. Según ciertos campos de estas tablas se describen qué secciones deben cargarse en memoria, los permisos que deben tener, offset's y demás datos importantes.
El primer campo de estas estructuras es p_type y toma valores
  Name             Value
  ====             =====
  PT_NULL              0
  PT_LOAD              1
  PT_DYNAMIC         2
  PT_INTERP            3
  PT_NOTE              4
  PT_SHLIB              5
  PT_PHDR              6
  PT_LOPROC   0x70000000
  PT_HIPROC      0x7fffffff

Mi duda es la siguiente, los segmentos text y data son de tipo PT_LOAD. Mi planteo es, si yo creo un nuevo segmento de tipo 1 y redirijo el entry point a una dirección de ese segmento, se daría que todo el text se cararía ese nuevo segmento que creo?
No se si quedó entendible mi pregunta :S . Pero mi idea es saber cómo decir qué cosas se deben cargar en cada segmento si creo alguno nuevo.

Saludos

lo que no termino de entender es que esta asociado a cada entrada del program header
La estructura según he leído es: (para un elf ejecutable)
ELF Header
Programs Header
Segmento 1 (creo q es el text)
Segmento 2 (creo q es el data)
Sections Headers
Section 1
.
.
.
Section n

Mi pregunta es: Cómo sabe el SO a qué se relaciona cada entrada del program header? Si creo una tabla mas en el PH y la hago p_type LOAD, cómo indico qué es lo que debe cargarse allí? Para eso sirven las section headers?

Perdón por el lío, es que no logro resolver esa duda :S

Bueno, a ver. Primero que nada quiero decir que todo lo que se ve en internet sobre las especificaciones ELF está algo errado o al menos incompleto

Creo que ya entendí como funciona todo, y me parece que tampoco son los section headers los responsables de que todo se cargue bien, porque de hecho probé borrarlos con el bless y el ejecutable anda igual, sucede que lo que hace que se cargue bien son dos parámetros de PHT que serían el offset y el filesz.
Tengo que programar el virus, así que cuando termine si todo funciona bien pongo mi conclusión a ver si coincidimos.
Te doy mil gracias por la ayuda

Saludos

Uh, me re colgué para responder, perdón.
El virus anda bien
La sections header table en archivos ELF ejecutables son completamente ignorados por el SO a la hora de cargarse en memoria (de hecho la especificación ELF establece que para archivos ejecutables la SHT es completamente opcional)
Al parecer lo que hace el SO es leer del PHT el offset físico en el archivo de cada segmento que se cargará y el tamaño físico, y luego cuando debe cargar el programa simplemente "mueve esa parte del archivo" a memoria.
De todas formas los SHT deben actualizarse tras una infección para que al leer el archivo con readelf por ejemplo no salte que está corrupto, fuera de este detalle el programa carga igual sin problemas si uno no modifica los SHT. Incluso pueden ser borrados del archivo y este se ejecutará correctamente.
En fin, mil gracias de nuevo.

Saludos

Perdón, nuevamente me retrasé para responder

Tienes razón, lo que digo es válido para los sistemas GNU/Linux en este caso

Saludos