synopsis

可以使用 readelf ，objdump，hexdump等工具查看 二进制程序内的.interp段信息。

1. 使用readelf查看.interp段

readelf 是一个查看ELF（Executable and Linkable Format）文件信息的工具，特别适合查看ELF头和各个段的信息。

# readelf
# -h 、--file-headers 展示文件开始位置的 ELF头信息。
# -l 、--program-headers 、--segments 展示文件段头（segment headers）内的信息。readelf -l <your-elf-file>

这将显示ELF文件的程序头（program-headers），其中包括所有的段信息。
如下图所示，100这个程序的 INTERP段的offset是：0x00000000000002a8，它指向了动态链接器的路径。（通常是/lib64/ld-linux-x86-64.so.2）（查看二进制依赖可以用 ldd <your-elf-file> 来查看。就会发现有ld.so）

如果想查看具体的内容，可以用，readelf -p .interp <your-elf-file>。这将显示.interp的具体内容。

2. 使用objdump 查看 .interp段

使用 objdump -s -j .interp 查看，使用-s查看节区（segment）的内容。
（-s参数=–full-contents，表示请求的任意段的完整内容，默认展示所有的非空节）
（-j 参数= --segment=name ，表示只展示给定 section 的 信息。

这将显示 .interp段的内容，通常是链接器路径的字符串。

附：如果是 objdump -s <you-elf-file> 通常是展示所有段（section）的信息。

3. 使用hexdump查看.interp段的内容。

如果更倾向于用手动分析，可以用 hexdump 或者 xxd 来查看文件中 .interp段的内容。首先找到.interp段的偏移量（offset），然后使用hexdump查看该段内容。
假设.interp段偏移量在 0x00000000000002a8，则可以使用 如下命令：

hexdump -C -s 0x2a8 -n 32 <your_elf_file># -C 表示 Canonical hex+ASCII display。典型的 16进制+ASCII码表示。以16进制格式展示输入偏置，跟随输入数据的8个“空格分隔，5列，0填充” 的2byte单元。
# -n 表示 lenght，表示只解释输入数据的 几个字节。

这将显示从 0x2a8开始的32字节内容。

总结

要查看 ELF 文件中的 .interp 段，可以使用以下方法：

• readelf -l <your_elf_file> 查看程序头，找到 INTERP 段。
• readelf -p .interp <your_elf_file> 查看 .interp 段的内容（动态链接器路径）。
• objdump -s -j .interp <your_elf_file>显示 .interp 段的详细内容。
• 使用 hexdump 或 xxd 以十六进制格式手动查看该段。