ELF
linux
ELF文件格式是Linux系统下的可执行文件格式,在系统中属于最重要的文件类型。因为ELF文件是程序的载体,所有通过编译器编译过的代码,最后生成的程序就是ELF格式的文件。操作系统会读取ELF格式的文件(也就是程序)到内存中,根据ELF文件中的指令,数据与符号,生成可以运行的进程。通过操作系统对进程的管理机制,进程被分配给空闲的CPU执行。由此可以看出,ELF文件格式代表了程序模型。了解ELF文件格式定义,一方面对程序的运行机制有较为透彻的理解,另一方面对系统性能优化与系统安全有很大的帮助。
ELF(Executable and Linkable Format)的含义是可执行与可链接的格式。其实ELF是一种通用的标准格式,不只是用于Linux系统。ELF文件格式最初是用在Unix操作系统System V Release 4上,后来迅速的被各种Unix系统所采用。如今,ELF文件格式可以算是类Unix系统的事实标准了。ELF文件格式灵活,易扩展,不与特定的CPU或指令集绑定,可以被移植到任何操作系统或硬件架构上,包括Windows[1]。工具接口标准委员会将ELF标准定为一种可移植的目标文件格式。ELF标准的目的是为软件开发人员提供一组二进制接口定义,覆盖了多种操作系统,减少了重新编码、重新编译的负担。工具接口标准委员会给出的Portable Format Specification中主要针对三种不同类型的目标文件做出规定,并规定了程序加载与动态链接相关过程细节。
根据ELF标准中的定义,目标文件有三种类型:
1. 可重定位文件(Relocatable File):此文件包含了重定向信息,可以与其他目标文件进行链接,创建可执行的文件或者共享目标文件
2. 可执行文件(Executable File):可以被操作系统加载执行的文件
3. 共享目标文件(Shared Object File):有两种用途:编译器可以将它与其他可重定向文件和共享目标文件一起处理,生成另一个目标文件;动态连接器(Dynamic Linker) 可以将它与某个可执行文件以及其他共享目标文件组合,被操作系统用来创建进程。
二进制文件分析起来相对枯燥,很多文档是介绍文件格式定义,枯燥的定义很容易让人乏味。本文分析的主要思路是采用一个实际的ELF文件作为分析对象,逐步展开对ELF定义进行说明。通过这种方式了解二进制可能相对更直观一些。
测试程序main.c
:
#include<stdio.h>
int main(void)
{
printf("hello world\n");
return 0;
}
使用gcc来编译程序:gcc main.c
$ file a.out
a.out: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=31a79aafe17372bd63c14e63fa3763ae5fb5bddb, not stripped
编译器gcc与clang生成的二进制有所区别。clang生成executable,而gcc生成 shared object。编译的程序中虚拟内存地址也有区别。
使用hexdump工具读取二进制文件的原始数据:
hexdump a.out
0000000 457f 464c 0102 0001 0000 0000 0000 0000
0000010 0002 003e 0001 0000 03f0 0040 0000 0000
0000020 0040 0000 0000 0000 1918 0000 0000 0000
0000030 0000 0000 0040 0038 0009 0040 001d 001c
0000040 0006 0000 0005 0000 0040 0000 0000 0000
0000050 0040 0040 0000 0000 0040 0040 0000 0000
0000060 01f8 0000 0000 0000 01f8 0000 0000 0000
0000070 0008 0000 0000 0000 0003 0000 0004 0000
0000080 0238 0000 0000 0000 0238 0040 0000 0000
0000090 0238 0040 0000 0000 001c 0000 0000 0000
00000a0 001c 0000 0000 0000 0001 0000 0000 0000
.
.
.
hexdump的输出是以十六进制的方式显示,最左边一栏显示字节序号。第一行一共有十六个字节,从0000000到000000f。因此第二行的第一个字节的序号就是0000010。
在介绍具体细节前,需要了解一下ELF标准中在64位机器上的数据类型定义
Name(名称) Size(大小) Alignment(对齐) Purpose(含义)
Elf64_Addr 8 8 Unsigned program address(无符号程序地址)
Elf64_Off 8 8 Unsigned file offset(无符号文件偏移量)
Elf64_Half 2 2 Unsigned medium integer(无符号半整型)
Elf64_Word 4 4 Unsigned integer(无符号整型)
Elf64_Sword 4 4 Signed integer(有符号整型)
Elf64_Xword 8 8 Unsigned long integer(无符号长整型)
Elf64_Sxword 8 8 Signed long integer(有符号长整型)
unsigned char 1 1 Unsigned small integer(无符号字符)
上面基本上有四种大小的数据,地址与地址偏移量的类型大小都是8个字节,单个字符是1个字节,半整型为2个字节,一个整型是4个字节,长整型是8个字节。
ELF文件最开始的部分:ELF头部。ELF头部是ELF文件最开始的64个字节。hexdump命令可以按照一行16个字节来显示,-n 64
是显示64 个字节。
$ hexdump -e '16/1 "%02x " "\n"' -n 64 -v a.out
7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00
03 00 3e 00 01 00 00 00 80 05 00 00 00 00 00 00
40 00 00 00 00 00 00 00 f8 19 00 00 00 00 00 00
00 00 00 00 40 00 38 00 09 00 40 00 1f 00 1e 00
下面是ELF头部的结构体定义,可以对照来解释上面这64个字节其对应的具体含义。
typedef struct
{
unsigned char e_ident[16]; /* ELF identification */
Elf64_Half e_type; /* Object file type */
Elf64_Half e_machine; /* Machine type */
Elf64_Word e_version; /* Object file version */
Elf64_Addr e_entry; /* Entry point address */
Elf64_Off e_phoff; /* Program header offset */
Elf64_Off e_shoff; /* Section header offset */
Elf64_Word e_flags; /* Processor-specific flags */
Elf64_Half e_ehsize; /* ELF header size */
Elf64_Half e_phentsize; /* Size of program header entry */
Elf64_Half e_phnum; /* Number of program header entries */
Elf64_Half e_shentsize; /* Size of section header entry */
Elf64_Half e_shnum; /* Number of section header entries */
Elf64_Half e_shstrndx; /* Section name string table index */
} Elf64_Ehdr;
最开始的16个字节是ELF标识e_ident,其中的包括以下几个部分:
7f 45 4c 46
。这四个十六进制数通知读这个文件的程序,我是一个ELF格式的文件。其中[45 4c 46]在ASCII编码中代表了ELF这三个字母。02
。这个字节代表这个目标文件是64位目标(ELFCLASS64)。如果是32位目标(ELFCLASS32),此字节值为01。01
。这个字节代表此目标文件的字节序编码方式。01表示小端模式,02表示大端模式。小端模式与大端模式主要影响了字节在内存中存放的顺序。小端模式特点是低位字节存放在内存的低位地址,大端模式则相反,低位字节存放在内存的高位地址。一般来说通用计算机是采用小端模式。下文会用到这个特点。01
。这个字节代表了执行ELF标准的版本号。目前使用的最新版本是1。00 00 00 00 00 00 00 00 00
。这一行最后的所有0都是填充字节。填充字节是为了ELF格式今后的扩展预留空位。并且这些字节也起到了字节对齐的作用。第17,18字节是ELF格式的文件定义e_type:03 00
。ELF主要定义了三种类型的目标文件。在这里可重定位文件的值为1,可执行文件的值为2,共享目标文件的值为3。此外还定义一些特殊的,例如未知文件类型的值为0,core类型文件的值为4。这里用两个字节来表示一个整数,涉及到字节序大小端的问题。采用小端存储时,数字低位对应内存低地址,由于内存低地址是在左边,所以这两个字节所代表的数字就是0x0002,也就是2。
第19,20字节表示了此文件的目标机器的架构体系e_machine:3e 00
。这个值换算为十进制是62,代表了"x86-64"架构。
第20-23这四个字节是ELF版本编号e_version:01 00 00 00
。依然是在定义ELF标准版本,1代表了使用当前版本,0是表示使用非法版本。
后续8个字节代表了程序入口的虚拟地址e_entry:80 05 00 00 00 00 00 00
。这个部分是告诉系统程序的入口地址,也就是程序的开始位置。64位系统的地址是8个字节,在32位的程序上,这个程序入口是4个字节来表示。
下面的16个字节表示在elf文件中程序头的偏移量e_phoff:40 00 00 00 00 00 00 00
和节头偏移量:f8 19 00 00 00 00 00 00
。
程序头(program header)是对二进制文件中段(segment)的描述,是程序装载到内存中运行所必需的部分。段(segment)是可执行程序的内存布局,程序头描述了这些段如何映射到内存中。段是程序执行的必要组成,在每个段中,会有代码或者数据被划分为不同的节。
节头(section header)是对节(section)的位置和大小的描述,主要用于调试和链接。节头对于程序执行来说不是必需的,没有节头程序也可以正常执行,但是对于调试器与反编译器,需要依赖节头提供调试信息。
在这里,可以根据偏移量获取程序头表与节头表。程序头在文件中的偏移量为0x40 =4×16 = 64。这意味着程序头表起始的索引是64。节头偏移量同理可以算出来,0x19f8 = 6648。
接下来4个字节是处理器的标志位e_flags:00 00 00 00
。保存与文件相关的,用于处理器的标志。
之后2个字节代表ELF头的大小e_ehsize:40 00
。通常就是64。
再往后2个字节代表程序头的大小e_phentsiz:38 00
。这里是56个字节。
后面2个字节代表了程序头的项数 e_phnum:09 00
。这里有9个程序头
紧跟在后面的就是节头表大小与节头表项目e_shentsize,e_shnum :40 00 1f 00
,这里节头表为64个字节,一共有31个节头。
最后两个字节代表节头表格中与节中名称字符串的索引:1e 00
。
以上就是ELF文件头的全部内容,文件头主要包含了类型,结构,程序起始的地址等信息。
根据ELF文件头中e_phoff的值,我们发现程序头表是在第64个字节,也就是说程序头表紧跟在ELF文件头后面。下面我们来看下程序头的内容。
ELF程序头是对二进制文件中段的描述,是程序装载必须的一部分。有5种比较常见的类型。
程序头的作用是描述各种类型的段的基本信息,即描述了程序在内存中是如何分布的。
程序头的定义:
typedef struct
{
Elf64_Word p_type; /* Type of segment */
Elf64_Word p_flags; /* Segment attributes */
Elf64_Off p_offset; /* Offset in file */
Elf64_Addr p_vaddr; /* Virtual address in memory */
Elf64_Addr p_paddr; /* Reserved */
Elf64_Xword p_filesz; /* Size of segment in file */
Elf64_Xword p_memsz; /* Size of segment in memory */
Elf64_Xword p_align; /* Alignment of segment */
} Elf64_Phdr;
PT_PHDR类型的程序头是程序头表的开始,描述了程序头表的起始地址与占用的字节大小。
程序头整个结构是56个字节,因此我们截取从第64个字节开始56个字节的内容:
$ hexdump -e '16/1 "%02x " "\n"' -s 64 -n 56 -v a.out
06 00 00 00 05 00 00 00 40 00 00 00 00 00 00 00
40 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00
f8 01 00 00 00 00 00 00 f8 01 00 00 00 00 00 00
08 00 00 00 00 00 00 00
根据结构定义来看下程序头的具体内容:
06 00 00 00
。表示段的类型,这里段的类型的值是6,类型为PT_PHDR。phdr类型的段保存了程序头表本身的位置和大小。05 00 00 00
。表示段的属性标志。高位2个字节预留给特殊处理器,低位2个字节则预留给特殊环境。0x05表示段属性为可读(0x04),可执行(0x01)。40 00 00 00 00 00 00 00
。段的偏移量。这里的值是64。40 00 00 00 00 00 00 00
。段在内存中的虚拟地址。40 00 00 00 00 00 00 00
。预留给段在内存中实际的物理地址。里面的值其实没有被用到,在Linux中,应用程序的内存是使用内存管理分配给的虚拟内存。本段的虚拟地址是0x00400040,f8 01 00 00 00 00 00 00
。此段在文件中所占字节数,值为504,代表了9个程序头:56*9=504f8 01 00 00 00 00 00 00
。此段在内存中所占字节数。08 00 00 00 00 00 00 00
。字段对齐。这个字段中的值必须是2的幂次。当为0和1时,表示不需要对齐。
$hexdump -e '16/1 "%02x " "\n"' -s 120 -n 56 -v a.out
03 00 00 00 04 00 00 00 38 02 00 00 00 00 00 00
38 02 00 00 00 00 00 00 38 02 00 00 00 00 00 00
1c 00 00 00 00 00 00 00 1c 00 00 00 00 00 00 00
01 00 00 00 00 00 00 00
按照定义,我们可以看出此段为PT_INTERP:
0x0238
0x00000000 00000238
这个INTERP类型的段具体保存的内容是什么呢?定为到0x238的偏移地址处,查看28个字节,这部分内容就是该段的详细内容。
hexdump -e '16/1 "%02x " "\n"' -s 568 -n 28 -v a.out
2f 6c 69 62 36 34 2f 6c 64 2d 6c 69 6e 75 78 2d
78 38 36 2d 36 34 2e 73 6f 2e 32 00
这些数字代表了什么含义呢?根据前面介绍的,INTERP段保存了一个字符串,可以用objdump工具来反汇编查看详细信息:objdump -s a.out
。截取相关部分内容如下:
Contents of section .interp:
0238 2f6c6962 36342f6c 642d6c69 6e75782d /lib64/ld-linux-
0248 7838362d 36342e73 6f2e3200 x86-64.so.2.
这部分就是链接器的路径的ASCII码。
为LOAD类型的段,表示可以被装载或者映射到内存中,一个可执行文件可以有多个LOAD类型的段。一个需要动态链接的ELF文件通常会有两个LOAD,一个用来存放程序代码的text,一般设置为可读与可执行权限。另一个用来存放全局变量和动态链接信息的data段,设置为可读可写权限。
hexdump -e '16/1 "%02x " "\n"' -s 176 -n 56 -v a.out
01 00 00 00 05 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
a8 08 00 00 00 00 00 00 a8 08 00 00 00 00 00 00
00 00 20 00 00 00 00 00
此段读写权限为可读可执行。偏移量为0,内存虚拟地址为0x00000000 00000000
。文件大小为0x08a8,即2216个字节。
$ hexdump -e '16/1 "%02x " "\n"' -s 232 -n 56 -v a.out
01 00 00 00 06 00 00 00 d8 0d 00 00 00 00 00 00
d8 0d 20 00 00 00 00 00 d8 0d 20 00 00 00 00 00
58 02 00 00 00 00 00 00 60 02 00 00 00 00 00 00
00 00 20 00 00 00 00 00
此段是可读可写的权限。偏移量为0x200dd8,内存虚拟地址为0x200dd8
。文件大小为0x0258。装载到内存中是0x0260个字节。
根据上面程序头的定义,ELF文件加载到内存中的状态是这样的:
-------Memory--------
| ELF Header | --|
| PHDR | |
| INTERP | |
| NOTE | | PT_LOAD 0
| . | |
| ----------------- | --|
| alignment |
| ----------------- |
| DYNAMIC | --|
| ----------------- | |
| . | |
| . | | PT_LOAD 1
| ----------------- | |
| alignment | --|
| ----------------- |
PT_DYNAMIC是描述动态段的程序头:
$ hexdump -e '16/1 "%02x " "\n"' -s 288 -n 56 -v a.out
02 00 00 00 06 00 00 00 f0 0d 00 00 00 00 00 00
f0 0d 20 00 00 00 00 00 f0 0d 20 00 00 00 00 00
e0 01 00 00 00 00 00 00 e0 01 00 00 00 00 00 00
08 00 00 00 00 00 00 00
动态段的权限是可读可写:0x04+0x02。段的偏移量为0x0df0,虚拟内存地址为0x200df0。动态段的大小为0x01e0。
动态段中包含了一些标记值和指针,包括但不限于以下内容:
在动态段的程序头后面是PT_NOTE的程序头:
$ hexdump -e '16/1 "%02x " "\n"' -s 344 -n 56 -v a.out
04 00 00 00 04 00 00 00 54 02 00 00 00 00 00 00
54 02 00 00 00 00 00 00 54 02 00 00 00 00 00 00
44 00 00 00 00 00 00 00 44 00 00 00 00 00 00 00
04 00 00 00 00 00 00 00
PT_NOTE段的类型值是4,其权限为可读,偏移量为0x0254,虚拟地址为0x000254,大小为0x44。
NOTE段的内容为:
Contents of section .note.ABI-tag:
0254 04000000 10000000 01000000 474e5500 ............GNU.
0264 00000000 02000000 06000000 20000000 ............ ...
Contents of section .note.gnu.build-id:
0274 04000000 14000000 03000000 474e5500 ............GNU.
0284 31a79aaf e17372bd 63c14e63 fa3763ae 1....sr.c.Nc.7c.
0294 5fb5bddb _...
这部分内容只保存了操作系统的规范信息,在可执行文件运行时是不需要这段的。有的系统需要在目标文件上标记特定的信息,以便于其他程序对一致性、兼容性等进行检查。
ELF文件头显示有9个程序头,除了上面介绍的五个在ELF标准中定义的程序头,还有三个Linux系统支持的程序头。简单起见,我们使用readelf 工具来查看相关信息:
Type Offset VirtAddr PhysAddr
FileSiz MemSiz Flags Align
GNU_EH_FRAME 0x0000000000000760 0x0000000000000760 0x0000000000000760
0x000000000000003c 0x000000000000003c R 0x4
GNU_STACK 0x0000000000000000 0x0000000000000000 0x0000000000000000
0x0000000000000000 0x0000000000000000 RW 0x10
GNU_RELRO 0x0000000000000dd8 0x0000000000200dd8 0x0000000000200dd8
0x0000000000000228 0x0000000000000228 R 0x1
PT_GNU_EH_FRAME
类型的段保存了一组数据(array element)。数据是在.eh_frame_hdr节中定义的异常处理信息的位置与大小。 PT_GNU_STACK
类型的段保存了包含堆栈的段的权限,规定了哪些栈是可以执行的。权限设置方式与p_flag相同,缺少这个段意味着堆栈都是可以执行的,本例就是这样的情况。(参考) PT_GNU_RELRO
类型的段意味着这个段内的数据在重定向后是只读的。这个段通常包括了一些动态链接库,包括了.ctors, .dtors, .dynamic, .got 等节。这个段的区域与第二个LOAD段基本重合,只是PT_LOAD 1 段中多了.got.plt和.data。
ELF格式中的节(section)是ELF文件的主要组成部分,主要的数据与代码都存在节里。
根据ELF文件头,节头表的偏移量在0x19f8处。节头表对于程序来说是可有可无的,节头表主要描述ELF文件中节的相关信息,数据结构如下:
typedef struct
{
Elf64_Word sh_name; /* Section name */
Elf64_Word sh_type; /* Section type */
Elf64_Xword sh_flags; /* Section attributes */
Elf64_Addr sh_addr; /* Virtual address in memory */
Elf64_Off sh_offset; /* Offset in file */
Elf64_Xword sh_size; /* Size of section */
Elf64_Word sh_link; /* Link to other section */
Elf64_Word sh_info; /* Miscellaneous information */
Elf64_Xword sh_addralign; /* Address alignment boundary */
Elf64_Xword sh_entsize; /* Size of entries, if section has table */
} Elf64_Shdr;
一个节头的大小64个字节,下面读取前节头表的前两个节头
hexdump -e '16/1 "%02x " "\n"' -s 0x19f8 -n 128 -v a.out
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
1b 00 00 00 01 00 00 00 02 00 00 00 00 00 00 00
38 02 00 00 00 00 00 00 38 02 00 00 00 00 00 00
1c 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
第一个节头类型为NULL,所有的内容都是0。
以第二个节头为例介绍:
1b 00 00 00
包含一个字节偏移量,是相对于名称字符串表.shstrtab的偏移量,下文会继续介绍。01 00 00 00
节的类型,这里的值为1,类型是SHT_PROGBITS,表示此节的内容由程序来定义02 00 00 00 00 00 00 00
节的属性标志。02表示节的属性为SHF_ALLOC,代表此节会被分配到内存中。38 02 00 00 00 00 00 00
节在内存中起始虚拟地址38 02 00 00 00 00 00 00
节在ELF文件中的偏移量1c 00 00 00 00 00 00 00
是此节的大小00 00 00 00
包括一个相关的节的索引,这个字段的用途根据节的类型来定。00 00 00 00
包括了此节的额外信息,这个字段的用途根据节的类型来定。01 00 00 00 00 00 00 00
包含了此节需要对齐的字节数,必须为2的幂。如果是0或者1,表示此节无需对齐。00 00 00 00 00 00 00 00
包含了每个条目的大小,有些节包含了固定大小的表(数组)。除了这种节以外,这个字段一般为0。节头一共有31个,用readelf工具来列举ELF文件中的节头表:
$ readelf -S a.out
共有 31 个节头,从偏移量 0x19f8 开始:
节头:
[号] 名称 类型 地址 偏移量
大小 全体大小 旗标 链接 信息 对齐
[ 0] NULL 0000000000000000 00000000
0000000000000000 0000000000000000 0 0 0
[ 1] .interp PROGBITS 0000000000000238 00000238
000000000000001c 0000000000000000 A 0 0 1
[ 2] .note.ABI-tag NOTE 0000000000000254 00000254
0000000000000020 0000000000000000 A 0 0 4
[ 3] .note.gnu.build-i NOTE 0000000000000274 00000274
0000000000000024 0000000000000000 A 0 0 4
[ 4] .gnu.hash GNU_HASH 0000000000000298 00000298
000000000000001c 0000000000000000 A 5 0 8
[ 5] .dynsym DYNSYM 00000000000002b8 000002b8
00000000000000c0 0000000000000018 A 6 1 8
[ 6] .dynstr STRTAB 0000000000000378 00000378
0000000000000096 0000000000000000 A 0 0 1
[ 7] .gnu.version VERSYM 000000000000040e 0000040e
0000000000000010 0000000000000002 A 5 0 2
[ 8] .gnu.version_r VERNEED 0000000000000420 00000420
0000000000000020 0000000000000000 A 6 1 8
[ 9] .rela.dyn RELA 0000000000000440 00000440
00000000000000d8 0000000000000018 A 5 0 8
[10] .rela.plt RELA 0000000000000518 00000518
0000000000000018 0000000000000018 AI 5 24 8
[11] .init PROGBITS 0000000000000530 00000530
0000000000000017 0000000000000000 AX 0 0 4
[12] .plt PROGBITS 0000000000000550 00000550
0000000000000020 0000000000000010 AX 0 0 16
[13] .plt.got PROGBITS 0000000000000570 00000570
0000000000000008 0000000000000008 AX 0 0 8
[14] .text PROGBITS 0000000000000580 00000580
00000000000001c2 0000000000000000 AX 0 0 16
[15] .fini PROGBITS 0000000000000744 00000744
0000000000000009 0000000000000000 AX 0 0 4
[16] .rodata PROGBITS 0000000000000750 00000750
0000000000000010 0000000000000000 A 0 0 4
[17] .eh_frame_hdr PROGBITS 0000000000000760 00000760
000000000000003c 0000000000000000 A 0 0 4
[18] .eh_frame PROGBITS 00000000000007a0 000007a0
0000000000000108 0000000000000000 A 0 0 8
[19] .init_array INIT_ARRAY 0000000000200dd8 00000dd8
0000000000000008 0000000000000008 WA 0 0 8
[20] .fini_array FINI_ARRAY 0000000000200de0 00000de0
0000000000000008 0000000000000008 WA 0 0 8
[21] .jcr PROGBITS 0000000000200de8 00000de8
0000000000000008 0000000000000000 WA 0 0 8
[22] .dynamic DYNAMIC 0000000000200df0 00000df0
00000000000001e0 0000000000000010 WA 6 0 8
[23] .got PROGBITS 0000000000200fd0 00000fd0
0000000000000030 0000000000000008 WA 0 0 8
[24] .got.plt PROGBITS 0000000000201000 00001000
0000000000000020 0000000000000008 WA 0 0 8
[25] .data PROGBITS 0000000000201020 00001020
0000000000000010 0000000000000000 WA 0 0 8
[26] .bss NOBITS 0000000000201030 00001030
0000000000000008 0000000000000000 WA 0 0 1
[27] .comment PROGBITS 0000000000000000 00001030
0000000000000025 0000000000000001 MS 0 0 1
[28] .symtab SYMTAB 0000000000000000 00001058
0000000000000660 0000000000000018 29 47 8
[29] .strtab STRTAB 0000000000000000 000016b8
000000000000022f 0000000000000000 0 0 1
[30] .shstrtab STRTAB 0000000000000000 000018e7
000000000000010c 0000000000000000 0 0 1
Key to Flags:
W (write), A (alloc), X (execute), M (merge), S (strings), I (info),
L (link order), O (extra OS processing required), G (group), T (TLS),
C (compressed), x (unknown), o (OS specific), E (exclude),
l (large), p (processor specific)
最后一个.shstrtab保存了所有节的名称:
$ hexdump -e '16/1 "%02x " "\n"' -s 0x18e7 -n 268 -v a.out
00 2e 73 79 6d 74 61 62 00 2e 73 74 72 74 61 62
00 2e 73 68 73 74 72 74 61 62 00 2e 69 6e 74 65
72 70 00 2e 6e 6f 74 65 2e 41 42 49 2d 74 61 67
00 2e 6e 6f 74 65 2e 67 6e 75 2e 62 75 69 6c 64
2d 69 64 00 2e 67 6e 75 2e 68 61 73 68 00 2e 64
79 6e 73 79 6d 00 2e 64 79 6e 73 74 72 00 2e 67
6e 75 2e 76 65 72 73 69 6f 6e 00 2e 67 6e 75 2e
76 65 72 73 69 6f 6e 5f 72 00 2e 72 65 6c 61 2e
64 79 6e 00 2e 72 65 6c 61 2e 70 6c 74 00 2e 69
6e 69 74 00 2e 70 6c 74 2e 67 6f 74 00 2e 74 65
78 74 00 2e 66 69 6e 69 00 2e 72 6f 64 61 74 61
00 2e 65 68 5f 66 72 61 6d 65 5f 68 64 72 00 2e
65 68 5f 66 72 61 6d 65 00 2e 69 6e 69 74 5f 61
72 72 61 79 00 2e 66 69 6e 69 5f 61 72 72 61 79
00 2e 6a 63 72 00 2e 64 79 6e 61 6d 69 63 00 2e
67 6f 74 2e 70 6c 74 00 2e 64 61 74 61 00 2e 62
73 73 00 2e 63 6f 6d 6d 65 6e 74 00
之前示例的节的sh_name的值为1b,在这个表中就可以查到这个节的名称:
2e 69 6e 74 65 72 70 00 # . i n t e r p
节与段之间的的关系到底是怎样的呢?根据readelf工具,我们可以看到每个段对应都包含哪些节:
Section to Segment mapping:
段 段节...
PHDR 00
INTERP 01 .interp
LOAD 02 .interp .note.ABI-tag .note.gnu.build-id .gnu.hash .dynsym .dynstr .gnu.version .gnu.version_r .rela.dyn .rela.plt .init .plt .plt.got .text .fini .rodata .eh_frame_hdr .eh_frame
LOAD 03 .init_array .fini_array .jcr .dynamic .got .got.plt .data .bss
DYNAMIC 04 .dynamic
NOTE 05 .note.ABI-tag .note.gnu.build-id
GNU_EH_FRAME 06 .eh_frame_hdr
GNU_STACK 07
GNU_RELRO 08 .init_array .fini_array .jcr .dynamic .got
段描述了程序在内存中的布局,节包含了具体的数据、代码等信息。下面介绍几个主要的节
Contents of section .rodata:
0750 01000200 68656c6c 6f20776f 726c6400 ....hello world.
https://medium.com/@MrJamesFisher/understanding-the-elf-4bd60daac571
https://www.ibm.com/developerworks/cn/linux/l-excutff/
https://en.wikipedia.org/wiki/Executable_and_Linkable_Format
http://www.intezer.com/executable-linkable-format-101-part1-sections-segments/
https://gist.github.com/YunchengLiao/53d7b22c2fe39db96c9d
联系客服