ELF文件之ELF 头部 (ELF Header)详解

于 2025-07-22 08:35:46 发布
阅读量645 收藏 13
点赞数 6
CC 4.0 BY-SA版权
分类专栏: Linux学习 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YoungLime/article/details/149524832

ELF文件头部是 ELF 文件的元数据核心,位于文件起始位置(前 64 字节)。它定义了文件的基本属性、目标架构和关键数据结构的位置。以下是使用 readelf -h 分析 64 位 "hello world" 可执行文件的示例输出及逐字段解析:

ELF头部输出 (readelf -h hello)

ELF Header:
  Magic:   7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00 
  Class:                             ELF64
  Data:                              2's complement, little endian
  Version:                           1 (current)
  OS/ABI:                            UNIX - System V
  ABI Version:                       0
  Type:                              EXEC (Executable file)
  Machine:                           Advanced Micro Devices X86-64
  Version:                           0x1
  Entry point address:               0x401040
  Start of program headers:          64 (bytes into file)
  Start of section headers:          14216 (bytes into file)
  Flags:                             0x0
  Size of this header:               64 (bytes)
  Size of program headers:           56 (bytes)
  Number of program headers:         13
  Size of section headers:           64 (bytes)
  Number of section headers:         30
  Section header string table index: 29

 ELF 头部内存布局(64字节)

 0-3: 7F 45 4C 46  // Magic
   4: 02            // ELF64
   5: 01            // Little Endian
   6: 01            // ELF Version
   7: 00            // OS/ABI
8-15: 00 00 00 00 00 00 00 00 // Padding
16-17: 02 00        // e_type (ET_EXEC)
18-19: 3E 00        // e_machine (EM_X86_64)
20-23: 01 00 00 00  // e_version
24-31: 40 10 40 00 00 00 00 00 // e_entry (0x401040)
32-39: 40 00 00 00 00 00 00 00 // e_phoff (64)
40-47: 88 37 00 00 00 00 00 00 // e_shoff (14216)
48-51: 00 00 00 00  // e_flags
52-53: 40 00        // e_ehsize (64)
54-55: 38 00        // e_phentsize (56)
56-57: 0D 00        // e_phnum (13)
58-59: 40 00        // e_shentsize (64)
60-61: 1E 00        // e_shnum (30)
62-63: 1D 00        // e_shstrndx (29)

字段详解(64位系统)

字段值(示例)说明
e_ident[EI_MAG0:EI_MAG3]7f 45 4c 46魔数标识:固定字节 0x7F + ELF 的 ASCII 码
e_ident[EI_CLASS]02文件类02 = ELF64(64位架构)
e_ident[EI_DATA]01字节序01 = Little Endian(小端)
e_ident[EI_VERSION]01ELF 版本:固定为 1(EV_CURRENT)
e_ident[EI_OSABI]00OS/ABI00 = UNIX System V
e_ident[EI_ABIVERSION]00ABI 版本:通常为 0
e_type0x0002文件类型2 = ET_EXEC(可执行文件)
e_machine0x003e目标架构62 = EM_X86_64(x86-64)
e_version0x00000001ELF 版本:与 e_ident[EI_VERSION] 一致
e_entry0x401040入口地址:程序第一条指令的虚拟地址(_start
e_phoff64程序头表偏移:距文件起始 64 字节处
e_shoff14216节头表偏移:距文件起始 14216 字节处
e_flags0x0处理器标志:x86-64 通常为 0
e_ehsize64ELF 头大小:固定 64 字节
e_phentsize56程序头大小:每个程序头条目占 56 字节
e_phnum13程序头数量:共 13 个程序头(如 LOAD、INTERP)
e_shentsize64节头大小:每个节头条目占 64 字节
e_shnum30节头数量:共 30 个节头(如 .text、.data)
e_shstrndx29节名字符串表索引:第 29 个节头是 .shstrtab

 

 

 

 

 

字段的意义 

1.Entry point address(入口点地址)

e_entry (0x401040)

程序的入口地址,指向 _start 函数(由 glibc 提供)。

_start 初始化环境后调用 main(),通过 objdump -d hello 可验证:

assembly
401040 <_start>:
  401040: f3 0f 1e fa     endbr64 
  401044: 31 ed           xor    %ebp,%ebp
  ...

2.Start of program headers(程序头表起始偏移)

e_phoff (64)

程序头表紧跟在 ELF 头后,用于加载器映射程序到内存。

查看程序头:readelf -l hello → 显示 13 个条目(如 LOAD、INTERP、DYNAMIC)。

3.Start of section headers(节头表起始偏移

e_shoff (14216)

节头表位于文件末尾,用于链接和调试。

查看节头:readelf -S hello → 显示 30 个节(如 .text.rodata.data)。

4.Section header string table index(节头字符串表索引

e_shstrndx(29)

第 29 项是 .shstrtab 节,存储所有节名称的字符串。

ARM 之一 详解 ELF 文件、镜像(Image)文件、可执行文件、对象文件
技术干货
08-24 1万+
ELF 文件规范   ELF(Executable and Linking Format)是一个二进制文件规范。用于定义不同类型的对象文件(Object files)中都放了什么东西、以及都以什么样的格式去放这些东西。   现在流行的可执行文件格式 (Executable File Format),主要是 Windows 下的 PE(Portable Executable)和 Linux 的 EL...
详解ELF可执行文件格式:读取头部信息和程序表头
tyler_download的专栏
09-05 1121
要想实现ELF文件的入口劫持,不深入掌握其运行原理与组成结构那是不可能的。ELF的内部结构复杂,加载逻辑难以理解,因此我们需要通过切香肠的方式,将这个困难的技术点一点一滴的去攻克。 这一节我们先掌握如何读取头部信息和程序表头,我们先看ELF文件的大致结构: ELF文件格式最重要的就是所谓的段,特别是其中的代码段和数据段。对应上图就是.text,.data两个段。每个段都对应一个段表来描述,而若干隔断会组成一个整体,它对应一个program,而后者则由program header table来指向,讲解EL
深入解析ELF文件格式及结构
weixin_28771751的博客
09-18 2321
本文还有配套的精品资源,点击获取 简介:ELF格式是一种在类UNIX系统中广泛使用的可执行文件和链接格式,用于程序和共享库的表示。它为编译器、链接器、加载器和运行时系统提供统一接口。本文深入探讨了ELF文件的三个主要部分:头部、节区表和节区,以及符号表、重定位表和动态链接等关键特性。此外,还介绍了ELF版本控制和调试信息的重要性,帮助读者全面理解ELF文件的结构和工作原理。...
ELF()ELF
ylcangel的专栏
01-11 1461
elf头 以32位为例,64位与其区别只是在于数据类型的区别。 数据结构 typedefstruct {   unsigned char      e_ident[EI_NIDENT];       /* Magic number and other info */   Elf32_Half    e_type;                       /* Object file
《操作系统真象还原》第三篇:解析ELF文件头,加载内核
m0_61722509的博客
01-08 1173
然后在开启分页后,解析内核文件,并跳转进内核执行。program header结构如下。elf header中的数据类型。初始内核很简单,就是一个无限循环。通过以下命令编译、链接并写入硬盘。elf header结构如下。首先将内核从硬盘读入内存。
elf的头文件
10-22
elf文件中的结构体描述的头文件,对解析elf文件很有用的
ELF文件格式头部
qq_35467337的博客
03-08 393
ELF格式文件格式头部
ELF文件头结构
热门推荐
北冥有鱼的Blog
05-16 1万+
转自 https://blog.csdn.net/tangyuesb/article/details/54630787ELF文件头结构定义在“/usr/include/elf.h”头文件下,ELF文件有32位版本和64位版本,故其头文件结构也有32位结构和64位结构,分别定义为Elf32_Ehdr和Elf64_Ehdr。两种版本文件内容一样,只是有些成员的大小不一样。以下是32位版本的文件头结构E...
ELF文件格式分析.pdf
06-24
- ELF目标文件格式具体由ELF头(ELF header)、节区(sections)、节区头部表(section header table)等组成。ELF头包含文件的元数据信息,如文件类型、机器类型、入口点地址等。节区则包含程序的代码和数据。 3....
elf文件简单介绍
最新发布
zhuqiyua的博客
11-14 1122
ELF文件格式是UNIX系统实验室开发的,用于定义应用程序二进制接口(ABI)。可重定位文件(Relocatable):由编译器和汇编器生成的.o文件,供链接器处理。可执行文件(Executable):链接器处理.o文件后生成的文件,用于创建进程映像。共享对象文件(Shared Object):动态库文件,如.so文件ELF头部ELF Header):包含文件的基本信息,如体系结构和操作系统等,并指出节区头表和程序头表的位置。程序头表(Program Header Table)
ELF_Format.rar_elf_elf格式详解
09-22
头部ELF Header)提供了整个文件的基本信息,如文件类型、机器架构、版本、入口点地址等。这些信息使得操作系统能够识别并处理ELF文件。 节区(Sections)是ELF文件的核心组织单元,用于存储代码、数据、调试信息...
ELF文件格式(中文)
座间翔 -- 天地一沙鸥
06-21 2919
elf文件格式-- 另一文本方式的elf文档 write by breadbox Email:breadbox@muppetlabs.com 译:alert7 from m4in security team http://www.patching.net isearthling 19:45 2001-5-16 译者注: 由于翻译者水平有限(包括技术水平和翻译水平:(),所以 有些地方或许比较难
1.ELFElf Header
weixin_30445169的博客
05-04 264
1.ELF的三个文件头 每个ELF文件有三个文件头,用来索引信息。 (1).EH = ELF file Header 可在此读到PH,SH在文件中的offset。 (2).PH = Program Header 与load program有关的索引,.o的PH为空。 (3).SH = Section Header 组成此文件的所有section的索引。 2. elf.h 先以32...
ELF文件格式(一)--ELF文件
落寞微蓝
12-11 2152
ELF文件格式()--ELF文件头 1.ELF文件     ELF文件有三种类型:relocatable file、executable file和shared object file。     relocatable file:可重定位的目标文件,可以和其他目标文件链接成可执行的目标文件或共享目标文件。     executable file:可执行的目标文件,通过exec函数
ELF文件头和段表
b1049112625的博客
01-18 1975
现代x86-64Linux和Unix系统使用可执行可链接格式(Execut- ableand LinkableFormat, ELF),与ELF同类型的文件是windows上的PE文件和MacOS-X上的Mach-O文件本篇文章讲述ELF文件文件头和段表。
ART世界探险(11) - OAT文件格式分析
lusing的专栏
08-03 2786
既然是要探险,咱们就保持一定的深度,起码将来可以做个基于ART的黑客之类的。 所以我们针对细节多下一些工夫,先仔细分析一下OAT文件的格式。
文件头+elf
altoer的博客
12-30 410
我们之前在加载mbr和loader的时候,是直接用了它们的地址,比如mbr是0x7c00,loader是0x900,这样的缺点是我们必须每次都用这个地址,不能改,需要提前与程序约定调用地址,这样很不方便,那么怎么改呢? 我们只需要在程序文件的某个特定的地方(比如开始处)写入程序开始的地方,然后从这个特定的地方读出程序开始的地址就可以了,这就是文件头的由来。文件头中还有一些其他的信息,比如程序的大小。 这样纯二进制程序就变成了文件头+文件体的形式。 好处是操作系统加载程序的时候,方法可以是通用的。 不好的地方
ELF文件类型 ELF程序头 ELF节头 ELF符号
kernweak的博客
09-12 2279
ELF文件类型 首先ELF文件可以被标记为以下几个类型: ET_NONE:未知类型。 ET_REL:重定位文件,类型标记为relocatable意为着该文件被标记为了一段可重定位的代码段,有时也称为目标文件。可重定位目标文件通常是还未被链接到可执行程序的一段位置独立的代码。编译完是.o的格式。 ET_EXEC:可执行文件,类型为executable,表明这个文件被标记为可执行文件。这种类型被...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值