ELF文件之ELF程序头表 (Program Header Table)详解

原创 于 2025-07-23 08:34:56 发布 · 509 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux

程序头表(Program Header Table)是ELF文件中描述段(segments)如何映射到内存中的关键结构。

程序头表基本概念

程序头表由多个程序头(Program Header)组成,每个程序头描述一个段(segment)的信息。这些段告诉操作系统如何将程序加载到内存中执行。

程序头表的主要属性:

只在可执行文件和共享库中存在(目标文件没有)

e_phoff指定在文件中的偏移量

包含e_phnum个条目

每个条目大小为e_phentsize字节

程序头结构

每个程序头是一个Elf64_Phdr结构(32位是Elf32_Phdr),包含以下字段:

typedef struct {
    Elf64_Word  p_type;    // 段类型
    Elf64_Word  p_flags;   // 段标志
    Elf64_Off   p_offset;  // 段在文件中的偏移
    Elf64_Addr  p_vaddr;   // 段的虚拟地址
    Elf64_Addr  p_paddr;   // 段的物理地址(通常与虚拟地址相同)
    Elf64_Xword p_filesz;  // 段在文件中的大小
    Elf64_Xword p_memsz;   // 段在内存中的大小
    Elf64_Xword p_align;   // 对齐方式
} Elf64_Phdr;

以helloworld为例分析

编译一个简单的helloworld程序并分析其程序头表:

// hello.c
#include <stdio.h>

int main() {
    printf("Hello, World!\n");
    return 0;
}

编译:gcc -o hello hello.c

使用readelf -l hello查看程序头表:

Elf file type is DYN (Position-Independent Executable file)
Entry point 0x1060
There are 13 program headers, starting at offset 64

Program Headers:
  Type           Offset             VirtAddr           PhysAddr
                 FileSiz            MemSiz              Flags  Align
  PHDR           0x0000000000000040 0x0000000000000040 0x0000000000000040
                 0x00000000000002d8 0x00000000000002d8  R      0x8
  INTERP         0x0000000000000318 0x0000000000000318 0x0000000000000318
                 0x000000000000001c 0x000000000000001c  R      0x1
      [Requesting program interpreter: /lib64/ld-linux-x86-64.so.2]
  LOAD           0x0000000000000000 0x0000000000000000 0x0000000000000000
                 0x00000000000005c8 0x00000000000005c8  R      0x1000
  LOAD           0x0000000000001000 0x0000000000001000 0x0000000000001000
                 0x00000000000001f5 0x00000000000001f5  R E    0x1000
  LOAD           0x0000000000002000 0x0000000000002000 0x0000000000002000
                 0x0000000000000158 0x0000000000000158  R      0x1000
  LOAD           0x0000000000002db0 0x0000000000003db0 0x0000000000003db0
                 0x0000000000000258 0x0000000000000260  RW     0x1000
  DYNAMIC        0x0000000000002dc0 0x0000000000003dc0 0x0000000000003dc0
                 0x00000000000001f0 0x00000000000001f0  RW     0x8
  NOTE           0x0000000000000338 0x0000000000000338 0x0000000000000338
                 0x0000000000000020 0x0000000000000020  R      0x8
  NOTE           0x0000000000000358 0x0000000000000358 0x0000000000000358
                 0x0000000000000044 0x0000000000000044  R      0x4
  GNU_PROPERTY   0x0000000000000338 0x0000000000000338 0x0000000000000338
                 0x0000000000000020 0x0000000000000020  R      0x8
  GNU_STACK      0x0000000000000000 0x0000000000000000 0x0000000000000000
                 0x0000000000000000 0x0000000000000000  RW     0x10
  GNU_RELRO      0x0000000000002db0 0x0000000000003db0 0x0000000000003db0
                 0x0000000000000250 0x0000000000000250  R      0x1
  LOAD           0x0000000000004000 0x0000000000004000 0x0000000000004000
                 0x00000000000003c8 0x00000000000003c8  RW     0x1000

关键段类型解释

PHDR: 程序头表本身的位置和大小

INTERP: 指定程序解释器(动态链接器路径)

LOAD: 可加载段,包含代码或数据

        第一个LOAD: 只读数据(如.rodata,通常映射到较低的虚拟地址)

        第二个LOAD: 可执行代码(.text)

        第三个LOAD: 只读数据(通常映射到更高的虚拟地址)

        第四个LOAD: 可读写数据(.data, .bss)

DYNAMIC: 动态链接信息

NOTE: 附加信息

GNU_STACK: 控制栈属性

GNU_RELRO: 指定重定位后只读的内存区域

段标志含义

R: 可读

W: 可写

E: 可执行

内存映射过程

当加载hello程序时,操作系统:

1.读取程序头表,找到所有LOAD类型的段

2.将这些段按指定的虚拟地址映射到内存

        文件偏移0x1000映射到虚拟地址0x1000(代码段)

        文件偏移0x2000映射到虚拟地址0x2000(只读数据)

        文件偏移0x2db0映射到虚拟地址0x3db0(数据段)

3.初始化.bss段(MemSiz > FileSiz的部分清零)

4.加载动态链接器(由INTERP段指定)

5.将控制权转移到入口点(0x1060)

实际应用中的观察

1.代码段:包含main函数和printf的调用代码

        标志为R E(可读可执行)

通常位于第二个LOAD段

2.字符串常量:"Hello, World!\n"位于只读数据段

        标志为R(只读)

        通常位于第一个或第三个LOAD段

3.数据段:包含全局变量等

        标志为RW(可读写)

        通常位于第四个LOAD段

通过分析程序头表,我们可以了解程序的内存布局和加载方式,这对于理解程序执行、调试和安全分析都非常重要。

YoungLime
关注
详解ELF可执行文件格式:读取头部信息和程序表头
tyler_download的专栏
09-05 1121
要想实现ELF文件的入口劫持,不深入掌握其运行原理与组成结构那是不可能的。ELF的内部结构复杂,加载逻辑难以理解,因此我们需要通过切香肠的方式,将这个困难的技术点一点一滴的去攻克。 这一节我们先掌握如何读取头部信息和程序表头,我们先看ELF文件的大致结构: ELF文件格式最重要的就是所谓的段,特别是其中的代码段和数据段。对应上图就是.text,.data两个段。每个段都对应一个段表来描述,而若干隔断会组成一个整体,它对应一个program,而后者则由program header table来指向,讲解EL
ELF文件解析之 ELF程序头表 节头表-补充之前文章代码 只支持32位 出版
ylcangel的专栏
07-20 2804
#ifndef UTIL_H#define UTIL_H#include #include #include #include #include #include #include #include #include "Types.h"#include "Helper.h"#define GET_SIZE(n) (sizeof(n))#define PRINT_PRE_FIVE_BYTE(p) p
elf文件简单介绍
最新发布
zhuqiyua的博客
11-14 1122
ELF文件格式是UNIX系统实验室开发的,用于定义应用程序二进制接口(ABI)。可重定位文件(Relocatable):由编译器和汇编器生成的.o文件,供链接器处理。可执行文件(Executable):链接器处理.o文件后生成的文件,用于创建进程映像。共享对象文件(Shared Object):动态库文件,如.so文件ELF头部(ELF Header):包含文件的基本信息,如体系结构和操作系统等,并指出节区头表和程序头表的位置。程序头表Program Header Table
执行视图下ELF的程序头部
实践求真知
05-11 397
一执行readelf -l main命令 [root@localhost 0401]# readelf -l main Elf file type is EXEC (Executable file) Entry point 0x4007d0 There are 9 program headers, starting at offset 64 Program Headers: Type...
Android中ELF文件结构浅析()
lzheibai1的博客
01-24 1612
根据上一篇的 elf header 分析,我们知道program header table 的起始位置是 0x40,其中每个表项的大小相同。上图黑色背景的内容是和蓝色背景的内容都是程序头表的表项。
ELF Format-2-Program Header Table
Starr
01-02 1593
Program Header Table 文章目录Program Header Table1. segment和sectionsegmentsection联系2. 数据结构2.1 field p_type2.2 Other Fieldsreadelf源码 程序头表与段表相互独立,由ELF文件头统一管理。 下面将它们简称PH和SH。 程序头表负责ELF文件文件到加载后映像的映射关系,一般只有可执行...
Program Header Table
weixin_41028621的博客
02-05 1119
Program Header Table A program header table is an array of program headers that defines the memory layout of a program at runtime. A program header is a description of a program segment. A program s...
ELF文件格式中,程序头部(ProgramHeader)是如何指导操作系统的程序加载过程,特别是在动态链接中起到了哪些关键作用?
11-07
程序头部(ProgramHeader)在ELF文件中扮演着至关重要的角色,尤其是在程序的加载和动态链接过程中。它为操作系统提供了如何将程序映射到进程地址空间的指令,这些指令包括了程序的入口点、各个段(如代码段和数据段...
ELF文件格式分析.pdf
06-24
- ELF目标文件格式具体由ELF头(ELF header)、节区(sections)、节区头部表(section header table)等组成。ELF头包含文件的元数据信息,如文件类型、机器类型、入口点地址等。节区则包含程序的代码和数据。 3....
Program Header Table(转载)
heyangge的博客
11-22 214
程序头表与段表相互独立,由ELF文件头统一管理。程序头表负责ELF文件文件到加载后映像的映射关系,一般只有可执行文件包含。
ELF格式解读-程序头与内存布局
不会写代码的丝丽
05-02 2736
前言 ELF格式解读-(1) elf头部与节头 我们知道ELF中有一个头部叫程序头,这个头部专门用于将ELF加载内存中使用。 参考 Why ELF program headers have two LOAD entries, while the program layout three sections Hardening ELF binaries using Relocation Read-Only (RELRO) [阅读型]CTF中linux pwn的四大基本防御措施 Program Header
9.5. Segments and the Program Header Table
mounter625的专栏
10-26 288
9.5. Segments and the Program Header Table The program header table is only used for executables, shared libraries, and core files. It contains information about the segments in an ELF file and how t...
程序的本质之二ELF文件文件头、section headerprogram header
热门推荐
tanglinux
10-17 1万+
操作系统:CentOS Linux release 7.7.1908 内核版本:3.10.0-1062.1.1.el7.x86_64 运行平台:x86_64 参考文献:http://refspecs.linuxfoundation.org/ 本文根据/usr/include/elf.h文件和程序编译的详细过程文中所述的tanglinux来分析可执行文件文件头、section hea...
ELF程序头分析
astrotycoon
12-20 847
未完待续。 参考链接: 《Program Header
ELF文件类型 ELF程序头 ELF节头 ELF符号
kernweak的博客
09-12 2279
ELF文件类型 首先ELF文件可以被标记为以下几个类型: ET_NONE:未知类型。 ET_REL:重定位文件,类型标记为relocatable意为着该文件被标记为了一段可重定位的代码段,有时也称为目标文件。可重定位目标文件通常是还未被链接到可执行程序的一段位置独立的代码。编译完是.o的格式。 ET_EXEC:可执行文件,类型为executable,表明这个文件被标记为可执行文件。这种类型被...
ELF()程序头表
ylcangel的专栏
01-11 8624
程序头表 以32位为例;程序头表由几个项组成,其处理方式类似于数组项。 数据结构 /* Program segment header.  */   typedef struct {  Elf32_Word  p_type;                       /* Segment type */          描述段的种类,其中段的种类如下:          PT_
ELF目标文件链接与程序头表
肖恩123的博客
04-02 1227
今天做OS实验时发现一个问题如题,困扰很久,通过试错硬是把原因给试出来了。 在开始描述问题之前,首先对了解下ELF文件的结构。ELF文件由4部分组成,分别是ELF头(ELF header)、程序头表Program header table)、节(Section)和节头表(Section header table)。实际上,一个文件中不一定包含全部内容(比如对于目标文件来说没有程序头表),而且它们的位置也未必如下图所示这样安排,只有ELF头的位置是固定的,其余各部分的位置、大小等信息由ELF头中的各项值.
Linux逆向---ELF格式分析之文件头和程序头
zekdot的博客
11-28 3127
Linux下,可以利用vim编辑器来对编译生成后的可执行程序进行编辑,比如说把75jne指令改成74je指令,这样可以在不重新编译的情况下去修改程序的控制流,这样玩感觉还是很有意思的,不过也仅限于此,所以我借了一本书想要学学逆向。。结果发现这本书真的难啃。。如果只是读它的内容的话很快就读过去了,但是会发现读完之后自己还是什么都不知道,于是我决定慢慢读,并且用例子去对照着看,感觉这样或许会有些效果...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值