【1000个Linux内存知识-007】-ELF文件中的段Segment和节Section的区别是什么?代码段和数据段是段还是节?.bss .data是什么?【readlef -l】

已于 2023-08-12 12:08:18 修改
阅读量1.4k 收藏 5
点赞数 1
分类专栏: 1000个Linux内存子系统知识 文章标签: ELF
于 2023-08-07 00:23:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/essencelite/article/details/132137767
版权

文章目录

基础意思

  • Segment 段,不是指平时所说的代码段,数据段。在ELF格式里面,他表示某一块具有相同属性的节的集合,所谓属性主要是可读、可写、可执行等。比如可读可执行段
  • Section 节,比如.data .bss叫做节 其实不是段

其他引用:

ELF 程序头是对二进制文件中段的描述,是程序装载必需的一部分。段(segment)是在内核装载时被解析的,描述了磁盘上可执行文件的内存布局以及如何映射到内存中。可以通过引用原始 ELF 头中名为 e_phoff(程序头表偏移量)的偏移量来得到程序头表

所以Segment本质是作为一个节簇,使用某种相同的方式加载到内存中的一个整体操作单元。代表的是加载属性。影响的是加载时期的行为。运行时期的行为是节来其主要作用的。

参考描述

所以还是用中文表达不准确。先看一段说明:参考如下描述:

节,不是段。段是程序执行的必要组成部分。
在每个段中,会有代码或者数据被划分为不同的节。节头表是对这些节的位置和大小的描述,主要用于链接和调试。节头对于程序的执行来说不是必需的,没有节头表,程序仍可以正常执行,因为节头表没有对程序的内存布局进行描述,对程序内存布局的描述是程序头表的任务。节头是对程序头的补充。readelf –l 命令可以显示一个段对应有哪些节,可以很直观地看到节和段之间的关系。
每一个节都保存了某种类型的代码或者数据。数据可以是程序中的全局变量,也可以是链接器所需要的动态链接信息。每个 ELF 目标文件都有节,但是不一定有节头,尤其是有人故意将节头从节头表中删除了之后。当然,默认是有节头的。
通常情况下,这是由于可执行文件被篡改导致的(如去掉节头来增加调试的难度)。GNU 的 binutils 工具,像 objcopy、objdump,还有 gdb 等,都需要依赖节头定位到存储符号数据的节来获取符号信息。如果没有节头,gdb和 objdump 这样的工具几乎无用武之地。
节头便于我们更细粒度地检查一个 ELF 目标文件的某部分或者某节。事实上,有了节头,一些需要使用节头的工具,如 objdump 等,就能为逆向工程带来很多便利。如果去掉了节头表,就无法获取像.dynsym 这样的节,而在.dynsym 节中包含了描述函数名和偏移量/地址的导入/导出符号。
–《Linux二进制分析》

实操例子

下面是一个普通c函数编译后的效果:

c语言:

#include "stdio.h"
int main()
{
	printf("haha\n");
	return 0;
}

二进制程序头 readelf -l

# readelf -l a.out

Elf file type is DYN (Shared object file)
Entry point 0x530
There are 9 program headers, starting at offset 64

Program Headers:
  Type           Offset             VirtAddr           PhysAddr
                 FileSiz            MemSiz              Flags  Align
  PHDR           0x0000000000000040 0x0000000000000040 0x0000000000000040
                 0x00000000000001f8 0x00000000000001f8  R      0x8
  INTERP         0x0000000000000238 0x0000000000000238 0x0000000000000238
                 0x000000000000001c 0x000000000000001c  R      0x1
      [Requesting program interpreter: /lib64/ld-linux-x86-64.so.2]
  LOAD           0x0000000000000000 0x0000000000000000 0x0000000000000000
                 0x0000000000000830 0x0000000000000830  R E    0x200000
  LOAD           0x0000000000000db8 0x0000000000200db8 0x0000000000200db8
                 0x0000000000000258 0x0000000000000260  RW     0x200000
  DYNAMIC        0x0000000000000dc8 0x0000000000200dc8 0x0000000000200dc8
                 0x00000000000001f0 0x00000000000001f0  RW     0x8
  NOTE           0x0000000000000254 0x0000000000000254 0x0000000000000254
                 0x0000000000000044 0x0000000000000044  R      0x4
  GNU_EH_FRAME   0x00000000000006ec 0x00000000000006ec 0x00000000000006ec
                 0x000000000000003c 0x000000000000003c  R      0x4
  GNU_STACK      0x0000000000000000 0x0000000000000000 0x0000000000000000
                 0x0000000000000000 0x0000000000000000  RW     0x10
  GNU_RELRO      0x0000000000000db8 0x0000000000200db8 0x0000000000200db8
                 0x0000000000000248 0x0000000000000248  R      0x1

 Section to Segment mapping:
  Segment Sections...
   00
   01     .interp
   02     .interp .note.ABI-tag .note.gnu.build-id .gnu.hash .dynsym .dynstr .gnu.version .gnu.version_r .rela.dyn .rela.plt .init .plt .plt.got .text .fini .rodata .eh_frame_hdr .eh_frame
   03     .init_array .fini_array .dynamic .got .data .bss
   04     .dynamic
   05     .note.ABI-tag .note.gnu.build-id
   06     .eh_frame_hdr
   07
   08     .init_array .fini_array .dynamic .got

正如前面表达的,Segment段是影响加载期间的,所以在上面程序头每个段有flags是加载为可读可写可执行的某些权限。(注意这里加载到内存后,在linux按照页映射到物理内存,页表里面就会指定权限,从而进一步就会影响平时经常出现的Segment Fault,所谓的段错误就是一个地址访问的时候发现不是合法的,怎么判断不是合法的,就是通过虚拟地址访问页表访问到物理页的时候页的属性可能不具有写的属性,就是段错误了。本来操作数据段 结果操作到了其他段)

ELF文件中程序头对应的就是段Segment,第03个Segment就是我们常说的数据段 data segment。然后数据段包含了 .data节和.bss节。并且.bss 节总是放在 data 段的末尾,这是链接器脚本决定的。
另外所谓的代码段不仅仅不好的是代码,比如.rodata是存储类似printf中的常量字符串,这个看似是数据段的,实际在代码段。
这些都是链接器脚本决定的,一个 ELF 可执行文件,链接器脚本能够决定该输出文件的布局,以及每个段里面包含哪些节。

综述

所以,ELF文件中的段Segment和节Section的区别是什么?平时说的代码段和数据段是Section还是Segment?.bss .data是什么?

  1. ELF文件中的段Segment和节Section的区别是什么?

Segment是ELF加载到内存时候映射使用的控制属性的单元,是节的集合。影响的是加载期间的行为。(当然加载后段的属性 也会控制安全 比如段错误 而不是节错误)
Section是根据功能组织的程序单元,也是我们平时谈及所谓的"段"(代码段、数据段),真正正的代码段是多个section组合出来的section。影响的运行期间的行为。

  1. 平时说的代码段和数据段是Section还是Segment?

平时说的代码段和数据段是section节,比如.bss节,.data节 .text节,但是.bss .data都在数据段,但是.rodata不在数据段。平时所说的真正数据段,是ELF的程序头,属性是DYNAMIC,权限flags是R W,包含了.bss .data等。平时所谓的代码段 属性也是DYNAMIC flags是R E。所以我们拿到某个函数地址 他所在的段映射到内存的地址就有E权限。

  1. .bss .data是什么?

是section 节,不是所谓的代码段,或者说他是代码段,但不是所有。是属于代码段。
最后记住readlef -l 是查看程序头的

参考:
https://bbs.kanxue.com/upload/attach/202007/767964_J5AKCEMWBFUQ655.pdf

探索ELF可执行文件的“干货”:头表的基本介绍
tyler_download的专栏
11-08 620
可执行文件的数据结构通常都很复杂繁琐。原因在于程序在加载到内存中执行时需要经过一系列非常复杂的步骤。例如要计算数据或代码被加载到虚拟内存时的位置,计算重定向数值,实现不同代码的链接等。 本我们一点一滴的了解的数据格式作用,这对我们后面了解Linux系统如何加载运行程序,并掌握相关的高级hack技术有非常重要的作用,首先我们看头对应的数据结构,它用于描述ELF文件中某个的基本特征: typedef struct { uint32_t sh_name; #名 uint32_t sh_type;
Linux0.11代码分析】09 之 ELF可执行程序02 - Section Headers解析
|~~~热爱生活、努力学习的小伙汁~~~|
05-22 819
Linux0.11代码分析】09 之 ELF可执行程序02 - Section Headers解析
ELF文件sectionsegment区别
joker0910的专栏
06-12 1万+
1. ELF中的section主要提供给Linker使用, 而segment提供给Loader用,Linker需要关心.text, .rel.text, .data, .rodata等等,关键是Linker需要做relocation。而Loader只需要知道Read/Write/Execute的属性。a.out格式没有这种区分。(注意现在使用gcc编译出来的a.out文件只是取该名字而已,文件格式
SectionSegment间的区别
https://github.com/blingbling-110
09-02 1万+
SectionSegment间的区别汇编语法关键字程序的加载链接过程示例总结 汇编语法关键字 在汇编源码中,通常用语法关键字sectionsegment来表示一区域,它们是编译器提供的伪指令,作用是相同的,都是在程序中"逻辑地"规划一区域,此区域便是。 注意,此时所说的sectionsegment都是汇编语法中的关键字,它们在语法中都表示"",不是,只是不同编译器的关键字不同而已,关键字segment在语法中也被认为与section意义相同。 也就是说,汇编语法关键字中的section或se
readelf命令指南
最新发布
小小菜鸟的博客
04-07 885
`readelf` 是 Linux 系统中用于分析 ELF(Executable and Linkable Format)格式文件(如可执行文件、目标文件、共享库等)的强大工具。它可以显示 ELF 文件的各种信息,例如头部信息、区(section)、符号表、动态链接信息等。
ELF文件
b1049112625的博客
01-19 819
本篇文章接着上一篇继续讲解本篇文章讲解ELF文件中的不同类型
Linux环境下错误的产生原因及调试方法小结
weixin_34191734的博客
11-06 4531
最近在Linux环境下做C语言项目,由于是在一个原有项目基础之上进行二次开发,而且项目工程庞大复杂,出现了不少问题,其中遇到最多、花费时间最长的问题就是著名的“错误”(Segmentation Fault)。借此机会系统学习了一下,这里对Linux环境下的错误做个小结,方便以后同类问题的排查与解决。 1. 错误是什么 一句话来说,错误是指访问的内存超出了系统给这个程序所设定的内存空间,...
ELF文件概述,虚拟内存装载,
WdIg-2023的博客
01-17 1274
ELF文件结构详解,从本质上理解ELF文件结构,区别,虚拟内存装载。
Linux内存管理--系列文章叁——ELF文件分析
CSDN_dyq111的博客
03-31 1075
从上述过程可以看出,目标文件是编译后但未进行链接的中间文件。虽然未链接可能导致它最后的可执行文件在结构上有少许的不同,但目标文件可执行文件的结构、内容相似。所以目标文件一般采用可执行文件的储存格式。动态链接库静态链接库也属于目标文件,它们也会按照可执行文件的格式来储存。ELF文件类型说明实例可执行文件(Executable File)可以直接执行的程序,一般没有拓展名/bin/bash共享目标文件(Shared Object File)
ELF文件解析加载(附代码)
热门推荐
珂珂可爱多
03-20 5万+
目录:1. elf文件基本概念2. elf文件结构3. elf文件装载4. 代码实现1.elf文件基本概念elf文件是一种目标文件格式,用于定义不同类型目标文件以什么样的格式,都放了些什么东西。主要 用于linux平台。windows下是PE/COFF格式。 可执行文件、可重定位文件(.o)、共享目标文件(.so)、核心转储文件都是以elf文件格式存...
Linux链接自定义一个section,So文件添加Section详细说明
weixin_36180515的博客
05-14 1222
简介在逆向Android底层时,一般都或多或少的接触so文件,需要逆向so文件,一般的方法是往so文件植入我们的调试的代码;而通常都是通过添加section来植入代码;查看本篇文章之前你需要先了解elf文件格式,so文件就是采用这种格式的简单介绍elf文件格式elf文件一般是由elf文件头、program header头(多个)、section(多个)section header头(多个组成...
Linux逆向---ELF格式分析之文件程序头
zekdot的博客
11-28 3045
Linux下,可以利用vim编辑器来对编译生成后的可执行程序进行编辑,比如说把75jne指令改成74je指令,这样可以在不重新编译的情况下去修改程序的控制流,这样玩感觉还是很有意思的,不过也仅限于此,所以我借了一本书想要学学逆向。。结果发现这本书真的难啃。。如果只是读它的内容的话很快就读过去了,但是会发现读完之后自己还是什么都不知道,于是我决定慢慢读,并且用例子去对照着看,感觉这样或许会有些效果...
程序运行之ELF文件
03-27 1167
从下面结果看到除了代码段数据段BSS以外,还有.rodata(只读数据段), .comment(注释信息),.note.GNU-stack(堆栈提示)。比如.text的偏移位置是0x40. 代表ELF的header占据的空间为0x00-0x40。另外GCC还提供了自定义,比如你可能希望变量或者某些部分代码能够放到你指定的中去实现特定的功能,比如满足硬件内存I/O的地址布局。hex代表的是三个的总长度。.shstrtab : 是各个的名称表,实际上是由各个的名字组成的一个字符串数组。
linux 程序的学习总结
常高伟的专栏
11-30 2744
linux程序的陆陆续续接触过一些,今天适当的总结一下,时间仓促,总结的比较零散。linux :text:已编译程序的机器代码。.rodata:只读数据。printf中的格式串,或者开关语句的跳转表。data:已初始化的全局变量。bss:未初始化的全局变量。symtab:符号表。注意:1、如果定义一个全局变量,int i = 0;它被初始化为0,但是,它却不是放在data中的,而是放在bss
汇编:SECTIONSEGMENT区别
weixin_30825199的博客
12-07 2983
在NASM中SECTIONSEGMENT是同义词,也就是完全相同。 参考:NASM Manual Unix的bin格式支持标准名,也就是.text,.data,.bss三个名,他们的属性是预定义的。 当自定义时,不能使用这三个名字。 转载于:https://www.cnblogs.com/xiyu714/p/10081947.html...
详解Linux进程的五个
Scott Wang's blog
05-18 1353
1.数据段: 用来存放可执行文件中已初始化的全局变量,换句话说就是存放程序静态分配的变量全局变量; 2.代码段代码段是用来存放可执行文件的操作指令,也就是说它是可执行程序在内存中的镜像。代码段需要防止在运行时被非法修改,所以只允许读取操作,而不允许写入(修改)操作-----它是不可写的; 3.BSS: 包含了程序中未初始化的全局变量,在内存bss全部置零;
linux中的代码段数据段、堆栈说明
会挽雕弓的专栏
10-18 1243
进 程(执行的程序)会占用一定数量的内存,它或是用来存放从磁盘载入的程序代码,或是存放取自用户输入的数据等等。不过进程对这些内存的管理方式因内存用途 不一而不尽相同,有些内存是事先静态分配统一回收的,而有些却是按需要动态分配回收的。对任何一个普通进程来讲,它都会涉及到5种不同的数据段。 一、Linux进程的五个 下面我们来简单归纳一下进程对应的内存空间中所包含的5种不同的数据区都是干什么
ELF文件
b1049112625的博客
01-18 1698
现代x86-64LinuxUnix系统使用可执行可链接格式(Execut- ableand LinkableFormat, ELF),与ELF同类型的文件是windows上的PE文件MacOS-X上的Mach-O文件本篇文章讲述ELF文件文件表。
Android平台上,OAT文件是如何通过ELF Header、ProgramHeaderTableSectionHeaderTable来优化原生代码的执行?
10-25
参考资源链接:[Android So ELF:OAT文件结构详解与移动安全链接](https://wenku.csdn.net/doc/4bok6hht6n?utm_source=wenku_answer2doc_content) 为了更深入地理解Android平台上的OAT文件优化机制,首先需要了解ELF文件格式的基本结构特性。ELF(Executable and Linkable Format)是一种在UNIX系统上广泛使用的标准文件格式,用于存储可执行文件、目标代码、核心转储等。Android系统的OAT文件是一种优化后的ELF格式,它通过ELF Header、ProgramHeaderTableSectionHeaderTable来实现对原生代码的优化动态链接。 ELF Header位于文件的最开始部分,它为整个文件提供了必要的元数据,包括文件类型、体系结构、程序入口点等信息。在OAT文件中,ELF Header帮助系统识别加载.oat文件,为后续的程序加载链接提供基础信息。 ProgramHeaderTable包含了加载运行程序所需的关键信息,描述了如何将ELF文件中的segment)映射到进程的地址空间。在OAT文件中,这部分信息指导Android运行时环境如何处理oatdataoatexec,以及如何动态链接执行native code。每个都具有特定的属性,例如可读、可写或可执行,这些属性通过ProgramHeaderTable来指定。 SectionHeaderTable则描述了ELF文件中的各个section),每个都包含了特定类型的数据,例如代码、初始化数据、符号表等。在OAT文件的上下文中,SectionHeaderTable有助于动态链接器找到必要的,例如动态符号表重定位表,并执行相应的动态链接操作。 通过这些机制,OAT文件能够将DEX文件中的方法转换为本地代码,提高运行时的性能。原生代码存储在oatexec中,而相关静态数据则存储在oatdata。程序头表区头部表共同工作,确保了这些数据代码能够被正确地加载、链接执行。 为了更好地掌握这些概念,建议阅读《Android So ELF:OAT文件结构详解与移动安全链接》。这本书详细解释了OAT文件的内部结构及其在Android系统中的应用,为开发者提供了深入理解ELF文件格式及其优化技术的机会,有助于在开发Android应用程序时进行性能调优安全加固。 参考资源链接:[Android So ELF:OAT文件结构详解与移动安全链接](https://wenku.csdn.net/doc/4bok6hht6n?utm_source=wenku_answer2doc_content)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值