The-ELF-Binary-Format

最新推荐文章于 2023-01-01 10:48:38 发布
置顶 最新推荐文章于 2023-01-01 10:48:38 发布
阅读量617 收藏
点赞数 1
分类专栏: RE 文章标签: ELF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/everywhere_wwx/article/details/80996816
版权
这篇博客深入探讨了ELF(Executable and Linkable Format)二进制文件的结构,包括文件类型、程序头、节头、符号和重定位。文章详细介绍了PT_LOAD、PT_DYNAMIC等程序头类型,以及.text、.data、.got.plt等节,强调了它们在程序执行和动态链接中的作用。此外,还讨论了动态链接器如何使用辅助向量、PLT和GOT进行动态链接,并解析了动态段在程序加载过程中的作用。
摘要由CSDN通过智能技术生成

The ELF Binary Format

1. ELF file types

一个ELF文件可以被标记为以下几种类型之一。

  • ET_NONE: 未知类型,不确定或未定义
  • ET_REL:重定位文件, ELF被标记为relocatable意味者该文件被标记一段可重定位的代码,或目标文件。可重定位目标文件通常是还未被链接到可执行程序的一段位置独立的代码Position independent code (PIC)。编译完代码后可以看到.o格式的文件,这种文件包含了创建可执行文件所需要的代码和数据。
  • ET_EXEC: 可执行文件, ELF类型为executable,意味着该文件被标记为可执行文件。 这些类型的文件也称为程序,是一个进程开始执行的入口。
  • ET_DYN: 共享目标文件,ELF类型为dynamic,意味着该文件被标记为了一个动态的可链接的目标文件,也称为共享库。这类共享库会在程序运行时被装载并链接到程序的进程镜像中。
  • ET_CORE: 核心文件,在程序崩溃或者进程传递了一个SIGSEGV信号(分段违规)时,会在核心文件中记录整个进程的镜像消息,可以用GDB读取这类文件来辅助调试并查找程序崩溃的原因。

使用readelf -h 可以查看ELF文件,查看原始的ELF文件头。ELF文件头从文件的0偏移开始,是除了文件头之后剩余部分文件的一个映射。随便找了一个在BSD编辑的EXEC文件,readelf -h 之后如下图

这里写图片描述

ELF头部的结构定义如下:

#define EI_NIDENT 16
           typedef struct {
   
               unsigned char e_ident[EI_NIDENT];
               uint16_t      e_type;
               uint16_t      e_machine;
               uint32_t      e_version;
               ElfN_Addr     e_entry;
               ElfN_Off      e_phoff;
               ElfN_Off      e_shoff;
               uint32_t      e_flags;
               uint16_t      e_ehsize;
               uint16_t      e_phentsize;
               uint16_t      e_phnum;
               uint16_t      e_shentsize;
               uint16_t      e_shnum;
               uint16_t      e_shstrndx;
           } ElfN_Ehdr;

ps:readelf命令

readelf -S <object> //查询节头表
readelf -l <object> //查询程序头表
readelf -s <object> //查询符号表
readelf -e <object> //查询ELF文件头数据
readelf -r <object> //查询重定位入口
readelf -d <object> //查询动态段

2. ELF program headers

ELF程序头是对二进制文件中段的描述,是程序装载必需的一部分。段(segment)是在内存装载时被解析的,描述了磁盘上可执行文件的内存布局以及如何映射到内存中。

程序头描述了可执行文件(包括共享库)中段及其类型(为那种类型的数据或代码而保留的段)。

//ELF32_Phdr结构,构成了32位ELF可执行文件程序头表的一个程序头条目。 program header table
typedef struct {
   
    uint32_t   p_type;   (segment type)
    Elf32_Off  p_offset; (segment offset)
    Elf32_Addr p_vaddr;   (segment virtual address)
    Elf32_Addr p_paddr;    (segment physical address)
    uint32_t   p_filesz;   (size of segment in the file)
    uint32_t   p_memsz; (size of segment in memory)
    uint32_t   p_flags; (segment flags, I.E execute|read|read)
    uint32_t   p_align;  (segment alignment in memory)
  } Elf32_Phdr;
// 这些变量描述了段在文件和内存中的布局

下面讨论5个常见的程序头类型。

1.PT_LOAD

一个可执行文件至少有一个PT_LOAD类型的段

这类程序头描述的是可装载的段(a loadable segment),即这种类型的段将被装载或映射到内存中。

一个需要动态链接的ELF可执行文件通常包含以下两个可装载的段(类型为PT_LOAD)

  • 存放程序代码的text段;
  • 存放全局变量和动态链接信息的data段。

上面的两个段将会被映射到内存中,并根据p_align中存放的值在内存中对齐。

2.PT_DYNAMIC-动态段的Phdr

动态段是动态链接可执行文件所特有的,包含了动态链接器所必需的一些信息。在动态段中包含了一些标记值和指针,包括但不限于以下内容:

  • 运行时需要链接的共享库列表;
  • 全局偏移表(GOT,Global offset table)的地址;
  • 重定位条目的相关信息。

Following is complete list of the tag names:完整的标记名列表

Tag name/标记名 描述
DT_HASH 符号散列表的地址
DT_STRTAB 字符串表的地址
DT_SYMTAB 符号表的地址
DT_RELA 相对地址重定位表的地址
DT_RELASZ Rela表的字节大小
DT_RELAENT Rela表条目的字节大小
DT_STRSZ 字符串表的字节大小
DT_SYMENT 符号表条目的字节大小
DT_INIT 初始化函数的地址
DT_FINT 终止函数的地址
DT_SONAME 共享目标文件名的字符串表偏移量
DT_RPATH 库搜索路径的字符串表偏移量
DT_SYMBOLIC 修改链接器,在可执行文件之前的共享目标文件中搜索符号
DT_REL Rel relocs表的地址
DT_RELSZ Rel表的字节大小
DT_RELENT Rel表条目的字节大小
DT_PLTREL PLT引用的reloc类型(Rela或Rel)
DT_DEBUG 还未进行定义,为测试保留
DT_TEXTREL 缺少此项表明重定位只能应用于可写段
DT_JMPREL 仅用于PLT的重定位条目地址
DT_BIND_NOW 指示动态链接器在将控制权交给可执行文件之前处理所有的重定位
DT_RUNPATH 库搜索路径的字符串表偏移量

动态段包含了一些结构体,在这些结构中存放着与动态链接相关的信息。

//32位ELF文件的动态段结构体:d_tag成员变量控制着d_un的含义。
typedef struct {
   
Elf32_Sword    d_tag;
    union {
   
Elf32_Word d_val;
Elf32_Addr d_ptr;
    } d_un;
} Elf32_Dyn;
extern Elf32_Dyn _DYNAMIC[];

3. PT_NOTE

PT_NOTE类型的段可能保存了与特定供应商或者系统相关的附加消息。

//ELF规范中的定义
Sometimes a vendor or system builder needs to mark an object file with special information that other programs will check for conformance, compatibility, and so on. Sections of type SHT_NOTE and program header elements of type PT_NOTE can be used for this purpose. (SHT_NOTE类型的节section和PT_NOTE类型的程序头元素可以用于这一目的)The note information in sections and program header elements holds any number of entries, each of which is an array of 4-byte words in the format of the target processor. Labels appear below to help explain note information organization, but they are not part of the specification.

这一段只保存了操作系统的规范信息,在可执行文件运行时是不需要这个段的。(since the system will just assume the executable is native either way)。 容易成为病毒感染的一个地方。
NOTE段病毒(http://vxheavens.com/lib/vhe06.html

4. PT_INTERP

PT_INTERP段只将位置和大小信息存放在一个以null为终止符的字符串中,是对程序解释器位置的描述。例如 /lib/linux-ld

最低0.47元/天 解锁文章
Flemington、
关注
专栏目录
binary 格式和elf格式
banyang1325的博客
04-05 229
binary格式的文件其实就是把elf格式的文件头去掉,然后把各个segment按文件头的长度要求用0补齐写到binary文件里面。 所以在加载binary文件的时候,还是要加载到elf entry 指定的地址,由于加载地址没有改变,所以binary里面的代码引用的地址也不需要改变 转载于:https://www.cnblogs.com/simBCM/archive/2011/04/0...
load_elf_binary
ftwfff的专栏
08-21 597
load_elf_binary 流程: 填充并且检查目标程序ELF头部 load_elf_phdrs加载目标程序的程序头表 如果需要动态链接, 则寻找和处理解释器段 检查并读取解释器的程序表头 装入目标程序的段segment 填写程序的入口地址 create_elf_tables填写目标文件的参数环境变量等必要信息 start_kernel宏准备进入新的程序入口 ———————...
02 elfbinary 解析
970655147的专栏
01-01 906
需求来自于 linux binary 的执行分析, 以及一些反编译工具的实现。比如 readelf, hopper disassemble 什么的。主要的目的是 更加详细了解 elf 的文件格式。为 后续的一些 理解做准备。
ELF文件的加载过程(load_elf_binary函数详解)--Linux进程的管理与调度(十三)
热门推荐
OSKernelLAB(gatieme)
06-10 3万+
日期 内核版本 架构 作者 GitHub CSDN 2016-06-04 Linux-4.6 X86 & arm gatieme LinuxDeviceDrivers Linux进程管理与调度-之-进程的描述 加载和动态链接从编译/链接和运行的角度看,应用程序和库程序的连接有两种方式。 一种是固定的、静态的连接,就是把需要用到的库函数的目标代码(二进制)代
二进制文件基础(ELF
qq_52126646的博客
07-31 445
编译过程 ELF文件格式 静态链接 动态链接
riscv32-esp-elf-gcc8_4_0-esp-2021r1-linux-armel.tar.gz
12-25
"elf"是Executable and Linkable Format的缩写,是UNIX系统中的一种可执行文件格式。在嵌入式开发中,ELF文件包含了程序的二进制代码、符号表、重定位信息等,是编译链接后生成的中间结果,用于烧录到目标硬件。 ...
ELF for the Arm 64-bit Architecture
03-30
This document describes the use of the ELF binary file format in the Application Binary Interface (ABI)for the Arm 64-bit architecture.
bash: /usr/local/bin/aarch64-none-elf-gdb: cannot execute binary file: Exec format error
04-01
This error message means that the binary file `/usr/local/bin/aarch64-none-elf-gdb` cannot be executed because it is in the wrong format. This may happen if you are trying to execute a binary file ...
-bash: ./kp-hello: cannot execute binary file: Exec format error
最新发布
10-16
这个错误提示"bash: ./kp-hello: cannot execute binary file: Exec format error"表示你在尝试运行一个二进制文件(比如Linux下的可执行程序),但系统无法识别它的执行格式。通常这意味着两个情况之一: 1. **...
linux下read函数缺失字节_Linux下动态链接流程简要分析
weixin_40003767的博客
11-28 352
在CTF PWN中对于Linux底层的考察是很多的,而应用程序如何进行动态链接对于新手来说算是一个小考验,本篇文章主要记录Linux下动态链接的过程以及CTF中关于动态链接的注意点,还有Glibc版本不兼容的坑 内核加载ELF我们都知道应用程序要从C语言代码变成机器可以直接执行的代码要经过编译链接的步骤。在链接中有两种方式,一种是静态链接,一种是动态链接。静态链接指的就是程序在链接的...
binary格式和ELF格式区别。用ida打开的样子
HWP
03-11 730
binary格式的文件其实就是把elf格式的文件头去掉,然后把各个segment按文件头的长度要求用0补齐写到binary文件里面。 所以在加载binary文件的时候,还是要加载到elf entry 指定的地址,由于加载地址没有改变,所以binary里面的代码引用的地址也不需要改变。 binary打开的样子: ELF打开的样子: ...
Linux内和链接脚本之设置输出的Linux二进制内核的格式
bruce.zc_wang
09-04 269
02_OUTPUT_FORMAT OUTPUT_FORMAT ( bfdname ): 指定输出文件的格式。 注意: 链接器访问.o文件和文档文件使用BFD库。 BFD: Binary format descriptor, 即二进制文件格式描述符 如在u-boot.lds链接脚本中指定的输出文件格式: OUTPUT_FORMAT(“elf32-littlearm”, “elf32-littlear...
linux下实现在程序运行时的函数替换(热补丁)
weixin_30894389的博客
07-01 401
声明:以下的代码成果,是参考了网上的injso技术,在本文的最后会给出地址,同时非常感谢injso技术原作者的分享。    但是injso文章中的代码存在一些问题,所以后面出现的代码是经过作者修改和检测的。也正因为这些错误,加深了我的学习深度。   最近因为在学习一些调试的技术,但是很少有提到如何在函数运行时实现函数替换的。   为什么会想到这一点?因为在学习调试时,难免会看到一些内核...
0x80转二进制_ELF 转二进制(1/4): 用 objcopy 把 ELF 转成 Binary 并运行
weixin_39609573的博客
11-10 715
注:继前段时间连载多篇 ELF 相关文章后,今次再连载 4 篇,每周 1 篇,欢迎关注并分享。分享本文到朋友圈后再加微信 tinylab 可以申请整个系列的 PDF 合集(共 15 篇,126 页)。Linux ELF 系列文章合集(持续连载中):吴章金falcon:上手9套工具,玩转二进制文件吴章金falcon:为 Linux a.out 举行一个特殊的告别仪式吴章金falcon:在 498 行...
linux 自定义 文件系统,已解决: petalinux自定义文件系统问题 - Community Forums
weixin_39609822的博客
05-12 701
是因为我注意到.bb里有SRC_URI = "file://cpu0 \,所以考虑到改名字,我现在把app名和elf文件名改成了一样的cpu0,这个问题应该就不涉及到了。我创建了一个linx的helloworld,去掉.elf后缀后跑通了,用我原来的elf文件是跑不通的。所以问题可能出在哪里,我原工程是一个有很多源文件的C++工程。下面是报错的log。zynq@zynq-virtual-machi...
Android之SQLiteDatabase使用与特殊情况处理
Mike_Modern的专栏
06-17 3552
 1、打开数据库失败 static SQLiteDatabase openOrCreateDatabase(String path, CursorFactory factory)失败, 错误提示如下:android.database.sqlite.SQLiteCantOpenDatabaseException: unknown error (Sqlite code 14): Could no...
嵌入式Linux驱动笔记(二十三)------使用buidroot构建文件系统
风筝
03-13 1571
如上所述,Buildroot基本上是一组Makefiles,可以使用正确的选项下载,配置和编译软件。它还包括各种软件包补丁-主要参与的交叉编译工具链的那些(gcc,binutils和 uClibc)。 每个软件包基本上有一个Makefile,它们以.mk扩展名命名。Makefile分为许多不同的部分。 该toolchain/目录包含Makefile文件和相关文件的有关交叉编译工具链的所有软件:bi...
android 7.0 changes for NDK developers
lebsharing的专栏
02-21 928
原文可以去访问:https://developer.android.google.cn/ndk/index.html
bfd库使用-nm源码分析
他山随悟的专栏
03-23 6134
bfd介绍想深入了解elf等可执行文件的原理(包括结构、运行等细节),用bfd库作切入点是比较好的选择。BFD是Binary format descriptor的缩写, 即二进制文件格式描述,是很多可执行文件相关二进制工具(如nm、objdump、ar、as等命令)的基础库。bfd库可以用来分析、创建、修改二进制文件,支持多种平台(如x86、arm等)及多种二进制格式(如elf、core、so等)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值