可执行文件的装载

最新推荐文章于 2023-01-10 12:10:06 发布
最新推荐文章于 2023-01-10 12:10:06 发布
阅读量1.2k 收藏 1
点赞数 1
分类专栏: 编程基础 文章标签: 装载
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leon_unique/article/details/8717947
版权
    这里,我们从OS的角度来阐述一个可执行文件如何被装载,并且同时在进程中执行。一个可执行文件从装载到执行,最开始只需要做三件事情:
  • 创建一个独立的虚拟地址空间
  • 读取可执行文件头,并且建立虚拟空间与可执行文件的映射关系
  • 将CPU指令寄存器设置成可执行文件的入口地址,启动运行
Linux下,创建虚拟地址空间只是分配一个页目录就可以了,甚至不设置页映射关系。当程序发生页错误时,OS将从物理内存中分配一个物理页,然后将“缺页”读取到内存中,在设置缺页的虚拟页和物理页的映射关系。显然,当OS捕获到缺页错误时,它应知道程序目前所需要的页在可执行文件中的哪个位置。这就是虚拟空间与可执行文件之间的映射关系,也是传统意义上的“装载”过程。这种映射关系只是保存在操作系统内部的一个数据结构。Linux将进程虚拟空间中的一个段叫做虚拟内存区域。将CPU指令寄存器设置为可执行文件入口,从进程角度来看,这一步可以简单地认为OS执行了一条跳转指令。
    上述步骤执行完以后,其实可执行文件的真正指令和数据都没有被转载到内存中,操作系统只是通过可执行文件头部的信息建立起可执行文件和进程虚拟之间的数据结构而已。当CPU开始执行这个地址的指令时,发现该页面是个空页面,于是它就认为这是一个页错误。CPU将控制权交给OS,OS根据映射关系找到空页面所在的VMA,计算出相应的页面在可执行文件中的偏移,然后在物理内存中分配一个物理页面,将进程中该虚拟页与分配的物理页之间建立映射关系,然后把控制权交给进程继续执行。
    OS在装载时,只关心一些跟装载相关的问题,最主要的是段的权限。在ELF文件中,段的权限往往只有为数不多的几种组合:
  • 以代码段为代表的权限为可读可执行的段
  • 以数据段和BSS段为代表的权限为可读可写的段
  • 以只读数据段为代表的权限为只读的段
OS给出一个简单的方案,对于相同权限的段,把它们合并到一起当作一个段进行映射。ELF可执行文件引入了一个概念“segment”,一个“segment”包含一个或多个属性类似的“section”。这样做的好处是可以很明显的减少页面内部碎片,从而节省了内存空间。下面是一个很小的程序: 
//SectionMapping

#include <stdlib.h>
int main()
{
    while(1)
        sleep(1000);
    return 0;
}
    
使用静态链接的方式将其编译成可执行文件,得到一个elf文件
$ gcc -static SectionMapping.c -o SectionMapping.elf
    使用readelf查看该elf文件的section: $ readelf -S SectionMapping.elf
    也可以使用readelf命令查看ELF的“Segment”,描述“segment”的结构叫程序头( Program Header),它描述了ELF文件该如何被OS映射到进程的虚拟空间: $ readelf -l SectionMapping.elf

    从装载的角度,我们只关心“LOAD”类型的Segment。Segment[00]是可读可执行的,统一被映射到VMA0;Segment[01]是可读写的,统一被映射到VMA1。
    
    操作系统通过给进程空间划分出一个个VMA来管理进程的虚拟空间,基本原则是将相同权限属性的、有相同映像文件的映射成一个VMA;一个进程基本上可以分为如下几种VMA区域:
  • 代码VMA,权限可读、可执行;有映像文件
  • 数据VMA,权限可读写、不可执行;有映像文件
  • 堆VMA,权限可读写、不可执行;无映像文件,匿名,可向上扩展
  • 栈VMA,权限可读写、不可执行;无映像文件,匿名,可向下扩展
Linux下,我们可以通过查看/proc来查看进程的虚拟空间分布:
$ ./SectionMapping.elf &
[1] 3061
$ cat /proc/3061/maps

    我们从权限属性可以看出VMA1可执行,映射到代码段等;VMA2同VMA1有映像文件,可读写不可执行,VMA2映射到数据段等;VMA3为堆VMA;VMA4为栈VMA。

下面简介下Linux内核装载ELF过程:
    首先在用户层面,bash进程会调用fork()系统调用创建一个新的进程,然后新的进程调用execve()系统调用执行指定的ELF文件,原先的bash进程继续返回等待刚启动的新进程结束,然后继续等待用户输入命令。
    在进入execve()系统调用之后,Linux内核就开始进行真正的装在工作。在内核中,execve()系统调用相应的入口时sys_execve(),内部调用do_execve()。do_execve()会首先查找被执行的文件,如果找到文件,则读取文件的前128字节,然后调用search_binary_handle()去搜索和匹配合适的可执行文件装在处理过程。Linux中所有被支持的可执行文件格式都有相应的装在处理过程,search_binary_handle()会通过判断文件头部的魔数确定文件的格式,并调用相应的装载处理过程;这里我们只关心ELF可执行文件的装载,load_elf_binary(),它的主要套路是:
  1. 检查ELF可执行文件的有效性;
  2. 寻找动态链接的“.interp”段,设置动态链接路径
  3. 根据ELF的程序头表的描述,对ELF文件进行映射
  4. 初始化ELF进程环境
  5. 将系统调用的返回地址修改为ELF文件的入口点;入口点取决于程序的链接方式,静态链接ELF文件的头文件中e_entry所指的地址,动态链接ELF文件则入口点为动态链接器
当sys_execve()从内核态返回到用户态时,EIP寄存器直接跳转到ELF程序入口地址,程序开始执行,装载完成。
leon_unique
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
可执行文件装载与进程
Coder_py的博客
04-09 704
可执行文件装载与进程 进程虚拟地址空间 程序与进程的区别? 程序是一个静态的概念,就是一些预先编译好的指令和数据集合的一个文件 进程则是一个动态的概念,它是程序运行的一个过程,很多候吧动态库也叫作运行 每个程序被运行起来以后,它将拥有自己独立的虚拟地址空间(Virtual Address Space),这个虚拟地址空间的大小由计算机的硬件平台决定,**具体地说是由CPU的位数决...
连接器和装载可执行文件ELF
08-16
ELF 文件格式 与连接器 装载虚拟进程空间
GhidraXBE:用于加载Xbox可执行文件(.xbe文件)的Ghidra扩展
02-04
Ghidra XBE装载机 这是Ghidra扩展,增加了对打开.xbe文件的支持。 这些文件由原始Xbox用来存储可执行文件,因此可以在Ghidra对它们进行反向工程。 该项目也是为了探索Ghidra的API而创建的,因此如果您要构建自己的扩展,它也可能是一个有用的起点。 正在安装 提供了预构建的ZIP。 只需下载随附的最新版本的.zip文件(例如ghidra_9.0_PUBLIC_20190313_GhidraXBE.zip ),打开Ghidra,转到“ File -> Install Extensions... ,单击+ ,然后选择下载的文件。 贡献 关于Ghidra的API仍有很多事
从操作系统角度看可执行文件装载和执行
01-20
进程的建立:   创建一个进程,然后装载相应的可执行文件并执行。   1.创建一个独立的虚拟地址空间。   2.读取可执行文件头,并且建立虚拟空间与可执行文件映射关系。   3.将cpu的指令寄存器设置为可执行文件的入口地址,启动运行。   1.创建虚拟地址空间   创建一个虚拟地址空间并不是真正地创建空间而是创建映射函数所需要的相应的数据结构,在i386的linux下,创建虚拟地址实际上只是分配一个页目录(Page Directory)可以了。这一步的映射关系式虚拟空间到物理内存的映射关系。   2.读取可执行文件头,并且建立虚拟空间与可执行文件映射关系   可执行文件
PE(.exe)文件生成器
03-09
.版本 2 .局部变量 段, 段, , "0" .局部变量 表目录, 表目录, , "0" .局部变量 现行位置 .局部变量 段数 .局部变量 段内存地址, , , "0" .局部变量 段占用文件大小 .局部变量 代码入口地址 .局部变量 表的数量, 整数型 .局部变量 计次, 整数型 .局部变量 计次2, 整数型 .局部变量 代码段地址, 整数型 .局部变量 文件对齐度 .局部变量 DOS数据, 字节集 .局部变量 首选装载地址, 整数型 .局部变量 控制台程序, 逻辑型 现行位置 = 取字节集数据 (文件, #整数型, #MZ头长度 - 3) + 1 ' DOS数据 = 取字节集间 (文件, #MZ头长度 + 1, 现行位置 - #MZ头长度 - 1) .如果真 (取字节集数据 (文件, #整数型, 现行位置) ≠ #PE署名) 返回 () .如果真结束 现行位置 = 现行位置 + 2 段数 = 取字节集数据 (文件, #短整数型, 现行位置) 重定义数组 (段, 假, 段数) 重定义数组 (段内存地址, 假, 段数) 现行位置 = 现行位置 + 32 代码入口地址 = 取字节集数据 (文件, #整数型, 现行位置) 代码段地址 = 取字节集数据 (文件, #整数型, 现行位置) 现行位置 = 现行位置 + 4 首选装载地址 = 取字节集数据 (文件, #整数型, 现行位置) 现行位置 = 现行位置 + 4 文件对齐度 = 取字节集数据 (文件, #整数型, 现行位置) 现行位置 = 现行位置 + 28 控制台程序 = 取字节集间 (文件, 现行位置, 2) = { 3, 0 } 现行位置 = 现行位置 + 24 表的数量 = 取字节集数据 (文件, #整数型, 现行位置) 重定义数组 (表目录, 假, 表的数量) .计次循环首 (表的数量, 计次) 表目录 [计次].地址 = 取字节集数据 (文件, #整数型, 现行位置) 表目录 [计次].大小 = 取字节集数据 (文件, #整数型, 现行位置) .计次循环尾 () .计次循环首 (段数, 计次) ' 段 [计次].名称 = 取字节集间 (文件, 现行位置, 8) 现行位置 = 现行位置 + 8 段 [计次].内存大小 = 取字节集数据 (文件, #整数型, 现行位置) 段内存地址 [计次] = 取字节集数据 (文件, #整数型, 现行位置) 段占用文件大小 = 取字节集数据 (文件, #整数型, 现行位置) 段 [计次].数据 = 字节集删尾空 (取字节集间 (文件, 取字节集数据 (文件, #整数型, 现行位置) + 1, 段占用文件大小)) 现行位置 = 现行位置 + 12 段 [计次].属性 = 取字节集数据 (文件, #整数型, 现行位置) .计次循环尾 () .计次循环首 (表的数量, 计次) .变量循环首 (段数, 1, -1, 计次2) .如果真 (表目录 [计次].地址 ≥ 段内存地址 [计次2]) 表目录 [计次].段号 = 计次2 表目录 [计次].地址 = 表目录 [计次].地址 - 段内存地址 [计次2] 跳出循环 () .如果真结束 .变量循环尾 () .计次循环尾 () .计次循环首 (段数, 计次) .如果真 (段内存地址 [计次] = 代码段地址) 代码入口地址 = 代码入口地址 - 代码段地址 生成PE文件 (首选装载地址, 段, 计次, 代码入口地址, 文件对齐度, 表目录, DOS数据, 控制台程序) 跳出循环 () .如果真结束 .计次循环尾 ()
PE详解(windows 可移植的执行体)
06-06
PE 的意思就是 Portable Executable(可移植的执行体)。它是 Win32环境自身所带的执行体文件格式。它的一些特性继承自 Unix的 Coff (common object file format)文件格式。"portable executable"(可移植的执行体)意味着此文件格式是跨win32平台的 : 即使Windows运行在非Intel的CPU上,任何win32平台的PE装载器都能识别和使用该文件格式。当然,移植到不同的CPU上PE执行体必然得有一些改变。所有 win32执行体 (除了VxD和16位的Dll)都使用PE文件格式,包括NT的内核模式驱动程序(kernel mode drivers)。因而研究PE文件格式给了我们洞悉Windows结构的良机。
可执行文件装载过程
刘锡明的专栏
05-12 1356
应用程序,其实就是一系列的指令,以及指令所操作的数据。为了执行这些指令,并通过指令操作数据,需要将应用程序文件加载到内存。然后从程序的入口开始逐条执行程序文件的指令。         在介绍应用程序的装载过程之前,需要先了解可执行文件映射到内存后的布局情况。应用程序的内存通常是按如下方式分布:                 每个应用程序的逻辑内存在32位机器上共有4GB,上图只标出
linux内核是如何执行程序的,Linux内核如何装载和启动一个可执行程序
weixin_34221653的博客
05-11 504
2. 实验步骤与上一课的实验步骤基本相同,在shell依次运行以下命令,并编译运行cd LinuxKernelrm menu -rfcd menumv test_exec.c test.cmake rootfs重新回到shell窗口,cd LinuxKernel回退到LinuxKernel目录,使用下面的命令启动内核qemu -kernel linux-3.18.6/arch/x86/boot/...
linux vma 是什么
aningxiaoxixi的博客
06-01 1062
可使用内存产生 1 用户空间动态申请内存往往只是获得一块虚拟地址的使用权 2 而并没有将这块虚拟地址区域与实际的物理内存对应上, 3 只有当用户空间真正操作申请的内存,才会触发一次缺页异常,这内核才会分配实际的物理内存给用户空间。 用户进程的虚拟地址空间包含了若干区域 大致为 可执行文件的二进制代码,也就是程序的代码段 存储全局变量的数据段 用于保存局部变量和实现函数调用的栈 环境变量和命令行参数 程序使用的动态库的代码 用于映射文件内容的区域 虚拟内存区域(virtual memory
操作系统实验-linux内存管理
m0_49071428的博客
01-10 1195
操作系统实验linux内存管理
linux 虚拟内存 mmap,linuxVM虚拟内存区域及mmap方法实现
weixin_32258183的博客
05-02 442
linuxVM虚拟内存区域及mmap方法实现文件映射是虚存的心概念, 文件映射一方面给用户提供了一组措施, 好似用户将文件映射到自己地址空间的某个部分, 使用简单的内存访问指令读写文件;另一方面, 它也可以用于内核的基本组织模式, 在这种模式种, 内核将整个地址空间视为诸如文件之类的一组不同对象的映射. 的传统文件访问方式是, 首先用open系统调用打开文件, 然后使用read, write...
6.程序员的自我修养---可执行文件装载与进程
enlyhua的专栏
11-06 324
1.进程地址虚拟空间 程序是一个静态的概念,它就是一些预先编译好的指令和数据集合的一个文件;进程是一个动态的概念,它是程序运行的一个过程,很多候把动态库 叫做运行也有一定的含义。 每个程序被运行起来以后,它将拥有自己独立的虚拟地址空间,这个虚拟地址空间的大大小由计算机的硬件平台决定,具体的说是由 CPU 的位数决定的。 硬件决定了地址空间的最大理论上线,即硬件的寻址空间...
6.可执行文件装载与进程
xiziyunqi的博客
10-25 484
可执行文件只有装载到内存后才能被CPU执行。 6.1进程虚拟地址空间 因为程序在运行的候处于操作系统的监管下,操作系统为了达到监控程序运行等一系列目的,进程的虚拟空间都在操作系统的掌握之。进程只能使用那些操作系统分配给进程的地址,如果访问未经允许的空间,那么操作系统就会捕获到这些访问,将进程的这种访问当作非法操作,强制结束进程。我们经常在Windows下碰到“进程因为非法操作需要关闭”或Li
Linux 装载可执行程序过程的分析
狐狸哥的专栏
04-08 602
内容说明 本次的内容,是一次 MOOC 课程的作业。具体的,是使用汇编对 Linux 系统调用部分进行模拟实现,从而更加直观的验证 Linux 系统的基本机制。 作业声明 qianyizhou17 + 原创作品转载请注明出处 + 《Linux 内核分析》MOOC 课程 http://mooc.study.163.com/course/USTC-1000029000 实验准备 1 本次实验
linux如何把文件装载至内存,Linux可执行文件如何装载进虚拟内存
weixin_39988197的博客
05-12 358
开篇先抛出几个问题,之后逐个击破:什么是进程的虚拟地址空间?为什么进程要有自己的虚拟地址空间,这样做有什么好处?我们都听说过页映射,什么是页映射,操作系统为什么要以页映射方式将程序映射到进程地址空间,这样做有什么好处?程序运行过程发生页错误如何处理?什么是进程?从操作系统的角度来看,进程是如何被建立的?进程虚拟地址空间的分布是什么样的?Linux是如何装载并运行ELF程序的?虚拟地址空间what...
镜像文件不装载可以直接运行里面的exe文件吗?
最新发布
06-09
通常情况下,镜像文件可执行文件(例如 .exe 文件)需要通过安装程序进行安装才能正常运行,而不能直接运行镜像文件可执行文件。 这是因为镜像文件通常只是一个包含了一组文件的映像,需要通过虚拟光驱或解...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值