ELF 文件格式 ------- 节头部表

已于 2023-03-12 23:11:21 修改
阅读量701 收藏 8
点赞数
分类专栏: elf 文章标签: linux elf
于 2023-03-12 22:43:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56548489/article/details/129482700
版权

1. 背景

​ 由于一直对 elf 文件充满好奇心,链接器如何将 elf 文件链接成可执行文件的?可执行文件为什么可执行?操作系统到底是怎么将该文件加载并让 CPU 去执行的?这些真要弄明白,其实并不容易,因此,首先就从 elf 文件的格式开始探索吧!!

2. 什么是 ELF

​ ELF(Executable and Linking Format)是一种文件格式,该格式的文件可执行,可链接。可执行是站在操作系统的角度的,可链接是站在链接器(Linker)的角度。可执行指的是操作系统能够加载该文件到内存中,并让 CPU 去执行该文件中的指令。可链接指的是链接器能够将分离的这种格式的文件链接(拼图)成为一个可以让操作系统加载的文件。

​ 实际上,让 cpu 执行与 链接器链接 这两个动作是非常复杂的,而 elf 格式的目的就是辅助操作系统或者链接器去完成这些动作,不然随意整一格式的文件,操作系统与链接器肯定是不认识的(除非自己写操作系统,自己写编译器、链接器,然后自己定出自己的格式)。

​ 经常使用的 ELF 文件类型

  • 可执行文件(.out): 该文件上述说过了,可被操作系统加载
  • 可重定位文件(.o): 上述可链接文件
  • 共享库文件(.so): 动态库文件
  • 内核转储文件(coredump): 当用户态程序发生段错误时,操作系统将该进程发生错误时刻的上下文保存到该文件中(pid、ppid、信号、寄存器等等信息)

3. 实验环境

  1. 操作系统使用的是 ubuntu 18.04,其他 linux 发行版皆可

  2. 编译工具链:gcc

  3. 实验源码,只编译不链接,本文章探究可重定位文件(可执行文件与之类似)。

    gcc -c my_test.c

unsigned int data_0 = 0xffff0000;
unsigned int data_1 = 0xffff1111;

static int data_bss;

int func_0(void);
int func_1(void);

  4. 可执行文件是将可重定位文件中相同类型的的 section 聚合到一起形成 Segment,这样有利于操作系统的加载。

4. ELF 文件布局

请添加图片描述

从上到下,包含了 elf 头、程序头表、各种类型的 section、节头表,从箭头可以看出,头表中指向了中间的各个节

section 本文叫做 节

5. ELF header

​ 头的作用就是为了表明,我是 elf 格式的文件,是一种身份的表示,使用 hexdump 工具将文件中的数据按照 16 进制的方式显示出来,如下

hexdump -n 512 -C my_test.o //打印前 512 字节,并显示出对应 ascii 码,高字节在后,如下

00000000  7f 45 4c 46 02 01 01 00  00 00 00 00 00 00 00 00  |.ELF............|
00000010  01 00 3e 00 01 00 00 00  00 00 00 00 00 00 00 00  |..>.............|
00000020  00 00 00 00 00 00 00 00  d0 01 00 00 00 00 00 00  |................|
00000030  00 00 00 00 40 00 00 00  00 00 40 00 09 00 08 00  |....@.....@.....|
00000040  00 00 ff ff 11 11 ff ff  00 47 43 43 3a 20 28 55  |.........GCC: (U|
00000050  62 75 6e 74 75 20 37 2e  35 2e 30 2d 33 75 62 75  |buntu 7.5.0-3ubu|
00000060  6e 74 75 31 7e 31 38 2e  30 34 29 20 37 2e 35 2e  |ntu1~18.04) 7.5.|
00000070  30 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |0...............|
00000080  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000090  01 00 00 00 04 00 f1 ff  00 00 00 00 00 00 00 00  |................|
000000a0  00 00 00 00 00 00 00 00  00 00 00 00 03 00 01 00  |................|
000000b0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000000c0  00 00 00 00 03 00 02 00  00 00 00 00 00 00 00 00  |................|
000000d0  00 00 00 00 00 00 00 00  00 00 00 00 03 00 03 00  |................|
000000e0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000000f0  09 00 00 00 01 00 03 00  00 00 00 00 00 00 00 00  |................|
00000100  04 00 00 00 00 00 00 00  00 00 00 00 03 00 05 00  |................|
00000110  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000120  00 00 00 00 03 00 04 00  00 00 00 00 00 00 00 00  |................|
00000130  00 00 00 00 00 00 00 00  12 00 00 00 11 00 02 00  |................|
00000140  00 00 00 00 00 00 00 00  04 00 00 00 00 00 00 00  |................|
00000150  19 00 00 00 11 00 02 00  04 00 00 00 00 00 00 00  |................|
00000160  04 00 00 00 00 00 00 00  00 68 65 6c 6c 6f 2e 63  |.........hello.c|
00000170  00 64 61 74 61 5f 62 73  73 00 64 61 74 61 5f 30  |.data_bss.data_0|
00000180  00 64 61 74 61 5f 31 00  00 2e 73 79 6d 74 61 62  |.data_1...symtab|
00000190  00 2e 73 74 72 74 61 62  00 2e 73 68 73 74 72 74  |..strtab..shstrt|
000001a0  61 62 00 2e 74 65 78 74  00 2e 64 61 74 61 00 2e  |ab..text..data..|
000001b0  62 73 73 00 2e 63 6f 6d  6d 65 6e 74 00 2e 6e 6f  |bss..comment..no|
000001c0  74 65 2e 47 4e 55 2d 73  74 61 63 6b 00 00 00 00  |te.GNU-stack....|
000001d0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
*
00000200

​ 这就是 elf 文件中前 512 字节的内容,文件头数据结构定义如下

/* linux 内核 elf.h  中定义 */

typedef __u64	Elf64_Addr;
typedef __u16	Elf64_Half;
typedef __s16	Elf64_SHalf;
typedef __u64	Elf64_Off;
typedef __s32	Elf64_Sword;
typedef __u32	Elf64_Word;
typedef __u64	Elf64_Xword;
typedef __s64	Elf64_Sxword;

#define EI_NIDENT 16

typedef struct elf64_hdr {
  unsigned char	e_ident[EI_NIDENT];// 7f 45 4c 46 02 01 01 00  00 00 00 00 00 00 00 00
  Elf64_Half e_type;// 01 00 ,elf 文件类型 1 为重定位文件
  Elf64_Half e_machine; // 3e 00
  Elf64_Word e_version; // 01 00 00 00 
  Elf64_Addr e_entry; // 00 00 00 00 00 00 00 00 程序入口地址,可重定位文件不可执行,此时还没有入口地址
  Elf64_Off e_phoff;// 00 00 00 00 00 00 00 00 由于是可重定位文件,暂时不存在程序头表,因此为 0
  Elf64_Off e_shoff;// d0 01 00 00 00 00 00 00 节头表在该文件中的偏移 0x1d0
  Elf64_Word e_flags; // 00 00 00 00
  Elf64_Half e_ehsize; // 40 00 elf header 大小,也就是在该文件中的占用也就是该结构的占用 sizeof(elf64_hdr)
  Elf64_Half e_phentsize; // 00 00 程序头表大小,可重定位文件中没有,因此为 0
  Elf64_Half e_phnum; // 00 00 程序头表个数,可重定位文件中没有,因此为 0
  Elf64_Half e_shentsize; //40 00 节头表大小,0x40 字节
  Elf64_Half e_shnum; // 09 00 节头表个数
  Elf64_Half e_shstrndx; // 08 00 节字符串表在 节头表中的下标
} Elf64_Ehdr;

据上述分析,ELF 文件头中的内容已经按照数据结构的定义一一对照起来了,可以使用 readelf -h my_test.o 进一步查看,如下

ELF 头:
  Magic:   7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00  // e_ident 16字节
  类别:                              ELF64 //  e_ident[4] == 02
  数据:                              2 补码,小端序 (little endian) // e_ident[5] == 01
  版本:                              1 (current) // e_ident[6] == 01
  OS/ABI:                            UNIX - System V // e_machine
  ABI 版本:                          0
  类型:                              REL (可重定位文件) // e_type
  系统架构:                          Advanced Micro Devices X86-64 // e_machine
  版本:                              0x1 // e_version
  入口点地址:               0x0 // e_entry
  程序头起点:          0 (bytes into file) // e_entry
  Start of section headers:          464 (bytes into file) // e_shoff 0x1d0
  标志:             0x0
  本头的大小:       64 (字节) // e_ehsize 0x40
  程序头大小:       0 (字节) // e_phentsize 0x00
  Number of program headers:         0 // e_phnum 0x00
  节头大小:         64 (字节) // e_shentsize 0x40
  节头数量:         9 // e_shnum 0x9
  字符串表索引节头: 8 // 0x8

​ 有了 elf head ,可以知道节头部表偏移,得到了 节头部表的位置,解析节头部表就能够找到 节,我们的代码中的 代码与数据就放在这些节中,比如代码放在 .text 节、可读写变量放在 .data 节、初始化为0或者未初始化的全局或静态变量放在 .bss 节、变量名称放在 .strtab 节、节名称放在 .shstrtab 节等等。

6. ELF section head table

​ 根据分析 elf 头我们知道 section head table 的位置 0x1d0,我们找到 0x1d0 的位置,将该文件用 hexdump -C my_test.o 全部打印出来,如下(hexdump 自动省略了一部分为0数据,用 *代替)

00000000  7f 45 4c 46 02 01 01 00  00 00 00 00 00 00 00 00  |.ELF............|
00000010  01 00 3e 00 01 00 00 00  00 00 00 00 00 00 00 00  |..>.............|
00000020  00 00 00 00 00 00 00 00  d0 01 00 00 00 00 00 00  |................|
00000030  00 00 00 00 40 00 00 00  00 00 40 00 09 00 08 00  |....@.....@.....|
00000040  00 00 ff ff 11 11 ff ff  00 47 43 43 3a 20 28 55  |.........GCC: (U|
00000050  62 75 6e 74 75 20 37 2e  35 2e 30 2d 33 75 62 75  |buntu 7.5.0-3ubu|
00000060  6e 74 75 31 7e 31 38 2e  30 34 29 20 37 2e 35 2e  |ntu1~18.04) 7.5.|
00000070  30 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |0...............|
00000080  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000090  01 00 00 00 04 00 f1 ff  00 00 00 00 00 00 00 00  |................|
000000a0  00 00 00 00 00 00 00 00  00 00 00 00 03 00 01 00  |................|
000000b0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000000c0  00 00 00 00 03 00 02 00  00 00 00 00 00 00 00 00  |................|
000000d0  00 00 00 00 00 00 00 00  00 00 00 00 03 00 03 00  |................|
000000e0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000000f0  09 00 00 00 01 00 03 00  00 00 00 00 00 00 00 00  |................|
00000100  04 00 00 00 00 00 00 00  00 00 00 00 03 00 05 00  |................|
00000110  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000120  00 00 00 00 03 00 04 00  00 00 00 00 00 00 00 00  |................|
00000130  00 00 00 00 00 00 00 00  12 00 00 00 11 00 02 00  |................|
00000140  00 00 00 00 00 00 00 00  04 00 00 00 00 00 00 00  |................|
00000150  19 00 00 00 11 00 02 00  04 00 00 00 00 00 00 00  |................|
00000160  04 00 00 00 00 00 00 00  00 68 65 6c 6c 6f 2e 63  |.........hello.c|
00000170  00 64 61 74 61 5f 62 73  73 00 64 61 74 61 5f 30  |.data_bss.data_0|
00000180  00 64 61 74 61 5f 31 00  00 2e 73 79 6d 74 61 62  |.data_1...symtab|
00000190  00 2e 73 74 72 74 61 62  00 2e 73 68 73 74 72 74  |..strtab..shstrt|
000001a0  61 62 00 2e 74 65 78 74  00 2e 64 61 74 61 00 2e  |ab..text..data..|
000001b0  62 73 73 00 2e 63 6f 6d  6d 65 6e 74 00 2e 6e 6f  |bss..comment..no|
000001c0  74 65 2e 47 4e 55 2d 73  74 61 63 6b 00 00 00 00  |te.GNU-stack....|
000001d0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................| // section head table
*
00000210  1b 00 00 00 01 00 00 00  06 00 00 00 00 00 00 00  |................|
00000220  00 00 00 00 00 00 00 00  40 00 00 00 00 00 00 00  |........@.......|
00000230  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000240  01 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000250  21 00 00 00 01 00 00 00  03 00 00 00 00 00 00 00  |!...............|
00000260  00 00 00 00 00 00 00 00  40 00 00 00 00 00 00 00  |........@.......|
00000270  08 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000280  04 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000290  27 00 00 00 08 00 00 00  03 00 00 00 00 00 00 00  |'...............|
000002a0  00 00 00 00 00 00 00 00  48 00 00 00 00 00 00 00  |........H.......|
000002b0  04 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
*
000002d0  2c 00 00 00 01 00 00 00  30 00 00 00 00 00 00 00  |,.......0.......|
000002e0  00 00 00 00 00 00 00 00  48 00 00 00 00 00 00 00  |........H.......|
000002f0  2a 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |*...............|
00000300  01 00 00 00 00 00 00 00  01 00 00 00 00 00 00 00  |................|
00000310  35 00 00 00 01 00 00 00  00 00 00 00 00 00 00 00  |5...............|
00000320  00 00 00 00 00 00 00 00  72 00 00 00 00 00 00 00  |........r.......|
00000330  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000340  01 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000350  01 00 00 00 02 00 00 00  00 00 00 00 00 00 00 00  |................|
00000360  00 00 00 00 00 00 00 00  78 00 00 00 00 00 00 00  |........x.......|
00000370  f0 00 00 00 00 00 00 00  07 00 00 00 08 00 00 00  |................|
00000380  08 00 00 00 00 00 00 00  18 00 00 00 00 00 00 00  |................|
00000390  09 00 00 00 03 00 00 00  00 00 00 00 00 00 00 00  |................|
000003a0  00 00 00 00 00 00 00 00  68 01 00 00 00 00 00 00  |........h.......|
000003b0  20 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  | ...............|
000003c0  01 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000003d0  11 00 00 00 03 00 00 00  00 00 00 00 00 00 00 00  |................|
000003e0  00 00 00 00 00 00 00 00  88 01 00 00 00 00 00 00  |................|
000003f0  45 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |E...............|
00000400  01 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000410

从 elf 头中可以知道每一个 section head table 的大小为 0x40 个字节,也就是从 0x1d0 开始,每 4 行数据代表一个 table,section head table 结构如下

typedef struct elf64_shdr {
  Elf64_Word sh_name;		/* 节名称在 节字符串表中的索引 */
  Elf64_Word sh_type;		/* 节类型 */
  Elf64_Xword sh_flags;		/* 标识该节的是否可修改可执行等内容 */
  Elf64_Addr sh_addr;		/* 该节在内存中的虚拟地址 */
  Elf64_Off sh_offset;		/* 节在该文件中的偏移 */
  Elf64_Xword sh_size;		/* 该节的大小 */
  Elf64_Word sh_link;		/* Index of another section */
  Elf64_Word sh_info;		/* Additional section information */
  Elf64_Xword sh_addralign;	/* Section alignment */
  Elf64_Xword sh_entsize;	/* 如果该节是一个表项,该值为每个表项的大小,如符号表 */
} Elf64_Shdr;

通过 struct elf64_shdr 这个结构,配合 hexdump 出来的数据,可以分析出各 section 的基本信息以及在该文件中的偏移,通过 readelf -h my_test.o 可以查看该 elf 文件中各个 section 的信息请添加图片描述

可以发现,.text 节位于 section head table 的 1 号位置,而每个表项占用 sizeof(struct elf64_shdr) = 64 字节,因此 .text 节头部表在该文件的起始节头部表 + 64 字节 = 0x1d0 + 0x40 = 0x210 处,如下

00000000  7f 45 4c 46 02 01 01 00  00 00 00 00 00 00 00 00  |.ELF............|
00000010  01 00 3e 00 01 00 00 00  00 00 00 00 00 00 00 00  |..>.............|
00000020  00 00 00 00 00 00 00 00  d0 01 00 00 00 00 00 00  |................|
00000030  00 00 00 00 40 00 00 00  00 00 40 00 09 00 08 00  |....@.....@.....|
00000040  00 00 ff ff 11 11 ff ff  00 47 43 43 3a 20 28 55  |.........GCC: (U|
00000050  62 75 6e 74 75 20 37 2e  35 2e 30 2d 33 75 62 75  |buntu 7.5.0-3ubu|
00000060  6e 74 75 31 7e 31 38 2e  30 34 29 20 37 2e 35 2e  |ntu1~18.04) 7.5.|
00000070  30 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |0...............|
00000080  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000090  01 00 00 00 04 00 f1 ff  00 00 00 00 00 00 00 00  |................|
000000a0  00 00 00 00 00 00 00 00  00 00 00 00 03 00 01 00  |................|
000000b0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000000c0  00 00 00 00 03 00 02 00  00 00 00 00 00 00 00 00  |................|
000000d0  00 00 00 00 00 00 00 00  00 00 00 00 03 00 03 00  |................|
000000e0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000000f0  09 00 00 00 01 00 03 00  00 00 00 00 00 00 00 00  |................|
00000100  04 00 00 00 00 00 00 00  00 00 00 00 03 00 05 00  |................|
00000110  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000120  00 00 00 00 03 00 04 00  00 00 00 00 00 00 00 00  |................|
00000130  00 00 00 00 00 00 00 00  12 00 00 00 11 00 02 00  |................|
00000140  00 00 00 00 00 00 00 00  04 00 00 00 00 00 00 00  |................|
00000150  19 00 00 00 11 00 02 00  04 00 00 00 00 00 00 00  |................|
00000160  04 00 00 00 00 00 00 00  00 68 65 6c 6c 6f 2e 63  |.........hello.c|
00000170  00 64 61 74 61 5f 62 73  73 00 64 61 74 61 5f 30  |.data_bss.data_0|
00000180  00 64 61 74 61 5f 31 00  00 2e 73 79 6d 74 61 62  |.data_1...symtab|
00000190  00 2e 73 74 72 74 61 62  00 2e 73 68 73 74 72 74  |..strtab..shstrt|
000001a0  61 62 00 2e 74 65 78 74  00 2e 64 61 74 61 00 2e  |ab..text..data..| // .text: 2e 74 65 78 74
000001b0  62 73 73 00 2e 63 6f 6d  6d 65 6e 74 00 2e 6e 6f  |bss..comment..no| // .data: 2e 64 61 74 61
000001c0  74 65 2e 47 4e 55 2d 73  74 61 63 6b 00 00 00 00  |te.GNU-stack....|
000001d0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................| // 0 号无名节的信息
*
00000210  1b 00 00 00 01 00 00 00  06 00 00 00 00 00 00 00  |................| // .text 节的信息
00000220  00 00 00 00 00 00 00 00  40 00 00 00 00 00 00 00  |........@.......|
00000230  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000240  01 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000250  21 00 00 00 01 00 00 00  03 00 00 00 00 00 00 00  |!...............|// .data 节的信息
00000260  00 00 00 00 00 00 00 00  40 00 00 00 00 00 00 00  |........@.......|
00000270  08 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000280  04 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000290  27 00 00 00 08 00 00 00  03 00 00 00 00 00 00 00  |'...............|// .bss 节的信息
000002a0  00 00 00 00 00 00 00 00  48 00 00 00 00 00 00 00  |........H.......|
000002b0  04 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
*
000002d0  2c 00 00 00 01 00 00 00  30 00 00 00 00 00 00 00  |,.......0.......|// .comment 节信息
000002e0  00 00 00 00 00 00 00 00  48 00 00 00 00 00 00 00  |........H.......|
000002f0  2a 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |*...............|
00000300  01 00 00 00 00 00 00 00  01 00 00 00 00 00 00 00  |................|
00000310  35 00 00 00 01 00 00 00  00 00 00 00 00 00 00 00  |5...............|// .note.GNU-stack 节信息
00000320  00 00 00 00 00 00 00 00  72 00 00 00 00 00 00 00  |........r.......|
00000330  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000340  01 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000350  01 00 00 00 02 00 00 00  00 00 00 00 00 00 00 00  |................|// .symtab 节信息
00000360  00 00 00 00 00 00 00 00  78 00 00 00 00 00 00 00  |........x.......|
00000370  f0 00 00 00 00 00 00 00  07 00 00 00 08 00 00 00  |................|
00000380  08 00 00 00 00 00 00 00  18 00 00 00 00 00 00 00  |................|
00000390  09 00 00 00 03 00 00 00  00 00 00 00 00 00 00 00  |................|// .strtab 节信息
000003a0  00 00 00 00 00 00 00 00  68 01 00 00 00 00 00 00  |........h.......|
000003b0  20 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  | ...............|
000003c0  01 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000003d0  11 00 00 00 03 00 00 00  00 00 00 00 00 00 00 00  |................|// .shstrtab 节信息
000003e0  00 00 00 00 00 00 00 00  88 01 00 00 00 00 00 00  |................|
000003f0  45 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |E...............|
00000400  01 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000410

​ 分析 .text 节,该节的名称在 节字符串表中的偏移为 0x1b,而节字符串表在整个文件中的偏移为 0x188 处,因此,.text 节的节名 “.text” 在该 elf 文件的 0x188 + 0x1b = 0x1a3 处,以 \0 结尾,因此 0x1a3 处开始的 2e 74 65 78 74,这 5 个字节对应的 ascii 字符就是 .text,其余节同理,如 .data 节的名字在节字符串表中的偏移是 0x21,因此 0x21 + 0x188 = 0x1A9,对应的 ascii 码为 2e 64 61 74 61。

​ sh_entsize 这个成员很有意思,对于普通的节,该成员的值为 0,但有些节这个成员不为 0,表明这个节中的内容同样是表组成的,该表项的大小为 sh_entsize。

​ .symtab 节中 sh_entsize 为 18 00 00 00 00 00 00 00 也就是 0x18 字节,也就是 24 字节,表明该节中的内容同样是个表,类似于正在分析的 section head table (节头部表),为什么偏偏是 24 字节?通过符号表的结构来分析,如下,首先猜测,sizeof(struct elf64_sym) = 24 字节

typedef struct elf64_sym {
  Elf64_Word st_name;		/* 该符号的名字在字符串表中的起始下标 */
  unsigned char	st_info;	/* Type and binding attributes */
  unsigned char	st_other;	/* No defined meaning, 0 */
  Elf64_Half st_shndx;		/* Associated section index */
  Elf64_Addr st_value;		/* Value of the symbol */
  Elf64_Xword st_size;		/* Associated symbol size */
} Elf64_Sym;

​ 对于符号表的分析,另起一篇文章,符号表还是蛮重要的。

EINT
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ELF(四)节头表
ylcangel的专栏
01-11 4311
节头表 以32位为例,节头表通过数组实现,每个数组项包含一个的信息。各个构成了程序头中定义的各段的内容。 数据结构 /* Section header.  */   typedef struct {   Elf32_Word  sh_name;                   /*Section name (string tbl index) */的名称。其值不是字符串本
ELF目标文件链接与程序头
肖恩123的博客
04-02 1069
今天做OS实验时发现一个问题如题,困扰很久,通过试错硬是把原因给试出来了。 在开始描述问题之前,首先对了解下ELF文件的结构。ELF文件由4部分组成,分别是ELF头(ELF header)、程序头(Program header table)、(Section)和节头表(Section header table)。实际上,一个文件中不一定包含全部内容(比如对于目标文件来说没有程序头),而且它们的位置也未必如下图所示这样安排,只有ELF头的位置是固定的,其余各部分的位置、大小等信息由ELF头中的各项值.
ELF节头表分析
astrotycoon
12-20 3000
Sections An object file's section header table lets one locate all the file's sections. The section header table is an array of Elf32_Shdr or Elf64_Shdr structures as described below. A section hea...
基础技术-ELF系列(1)-ELF文件基础
最新发布
The Road of Engineer
05-25 726
ELF文件及ELF格式的基础讲解
ELF和sectionheadertable(节头表)_一个博客id_新浪博客
KingOfMyHeart的博客
09-04 1601
回顾一下编译链接的过程: 一、 #include int main() { printf("hello world \n"); return 0; } 预编译:gcc -E hello.c -o hello.i 1.进行文本替换 如头文件,#开头的宏定义 #if #ifdef 等 2.删除注释 3.添加行号,以便编译时需要产生行号方便调试 4.保留#pr...
手拆ELF(三,区头
qq_36963214的博客
10-19 674
区头 区头的数据结构为Elf32_Shdr,大小为40字,其数据结构如下: /* Section header. */ typedef struct { Elf32_Word sh_name; /* Section name (string tbl index) */ Elf32_Word sh_type; /* Section type */ Elf32_Word sh_flags; /* Section flags */ Elf32_Addr sh_addr; /*
cpp-ELF的最小动态链接器的实现
08-16
ELF文件由多个(sections)和段(segments)组成,其中包含了代码、数据和元数据。动态链接器主要关注`.interp`,它通常包含了动态链接器的路径,以及`.dynamic`,它包含了动态链接所需的各种信息,如依赖库、...
第7题-ELF文件注入1
08-04
1. **ELF文件格式理解**:ELF(Executable and Linkable Format)是Linux系统中常用的二进制文件格式,包含了程序的入口点(e_entry)、程序头(program headers)、区头(section headers)等信息。了解这些结构...
ElfParser-master.zip
07-11
- **解析器**:这部分代码会读取ELF文件的头部信息,并根据结构解析出区和段。 - **数据结构**:为了ELF文件的各个部分,源码中可能会定义一系列的数据结构,如ELFHeader、SectionHeader、ProgramHeader等。 -...
elf-tools
03-22
1. **readelf**:这是最基础的ELF工具之一,可以显示ELF文件的详细信息,包括头部信息、区、符号、重定位条目等。通过`readelf -h`可以查看头部信息,`readelf -s`则可以列出所有符号。 2. **objdump**:此工具...
ELF文件格式示例--实例分析
04-11
ELF文件由三个主要部分组成:头部、程序头节头表。让我们逐一解析这些部分: 1. **ELF文件头部**: - `e_ident` 字段包含了魔数("7f 45 4c 46",代ELF),文件类(如ELF32示32位系统),数据示方式(如...
ELF文件解析之 ELF头 程序头 节头表-补充之前文章代码 只支持32位 出版
ylcangel的专栏
07-20 2713
#ifndef UTIL_H#define UTIL_H#include #include #include #include #include #include #include #include #include "Types.h"#include "Helper.h"#define GET_SIZE(n) (sizeof(n))#define PRINT_PRE_FIVE_BYTE(p) p
解析ELF 头 程序头 节头表
ylcangel的专栏
07-20 3917
这里是解析ELF头程序头节头表的实现:
ELF文件头和段
b1049112625的博客
01-18 1220
现代x86-64Linux和Unix系统使用可执行可链接格式(Execut- ableand LinkableFormat, ELF),与ELF同类型的文件是windows上的PE文件和MacOS-X上的Mach-O文件本篇文章讲述ELF文件的文件头和段
手拆ELF32(二,程序头
qq_36963214的博客
10-18 1129
目录程序头区头 程序头 一个可执行文件或者共享目标文件的程序头是一个数组,一个数组元素存储一个程序头条目,每一个程序头条目描述一个段或者其它信息,这些段或信息为程序运行做准备。 一个文件段包含多个区,程序头只有在可执行文件或者共享对象文件中有意义。 程序头数据结构如下,其大小为32字 /* Program segment header. */ typedef struct { Elf32_Word p_type; /* Segment type */ Elf32_Off
执行视图下ELF的程序头部
实践求真知
05-11 338
一执行readelf -l main命令 [root@localhost 0401]# readelf -l main Elf file type is EXEC (Executable file) Entry point 0x4007d0 There are 9 program headers, starting at offset 64 Program Headers: Type...
程序编译-汇编-链接的理解!—03-ELF头和节头表
zhc_24的博客
12-18 726
写在前面:这一主要对于ELF头以及节头表进行理解。ELF头ARM的可执行文件的格式是ELF格式文件 文件的开头的几个字通常用来确定文件的格式 这个叫做魔数。 ELF头一共占52个字 头信息举例: Linux 里专门的软件去解析ELF头 $readelf -h 这样就将ELF头的01序列解析出来。 45H 4cH 46 分别是大写的E L F的ASCII码 头文件的最先的
《PE总结 》– DOS文件头、PE文件头、详解(一)
子曰小玖的博客
08-01 1102
  PE(Portable Executeable File Format,可移植的执行体文件格式),使用该格式的目标是使链接生成的EXE文件能在不同的CPU工作指令下工作。 可执行文件的格式是操作系统工作方法的真实写照。Windows操作系统中可执行程序有好多种,比如COM、PIF、SCR、EXE等,这些文件的格式大部分都继承自PE。其中,EXE是最常见的PE文件,动态链接库(大部分以dll...
【2】ELF格式:头部+头++程序头
zitong0705的博客
09-02 907
系统了解ELF格式及具体细
deepin-elf-verify软件包
10-08
deepin-elf-verify软件包是一个用于验证ELF文件(Executable and Linkable Format,可执行和可链接格式)的工具。ELF是一种常用的二进制文件格式,包含了可执行程序、共享库和核心转储等。该软件包提供了一组命令行工具,可以对ELF文件进行各种检查和验证。 deepin-elf-verify软件包的主要功能包括: 1. ELF文件格式验证:该软件包可以对ELF文件的格式进行验证,确保文件满足规范的格式要求。它可以检查文件头部头部内容等,以确保文件结构正确。 2. 依赖库检查:ELF文件通常依赖于其他共享库文件,该软件包可以检查ELF文件所需的共享库是否存在,以及是否满足版本要求。这对于确保程序在运行时能够找到所需的库文件非常重要。 3. 符号检查:ELF文件中包含了符号,用于记录函数和变量的信息。该软件包可以检查符号的正确性,包括符号是否定义、重复定义等,以确保程序在链接时能够正确解析符号。 4. 安全验证:ELF文件在加载和执行过程中,可能存在一些安全风险,如缓冲区溢出、代码注入等。该软件包可以对ELF文件进行安全验证,以确保文件没有被篡改或潜在的恶意代码。 总之,deepin-elf-verify软件包是一个强大的工具,可以帮助开发者和系统管理员验证和确保ELF文件的正确性和安全性。通过使用该软件包,我们可以更好地理解和保护我们的二进制文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值