ELF格式解读-(1) elf头部与节头

已于 2022-04-21 21:25:59 修改
阅读量4.9k 收藏 36
点赞数 6
分类专栏: elf 文章标签: 反汇编
于 2022-04-20 18:34:08 首次发布
本文链接:https://blog.csdn.net/qfanmingyiq/article/details/124295287
版权

前言

ELFlinux动态库,可执行文件的格式.具体介绍可参阅wiki Executable and Linkable Format。可以类比到windows下exe的格式。

首先推荐一个写的不错文档ELF格式

我们知道程序需要加载内存后才能运行。但是ELF文件加载到内存后布局会变化和原始ELF文件相比,加载器会将相同的节属性(比如只读)合并一个段。所以ELF也就有了两种视图,一种未加载前静态视图,另一种是加载后的动态视图。

我们首先了解静态视图ELF文件格式如下:
在这里插入图片描述

你可以把ELF内容大致分为四个部分:

(1) ELF头部

(2) 节

(3) 节表头

(4) 程序头

  1. ELF头部固定在ELF文件开始
  2. 需要留意程序头和节表头可以位于ELF任意位置,他们位置被ELF头部中的属性指定
  3. 节分有很多种格式需要根据节类别区分,比如重定义节 与代码节

本文根据以下代码作为示例

#include <stdio.h>

static int mystaticVar = 3 ;
int myglobalvar=3;
//函数来自test.so
extern void testfun();
int main(){
	int *inp= 0x00;
	*inp=2;	
	testfun();
	static int myLocalVar1 = 3 ;
	static int myUnintLocallvar;
	printf("hello world %d \r\n",mystaticVar);
	return 0;
}
void hell(){
testfun();
}

目标文件 main.o
可执行文件main.out

ELF头部

我们以main.o 举例
我们用file查看文件类别
在这里插入图片描述
ELF 64-bit 告诉我们这个文件是一个64位系统下的ELF文件
LSBleast significant bit缩写表示第一个字节是多字节中最低有效位,简而言之就是小端模式
x86-64 是指该文件运行在那个处理器的ABI下
version 1(SYSV)是该ELF标准是UNIX_System_V具体参阅SYSV
not stripped表示该ELF存在符号表
relocatable 表示该文件是可重定位,因为main.o是目标文件而不是可执行文件,部分代码地址是不确定的

上面信息其实file程序读取该文件的elf头部得到。我们使用readelf -h文件头查看更详细的信息
在这里插入图片描述

在这里插入图片描述

数据结构如下所示

typedef struct
{
  unsigned char	e_ident[EI_NIDENT];	/* Magic number and other info */
  Elf64_Half	e_type;			/* Object file type */
  Elf64_Half	e_machine;		/* Architecture */
  Elf64_Word	e_version;		/* Object file version */
  Elf64_Addr	e_entry;		/* Entry point virtual address */
  Elf64_Off	e_phoff;		/* Program header table file offset */
  Elf64_Off	e_shoff;		/* Section header table file offset */
  Elf64_Word	e_flags;		/* Processor-specific flags */
  Elf64_Half	e_ehsize;		/* ELF header size in bytes */
  Elf64_Half	e_phentsize;		/* Program header table entry size */
  Elf64_Half	e_phnum;		/* Program header table entry count */
  Elf64_Half	e_shentsize;		/* Section header table entry size */
  Elf64_Half	e_shnum;		/* Section header table entry count */
  Elf64_Half	e_shstrndx;		/* Section header string table index */
} Elf64_Ehdr;

e_ident

一个16字节数组大小
在这里插入图片描述

完整参数参阅请参阅 ELF Header

elf.hEI_XXX表示上面下标位置

//elf.h
#define EI_NIDENT (16)
#define EI_MAG0		0		/* File identification byte 0 index */
#define ELFMAG0		0x7f		/* Magic number byte 0 */

#define EI_MAG1		1		/* File identification byte 1 index */
#define ELFMAG1		'E'		/* Magic number byte 1 */

#define EI_MAG2		2		/* File identification byte 2 index */
#define ELFMAG2		'L'		/* Magic number byte 2 */

#define EI_MAG3		3		/* File identification byte 3 index */
#define ELFMAG3		'F'		/* Magic number byte 3 */

/* Conglomeration of the identification bytes, for easy testing as a word.  */
#define	ELFMAG		"\177ELF"
#define	SELFMAG		4

#define EI_CLASS	4		/* File class byte index */
#define ELFCLASSNONE	0		/* Invalid class */
#define ELFCLASS32	1		/* 32-bit objects */
#define ELFCLASS64	2		/* 64-bit objects */
#define ELFCLASSNUM	3

#define EI_DATA		5		/* Data encoding byte index */
#define ELFDATANONE	0		/* Invalid data encoding */
#define ELFDATA2LSB	1		/* 2's complement, little endian */
#define ELFDATA2MSB	2		/* 2's complement, big endian */
#define ELFDATANUM	3

#define EI_VERSION	6		/* File version byte index */
					/* Value must be EV_CURRENT */

#define EI_OSABI	7		/* OS ABI identification */
#define ELFOSABI_NONE		0	/* UNIX System V ABI */
#define ELFOSABI_SYSV		0	/* Alias.  */
#define ELFOSABI_HPUX		1	/* HP-UX */
#define ELFOSABI_NETBSD		2	/* NetBSD.  */
#define ELFOSABI_GNU		3	/* Object uses GNU ELF extensions.  */
#define ELFOSABI_LINUX		ELFOSABI_GNU /* Compatibility alias.  */
#define ELFOSABI_SOLARIS	6	/* Sun Solaris.  */
#define ELFOSABI_AIX		7	/* IBM AIX.  */
#define ELFOSABI_IRIX		8	/* SGI Irix.  */
#define ELFOSABI_FREEBSD	9	/* FreeBSD.  */
#define ELFOSABI_TRU64		10	/* Compaq TRU64 UNIX.  */
#define ELFOSABI_MODESTO	11	/* Novell Modesto.  */
#define ELFOSABI_OPENBSD	12	/* OpenBSD.  */
#define ELFOSABI_ARM_AEABI	64	/* ARM EABI */
#define ELFOSABI_ARM		97	/* ARM */
#define ELFOSABI_STANDALONE	255	/* Standalone (embedded) application */

#define EI_ABIVERSION	8		/* ABI version */

#define EI_PAD		9		/* Byte index of padding bytes */
Name下标范围Purpose
ELF魔数0-4固定为0x7f+ELF
EI_CLASS5表示文件时32位还是64位 1是32 2是64
EI_DATA6指定大小端 1小端 2大端
EI_VERSION7ELF规范版本当前规定是1
EI_OSABI8ELF启用一些基于操作系统或者cpu特性一般为0
EI_ABIVERSION9一般为0 指定当前当ABI版本配合EI_OSABI使用
EI_PAD10-F预留
EI_NIDENTFe_ident[]数组大小

e_type

表示当前ELF文件类型,下面举例常见的类型

名字数值寓意
ET_NONE0非文件类型
ET_REL1可重定位文件
ET_EXEC2可执行文件
ET_DYN3共享库
ET_CORE4Core file

e_machine

制定当前ELF运行的CPU架构
下面举例常见的类型

名字数值寓意
EM_X86_6462AMD-x86-64

e_version

用于指定ELF版本一般都为1

e_entry

elf 代码运行的入口

e_flags

在e_machine指定的处理器下的一些特性

节头表相关字段

e_shoff
节头表在文件的偏移

e_shentsize
节头表中每个条目的大小

e_shnum
节头表中条目的数目

程序头相关字段

e_phoff
程序头在文件中的偏移

e_phentsize
指定程序头中每个条目的大小

e_phnum
指定程序头中每个条目的个数

e_shstrndx

每个节头都一个名称,这些名称都存储一个特殊节中。而e_shstrndx 指定这个特殊的节所在节头表的下标

我们先看看这个程序中所有节如下:
在这里插入图片描述
一共13个节,其中.shstrtab表示的存储字符串节 。
.shstrtabsection head string table

我们查看这个节内容如下所示:
在这里插入图片描述
大致结构如下:

在这里插入图片描述

节头

本例中我们依旧使用main.o我们可以到节头表信息如下:
在这里插入图片描述
在这里插入图片描述

节头表的第一项固定为空节不存储实际内容

在这里插入图片描述

每个节头数据结构如下:

typedef struct
{
  Elf64_Word	sh_name;		/* Section name (string tbl index) */
  Elf64_Word	sh_type;		/* Section type */
  Elf64_Xword	sh_flags;		/* Section flags */
  Elf64_Addr	sh_addr;		/* Section virtual addr at execution */
  Elf64_Off	sh_offset;		/* Section file offset */
  Elf64_Xword	sh_size;		/* Section size in bytes */
  Elf64_Word	sh_link;		/* Link to another section */
  Elf64_Word	sh_info;		/* Additional section information */
  Elf64_Xword	sh_addralign;		/* Section alignment */
  Elf64_Xword	sh_entsize;		/* Entry size if section holds table */
} Elf64_Shdr;

elf节头规则详细文档 https://refspecs.linuxfoundation.org/elf/gabi4+/ch4.sheader.html

sh_name

节名在字符串节中下标,本例中字符串节名称为.shstrtab.我们举例其中一个节.text
在这里插入图片描述
我们看到.text节的sh_name为20h也就是十进制32.我们看下.shstrtab指向的字节数组的32位

在这里插入图片描述

sh_type

这个字段根据节的内容(content)和语义(semantics)对节进行分类。
分类类型有很多种,我们只举例其中比较常见的类型。

名称数值解释
SHT_PROGBITS1一般存放代码或者数据类型
SHT_STRTAB3存放字符串表类型
SHT_NOBITS8表示这个节不存储信息在文件中,比如未初始化的数据

.text.data一般就是SHT_PROGBITS (text存储代码 data存储数据)
.shstrtab一般是SHT_STRTAB
.bss一般是SHT_NOBITS (存储全局未初始化数据等)

sh_flags

字段标记是否可读可写可执行等,以及是否在内存中分配内存(SHF_ALLOC)
下图为枚举值表:
在这里插入图片描述

sh_addr

这个节被加载后对应VA地址

sh_offset

这个节在文件中的偏移

sh_size

节大小(不是指节头大小哦)

sh_link

一般用于关联节所在节头表的数组下标,一般为0
举例说明:
我们节中有一个专门用于重定位的节如.rela.text 就是用来重定位代码段部分代码的。
sh_link表示这个节所使用的的符号表节在节头表的下标
sh_info表示哪个节需要重定向。这个值指向在节头表中的索引。

如下图所示 :
在这里插入图片描述

sh_info

一般用于关联节所在节头表的数组下标,一般为0

sh_addralign

对其数值。如果为0或者1表示不对齐。
sh_addr必须为0或者对其sh_addralign取模

sh_entsize

ent是entry缩写。

部分节内部存储是固定数据结构条目数组,针对这类别节sh_entsize指代的是每个条目的字节大小。

举例说明:
符号表节名为.symtab,它存储若干固定结构的符号信息。如下图所示
在这里插入图片描述

符号表每个条目数据结构如下所示

typedef struct {
	Elf32_Word	st_name;
	Elf32_Addr	st_value;
	Elf32_Word	st_size;
	unsigned char	st_info;
	unsigned char	st_other;
	Elf32_Half	st_shndx;
} Elf32_Sym;//32位

typedef struct {
	Elf64_Word	st_name;
	unsigned char	st_info;
	unsigned char	st_other;
	Elf64_Half	st_shndx;
	Elf64_Addr	st_value;
	Elf64_Xword	st_size;
} Elf64_Sym;//64位

sh_entsize指的就是Elf64_Sym或者Elf32_Sym的大小

参考

ELF Header

不会写代码的丝丽
关注
  • 6
    点赞
  • 36
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
deepin-elf-verify-1.1.10-1-amd64 amd,intel,兆芯 UOS依赖包
08-10
deepin-elf-verify_1.1.10-1_amd64 amd,intel,兆芯 UOS依赖包
deepin-elf-sign-tool-1.1.10-1-amd64
08-10
deepin-elf-sign-tool_1.1.10-1_amd64
Executable and Linkable Format(ELF
最新发布
Kongxiangyunltj的博客
03-01 825
如果e_ident[EI_OSABI] == 3,则glibc 2.12+将该字段视为动态链接器的ABI版本:它定义了动态链接器功能的列表,将e_ident[EI_ABIVERSION]视为共享对象(可执行文件或动态库)所请求的功能级别,并且如果请求了未知功能,则拒绝加载它,即e_ident[EI_ABIVERSION]大于已知功能的最大值。0x7FFFFFFF PT_HIPROC PT_LOOS到PT_HIOS(PT_LOPROC到PT_HIPROC)是保留范围,用于操作系统(处理器)特定的语义。
deepin-elf-verify-1.1.10-1 mips64 龙芯 依赖库
09-03
deepin-elf-verify-1.1.10-1 mips64 龙芯 依赖库
arm-elf与arm-linux的区别
08-19
在基于ARM的嵌入式系统开发中,常常用到交叉编译的GCC工具链有两种:arm-linux-*和arm-elf-*,两者区别主要在于使用不同的C库文件。
arm-elf-tools-20040427.rar
05-13
arm-elf-tools-20040427.rar
剖析ELF文件格式的内容———文件,段表,符号....(第三章)
u012138730的专栏
09-21 6909
目录 1.extern "C" 1.编译阶段——取名 2.链接阶段——找对应的名 参考: 2.extern变量名 1.extern "C" 在阅读代码的时候,常常会看到下面的代码片段: #ifdef __cplusplus extern "C" { #endif // 写例如dll导出函数的定义 #ifdef __cplusplus } #endif 这是一...
ELF文件结构描述
游手好弦 信步涂鸦
08-11 3129
3.4 ELF文件结构描述  我们已经通过SimpleSection.o的结构大致了解了ELF文件的轮廓,接着就来看看ELF文件的结构格式。图3-4描述的是ELF目标文件的总体结构,我们省去了ELF一些繁琐的结构,把最重要的结构提取出来,形成了如图3-4所示的ELF文件基本结构图,随着我们讨论的展开,ELF文件结构会在这个基本结构之上慢慢变得复杂起来。    ELF目标文件格式的最前部是ELF文件(ELF Header),它包含了描述整个文件的基本属性,比如ELF文件版本、目标机器型号、程序入口地址等。紧
【2】ELF格式头部+节头+节+程序
zitong0705的博客
09-02 652
系统了解ELF格式及具体细节
ELF(Executable and Linking Format)文件结构描述
海棠花的博客
03-31 1582
ELF文件(Executable and Linking Format)是用在Linux系统下的一种目标文件(object file)存储格式。典型的目标文件有如下3类: 可重定向文件(relocatable file)可重定向文件里面包含了代码和数据,用于和其他可重定向文件一起链接形成一个可执行文件或者动态库。 可执行文件(executable file) 可执行文件里面...
ELF文件详解
热门推荐
PeakJin的博客
03-28 1万+
一、ELF概述 1、ELF的定义 ELF(Executable and Linkable Format)文件是一种目标文件格式,常见的ELF格式文件包括:可执行文件、可重定位文件(.o)、共享目标文件(.so)、核心转储文件等。 ELF主要用于Linux平台,Windows下是PE/COFF格式。 2、ELF文件的结构 一个完整的ELF文件一般会包括如下几个内容:ELF、Section、Segment和Section。 其中由Section组成的集合称为Section表,...
ELF文件类型 ELF程序 ELF节头 ELF符号
kernweak的博客
09-12 1966
ELF文件类型 首先ELF文件可以被标记为以下几个类型: ET_NONE:未知类型。 ET_REL:重定位文件,类型标记为relocatable意为着该文件被标记为了一段可重定位的代码段,有时也称为目标文件。可重定位目标文件通常是还未被链接到可执行程序的一段位置独立的代码。编译完是.o的格式。 ET_EXEC:可执行文件,类型为executable,表明这个文件被标记为可执行文件。这种类型被...
记:ELF文件解析初定义——文件解析
liquid soul
07-08 1487
因为TI的DSP输出文件与传统的ELF文件不符,所以本人就顺道研究了一下现在的ELF的文件格式。 会将其陆续完成在文章中。 技能名称 技能熟练度 技能教程链接 C语言 了解 暂无 0x10 ELF文件介绍与说明 ELF文件是一种跨平台的可执行文件,主要是用于对于不同的文件格式进行统一。几乎能够满足除了windows意外所有的平台进行读取。 一个完整的ELF主要包括以下几个部分: 起始文件数据池文件定义(Header)程序段表(Pro
ELF文件与链接
boazheng的博客
02-17 673
什么是ELF文件 ELF文件头部格式 ELF在计算机科学中,是一种用于二进制文件、可执行文件、目标代码、共享库和核心转储格式文件。是UNIX系统实验室(USL)作为应用程序二进制接口(Application Binary Interface,ABI)而开发和发布的,也是Linux的主要可执行文件格式ELF文件种类 ELF文件组织格式 ELF文件由4部分组成...
ELF文件结构
北冥有鱼的Blog
05-16 1万+
转自 https://blog.csdn.net/tangyuesb/article/details/54630787ELF文件结构定义在“/usr/include/elf.h”文件下,ELF文件有32位版本和64位版本,故其文件结构也有32位结构和64位结构,分别定义为Elf32_Ehdr和Elf64_Ehdr。两种版本文件内容一样,只是有些成员的大小不一样。以下是32位版本的文件结构E...
Linux- 浅谈ELF目标文件格式
青衫客36的博客
03-28 1140
理解了进程的描述和创建之后,自然会想到我们编写的可执行程序是如何作为一个进程工作的?这就涉及可执行文件的格式、编译、链接和装载等相关知识。 这里先提一个常见的名词“目标文件”,是指编译器生成的文件。“目标”指目标平台, 例如 x86 或 x86-64,它决定了编译器使用的机器指令集。目标文件一般也叫作 ABI(Application Binary Interface,应用程序二进制接口),目标文件和目标平台是二进制兼容的。二进制兼容 即指该目标文件已经是适应某一种 CPU 体系结构上的二进制指
ELF文件分析
astrotycoon
12-20 2926
ELF Header Some object file control structures can grow, because the ELF header contains their actual sizes. If the object file format changes, a program may encounter control structures that are lar...
elf程序文件的结构和解析代码示例
weixin_43158604的博客
09-07 98
ELF(Executable and Linkable Format)是一种常见的可执行文件和共享库文件的格式,通常在Unix和Unix-like操作系统上使用。ELF文件结构包括多个部分,用于描述可执行程序或共享库的各个方面。.text.data.bss.symtab这些部分构成了ELF文件的基本结构,允许操作系统和链接器正确加载和执行可执行文件或共享库。不同类型的ELF文件(可执行文件、共享库等)可能具有不同的结构和包含不同的节和表,但上述结构是通用的。
【Android 逆向】ELF 文件格式 ( ELF 文件 | ELF 文件标志 | ELF 文件位数 | ELF 文件大小端格式 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-27 1443
一、ELF 文件简介、 二、ELF 文件、 三、ELF 文件标志、 四、ELF 文件位数、 五、ELF 文件大小端格式
c语言elf文件段头部
10-11
C语言中的ELF(Executable and Linkable Format)文件段头部表是用来描述ELF文件的各个段的信息的数据结构。ELF文件是一种可执行文件和可链接文件的标准格式,用于在Linux和其他Unix系统上执行和链接程序。 ELF文件段头部表位于ELF文件的头部,用于描述ELF文件的各个段(段是一组相关的数据或代码的有序集合),包括代码段、数据段、BSS段等等。每个段头部表项都包含了段的一些重要信息,如起始地址、大小、访问权限等等。 段头部表的作用是让操作系统或程序加载器能够正确地加载和执行ELF文件的各个段。通过读取段头部表,系统可以确定每个段应该被放置在内存的哪个位置,并且可以根据段的访问权限进行适当的内存保护。此外,段头部表还包含其他一些元数据,如字符串表的偏移量、符号表的偏移量等,这些信息可以帮助调试器和其他工具分析和查找ELF文件的内容。 段头部表是一个固定大小的数据结构,每个表项的大小是固定的,并且表项的数量也是固定的。ELF文件的第一个段头部表项被保留用于描述ELF文件本身,其他表项则用于描述ELF文件中的各个段。程序员可以使用c语言中的结构体来表示段头部表项,并通过读取ELF文件的头部来获取段头部表的起始地址,从而遍历和分析整个段头部表。 总之,C语言中的ELF文件段头部表是用来描述ELF文件的各个段的信息的数据结构,它能够帮助操作系统或程序加载器正确地加载和执行ELF文件,并提供了一些用于分析和查找ELF文件内容的元数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值