elf文件格式

已于 2024-01-17 13:27:43 修改
阅读量848 收藏 24
点赞数 24
文章标签: linux
于 2024-01-17 11:27:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/slhywll/article/details/135645636
版权

1.说明

ELF的英文全称是The Executable and Linking Format,最初是由UNIX系统实验室开发、发布的ABI(Application Binary Interface)接口的一部分,也是Linux的主要可执行文件格式。

从使用上来说,主要的ELF文件的种类主要有三类:

1. 可执行文件(.out):Executable File,包含代码和数据,是可以直接运行的程序。其代码和数据都有固定的地址 (或相对于基地址的偏移 ),系统可根据这些地址信息把程序加载到内存执行。

2. 可重定位文件(.o文件):Relocatable File,包含基础代码和数据,但它的代码及数据都没有指定绝对地址,因此它适合于与其他目标文件链接来创建可执行文件或者共享目标文件。

3. 共享目标文件(.so):Shared Object File,也称动态库文件,包含了代码和数据,这些数据是在链接时被链接器(ld)和运行时动态链接器(ld.so.l、libc.so.l、ld-linux.so.l)使用的。

本文主要从elf文件的组成构造的角度来进行分析,将elf文件的解析通过一步一步的分析得到里面的信息,同时通过python脚本解析,可以直观的看到文件的信息,通过本文的阅读,将对elf文件格式有着更加深刻的理解。

2.elf文件的基本格式

elf文件是有一定的格式的,从文件的格式上来说,分为汇编器的链接视角与程序的执行视角两种去分析ELF文件。
在这里插入图片描述

从程序执行视角来说,这就是Linux加载器加载的各种Segment的集合。比如只读代码段、数据的读写段、符号段等等。而从链接的视角上来看,elf又分为各种的sections。

注意Section Header Table和Program Header Table并不是一定要位于文件开头和结尾的,其位置由ELF Header指出,上图这么画只是为了清晰。

为了彻底的弄清楚elf文件的内容,可以先从ELF文件的头部开始分析。

3.ELF header

对于elf头部文件信息,首先可以可以查看一下内存的布局情况:
在这里插入图片描述

根据readelf可以得到该文件的头部信息的情况。
在这里插入图片描述

根据定义,elf32的结构体定义,在Linux上可以在/usr/include/elf.h中找到

#define EI_NIDENT (16)
 
typedef struct
{
  unsigned char e_ident[EI_NIDENT];     /* Magic number and other info */
  Elf32_Half    e_type;                 /* Object file type */
  Elf32_Half    e_machine;              /* Architecture */
  Elf32_Word    e_version;              /* Object file version */
  Elf32_Addr    e_entry;                /* Entry point virtual address */
  Elf32_Off     e_phoff;                /* Program header table file offset */
  Elf32_Off     e_shoff;                /* Section header table file offset */
  Elf32_Word    e_flags;                /* Processor-specific flags */
  Elf32_Half    e_ehsize;               /* ELF header size in bytes */
  Elf32_Half    e_phentsize;            /* Program header table entry size */
  Elf32_Half    e_phnum;                /* Program header table entry count */
  Elf32_Half    e_shentsize;            /* Section header table entry size */
  Elf32_Half    e_shnum;                /* Section header table entry count */
  Elf32_Half    e_shstrndx;             /* Section header string table index */
} Elf32_Ehdr;

可以看出来指定了Program header table和Section header table的位置,因此这两个表在elf中的位置是不固定的

4.elf文件的节区(Section)

elf文件中的节是从编译器链接角度来看文件的组成的。从链接器的角度上来看,包括指令、数据、符号以及重定位表等等。

4.1 节区的作用

在可从定位的可执行文件中,节区描述了文件的组成,节的位置等信息。通过readelf -s可以查看信息。
在这里插入图片描述

这些节信息通过特定的地址偏移组成了一个elf文件的整体。

4.2 节区的组成

关于理解ELF中的Section。首先需要知道程序的链接视图,在编译器将一个一个.o文件链接成一个可以执行的elf文件的过程中,同时也生成了一个表。这个表记录了各个Section所处的区域。在程序中,程序的section header有多个,但是大小是一样。拿elf32文件来说

typedef struct
{
  Elf32_Word sh_name;  /* Section name (string tbl index) */
  Elf32_Word sh_type;  /* Section type */
  Elf32_Word sh_flags;  /* Section flags */
  Elf32_Addr sh_addr;  /* Section virtual addr at execution */
  Elf32_Off sh_offset;  /* Section file offset */
  Elf32_Word sh_size;  /* Section size in bytes */
  Elf32_Word sh_link;  /* Link to another section */
  Elf32_Word sh_info;  /* Additional section information */
  Elf32_Word sh_addralign;  /* Section alignment */
  Elf32_Word sh_entsize;  /* Entry size if section holds table */
} Elf32_Shdr;

根据e_shoff可以找到section的地址,根据e_shentsize可以找到具体的第一个section的内容。

5.elf文件的段(Segment),即(代码段等)

在这里插入图片描述

对于链接视图,也就是我们前面分析的Section,可以理解目标代码文件的内容布局。而右边的ELF的执行视图,则可以理解为可执行的文件内容布局。链接视图由sections组成,而可执行的文件的内容由segment组成。

两者是有一些区别的,我们平时在进行程序构建的时候理解的.text、.bss、.data段,这些都是section,也就节区的概念。这些段通过section header table进行组织与重定位。

但是对于segment来说,程序代码段、数据段是Segment。代码段又可以分为.text,数据段又分为.data、.bss等。

通过readelf -l可以查看具体的可执行文件的细节。
在这里插入图片描述

6.Program header table

在这里插入图片描述

当内核加载一个应用程序时,就是通过读取 ELF 文件的信息,然后把文件中所有的段加载到虚拟内存的段中。ELF 文件通过 程序头表 来描述应用程序中所有的段,表中的每一个项都描述一个段的信息。我们先来看看 程序头表 项的结构定义:

typedef struct elf64_phdr {
   Elf64_Word p_type;     // 段的类型
   Elf64_Word p_flags;    // 可读写标志
   Elf64_Off p_offset;    // 段在ELF文件中的偏移量
   Elf64_Addr p_vaddr;    // 段的虚拟内存地址
   Elf64_Addr p_paddr;    // 段的物理内存地址
   Elf64_Xword p_filesz;  // 段占用文件的大小
   Elf64_Xword p_memsz;   // 段占用内存的大小
   Elf64_Xword p_align;   // 内存对齐
} Elf64_Phdr;

所以,程序加载器可以通过 ELF 头中获取到程序头表的偏移量,然后通过程序头表的偏移量读取到程序头表的数据,再通过程序头表来获取到所有段的信息。

我们可以通过 readelf -S file 命令来查看 ELF 文件的段(节)信息,如下图所示:
在这里插入图片描述

7.Section header table

表格中的元素结构如下

typedef struct
{
  Elf32_Word	sh_name;		/* Section name (string tbl index) */
  Elf32_Word	sh_type;		/* Section type */
  Elf32_Word	sh_flags;		/* Section flags */
  Elf32_Addr	sh_addr;		/* Section virtual addr at execution */
  Elf32_Off	    sh_offset;		/* Section file offset */
  Elf32_Word	sh_size;		/* Section size in bytes */
  Elf32_Word	sh_link;		/* Link to another section */
  Elf32_Word	sh_info;		/* Additional section information */
  Elf32_Word	sh_addralign;		/* Section alignment */
  Elf32_Word	sh_entsize;		/* Entry size if section holds table */
} Elf32_Shdr;
slhywll
关注
  • 24
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ELF文件格式分析.pdf
12-22
ELF文件格式分析文档,北京大学信息科学技术学院操作系统实验室教学材料,滕启明编写
ELF文件格式简介
热门推荐
梦的灰色边沿...
05-03 1万+
  简单了解下ELF文件的格式。 1 简介   可执行与可链接格式 (Executable and Linkable Format,ELF),常被称为 ELF格式,是一种用于可执行文件、目标代码、共享库和核心转储(core dump)的标准文件格式,一般用于类Unix系统,比如Linux,Macox等。ELF 格式灵活性高、可扩展,并且跨平台。比如它支持不同的字节序和地址范围,所以它不会不兼容某一特别的 CPU 或指令架构。这也使得 ELF 格式能够被运行于众多不同平台的各种操作系统所广泛采纳。   E.
ELF文件格式解析
夏天Alex
07-11 3704
ELF格式分析
linux 解析elf文件格式,LinuxELF文件解析
weixin_30424461的博客
04-28 1201
1. windows PE文件与Linux ELF文件概述在windows中可执行文件是pe文件格式Linux中可执行文件是ELF文件,其文件格式ELF文件格式,在Linux下的ELF文件除了可执行文件(Excutable File),可重定位目标文件(RellocatableObject File)、共享目标文件(SharedObject File)、核心转储文件(CoreDump File...
ELF文件格式的详解
pingxiaozhao的博客
10-23 8473
1.说明 2.elf文件的基本格式 3.elf文件的头部信息 4.elf文件的节区(Section) 4.1 节区的作用 4.2 节区的组成 5.elf文件的段(Segment) 6.用python解析elf文件 7.总结 1.说明 ELF的英文全称是The Executable and Linking Format,最初是由UNIX系统实验室开发、发布的ABI(Application Binary Int..
ELF 文件格式
02-22
Elf文件最详细的介绍。也是最好的一个介绍elf文件格式的资料。 看过都说好。
Elf文件格式
09-24
Elf文件最详细的介绍。也是最好的一个介绍elf文件格式的资料。非常棒 Elf文件最详细的介绍。也是最好的一个介绍elf文件格式的资料。非常棒
Linux部署安装
凌北辰的博客
05-10 499
因为在RPM安装过程中经常需要解决依赖关系,而有些依赖关系并不会有准确的依赖安装包提示信息,YUM是RPM包管理工具,可以很好解决RPM包安装过程中会遇到的依赖关系问题。YUM安装软件时至少需要一个YUM源,YUM源就像一个存放了好多RPM包的仓库,用户可以使用ftp、http等方式访问YUM源。Linux上大部分软件都是开源软件(apache、tomcat、PHP、MySQL等)YUM可以从多个 源中搜索软件及软件安装所依赖的安装包,并自动安装相应的依赖软件。软件组安装-字符界面安装图形化。
Linux知识点笔记
exercise_smile的博客
05-16 555
Linux 主要的发行版(release):Ubuntu(乌班图)、 RedHat(红帽)、 CentOS、 Debain[蝶变]、 Fedora、 SuSE、 OpenSUSE [示意图]在 linux 中的每个用户必须属于一个组, 不能独立于组外。在 linux 中每个文件 有所有者、 所在组、 其它组的概念。ls -l 中显示的内容如下:0-9 位说明:第 0 位确定文件类型(d, - , l , c , b)l 是链接, 相当于 windows 的快捷方式。
Linux FT260驱动内核学习笔记
pq的博客
05-12 781
系统采用Ubuntu 22,X86 64。
linux中重定向正则输出
最新发布
2401_83366291的博客
05-16 727
通配符是对文件名进行匹配,正则表达式是对文件中的内容进行匹配。作用:通过对文本中内容进行过滤,然后对文件中的内容进行过滤。> 将文件中原有的内容全部删除,然后进行写入。&& 只有前面的命令执行成功,后面的命令才会执行。作用:将本来要显示在终端上的信息重定向到一个文件中。例子:从b.txt文件中过滤出包含a.txt的行。例子:从a.txt文件中过滤出不包含b.txt。>> 在文件原有的内容,追加新的内容。2>将文件中原有的内容全部删除,然后进行写入。
从零开始学习Linux(8)----自定义shell
lys20221113242的博客
05-14 233
shell从用户读入字符串“ls”,shell建立一个新的进程,然后在那个进程中运行ls程序并等待那个进程结束。然后shell读取新的一行输入,建立一个新的进程,在这个进程中运行程序,并等待这个进程结束。5. 父进程等待子进程退出(wait)3. 建立一个子进程(fork)4. 替换子进程(execvp)
linux下脚本监控mysql主从同步异常时发邮件通知
05-10 324
在MySQL中,同步异常监控通常涉及监控复制的状态。可以通过查询命令来获取复制的状态信息,并对其进行监控。如果你需要自动化监控并在发现异常时采取行动,可以编写一个脚本来定期运行这个命令,并根据输出结果判断复制是否正常。确保你有一个可以发送邮件的邮件服务器配置在你的系统上,并且替换脚本中的your_host, 和为实际的值。这个脚本每次运行时都会检查MySQL复制状态,如果发现异常,它会输出错误信息并发送邮件报警。你可以将其加入到定时任务中(如crontab)以周期性地执行。
Linux】进程信号(2万字)
2301_79585944的博客
05-14 854
世上有两种耀眼的光芒,一种是正在升起的太阳,一种是正在努力学习编程的你!一个爱学编程的人。各位看官,我衷心的希望这篇博客能对你们有所帮助,同时也希望各位看官能对我的文章给与点评,希望我们能够携手共同促进进步,在编程的道路上越走越远!提示:以下是本篇文章正文内容,下面案例可供参考好了,本篇博客到这里就结束了,如果有更好的观点,请及时留言,我会认真观看并学习。不积硅步,无以至千里;不积小流,无以成江海。
linux上安装Jmeter环境
爱笑的眼睛
05-10 738
linux上安装jdk和jmeter
linux - 搭建部署ftp服务器
景巧巧的博客
05-10 4092
搭建部署ftp服务器
Linux setserial命令教程:如何配置与查询串口设备(附实例详解和注意事项)
u012964600的博客
05-11 902
setserial是一个用于获取和设置Linux串口信息的程序。这些信息包括特定串口使用的I/O端口和IRQ,是否将中断键解释为安全注意键等。这个命令会设置/dev/ttyS0串口的自定义配置,其中分频器值为2。
Linux -- gdb
yyl0327的博客
05-12 814
GDB(GNU Debugger)是一个功能强大的开源调试工具,主要用于调试C和C++编写的程序。它允许你查看程序执行时的内部情况,可以用来设置断点、单步执行代码、查看变量值等,以帮助开发者找出程序中的错误。GDB 是 GNU 项目的一部分,广泛应用于各种Unix-like系统中,包括Linux、BSD等操作系统。
linux elf文件格式详解
07-28
ELF文件格式由三个主要部分组成:头部、段表和节表。 头部包含了一些重要的信息,如文件类型、系统架构、入口地址等。它还包含了段表和节表的偏移地址和大小等信息,以便系统可以正确解析文件。 段表记录了程序的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值