Linux ELF文件

最新推荐文章于 2024-05-16 22:30:39 发布
置顶 最新推荐文章于 2024-05-16 22:30:39 发布
阅读量721 收藏 2
点赞数
分类专栏: Linux 文章标签: linux elf文件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013928208/article/details/113882008
版权

ELF全称:可执行链接格式,是UNIX系统实验室(USL)作为应用程序二进制接口(Application Binary Interface,ABI)而开发和发布的。ELF文件有三种不同类型:

  1. 可重定位文件:包含代码和数据,用于链接成可执行文件或共享目标文件后使用(.o文件和.a静态库)。
  2. 可执行文件:包含二进制代码和数据,可直接复制到存储器并执行(/bin或/usr/bin目录下的文件。
  3. 共享目标文件:特殊的可重定位文件,可在加载或运行时被动态地加载到存储器并链接。

在这里插入图片描述

文件最前部为ELF文件头,描述了整个文件的基本属性,如文件类型,版本,目标机器类型,程序入口地址等,然后是各段,每段由段表描述。链接视图和执行视图下,段分别由Section Header Table和Program Header Table描述。

ELF头文件

由/usr/include/elf.h文件给出定义

typedef struct elf64_hdr {
  unsigned char	e_ident[EI_NIDENT];	 //魔数 7F+’E’+’L’+’F’
  Elf64_Half e_type;				 //文件类型 
  Elf64_Half e_machine;				 //机器类型
  Elf64_Word e_version;				 //文件版本
  Elf64_Addr e_entry;			     //进程开始的虚地址,即系统将控制转移的位置
  Elf64_Off e_phoff;				 //program header table的文件偏移
  Elf64_Off e_shoff;		         //section header表的文件偏移
  Elf64_Word e_flags;				 //处理器相关的标志
  Elf64_Half e_ehsize;				 //ELF文件头的长度
  Elf64_Half e_phentsize;			 //program header表中的入口的长度
  Elf64_Half e_phnum;				 //program header表中的入口数目
  Elf64_Half e_shentsize;			 //section header表中的入口的长度
  Elf64_Half e_shnum;				 //section header表中的入口数目
  Elf64_Half e_shstrndx;			 //section名表的位置,指出在section header表中的索引
} Elf64_Ehdr;

Program Header

目标文件或者共享文件的program header table描述了系统执行一个程序所需要的段或者其它信息。目标文件的一个段(segment)包含一个或者多个section。Program header只对可执行文件和共享目标文件有意义,对于程序的链接没有任何意义

typedef struct elf64_phdr {
  Elf64_Word p_type;		//段的类型
  Elf64_Word p_flags;       //段标志
  Elf64_Off p_offset;		//段偏移
  Elf64_Addr p_vaddr;		//段虚地址
  Elf64_Addr p_paddr;		//段物理地址
  Elf64_Xword p_filesz;		//段大小
  Elf64_Xword p_memsz;		//段在内存的占用
  Elf64_Xword p_align;		//段对齐
} Elf64_Phdr;

Section Header

文件的section header table可以定位所有的section

typedef struct elf64_shdr {
  Elf64_Word sh_name;		//段名,值为符号表索引
  Elf64_Word sh_type;		//类别
  Elf64_Xword sh_flags;		//程执行时的特性
  Elf64_Addr sh_addr;		//进程的内存映像中出现,则给出开始的虚地址
  Elf64_Off sh_offset;		//偏移
  Elf64_Xword sh_size;		//大小
  Elf64_Word sh_link;		//相对其他段的索引
  Elf64_Word sh_info;		//信息
  Elf64_Xword sh_addralign;	//对齐
  Elf64_Xword sh_entsize;	//
} Elf64_Shdr;

Symbol Table

文件的符号表包含定位或重定位程序符号定义和引用时所需要的信息

typedef struct elf64_sym {
  Elf64_Word st_name;		//符号名
  unsigned char	st_info;	//符号类型
  unsigned char	st_other;	//其他
  Elf64_Half st_shndx;		//段索引
  Elf64_Addr st_value;		//符号地址值
  Elf64_Xword st_size;		//符号大小
} Elf64_Sym;

ELF文件分析

为了分析elf文件,新建hello.c文件

#include <stdio.h>

int add(void) {
  int a = 3;
  int b = 2;
  int c = a+b;
  return c;
}

int main() {
  printf("%d\n",add());
  return 0;
}

新建MakeFile文件

hello: hello.o
	gcc -o hello hello.o
hello.o: hello.c
	gcc -c -o hello.o hello.c

执行make hello 后生成名为hello的elf可执行文件, 接着执行 readelf -h hello 输出头文件信息

在这里插入图片描述
从输出信息中可以得到魔数,机器架构,系统类型。可以看到文件大小为64bytes(0x40)执行hexdump -C hello 输出elf文件二进制信息,0x0 - 0x40 代表头结构数据范围

在这里插入图片描述

参考elf64_hdr结构定义我们可以读取到信息,比如7f 45 4c 56 ASCII码表示为 .ELF 。依次 02 01 01 00 分别表示64位对象,小端,文件头版本,其他。03 00 表示此文件为共享目标文件,等等。

执行 readelf -l hello 输出 Program header 信息

在这里插入图片描述
从先前表头hex读取到e_phnum = 0d 00 (小端转换00 0d)= (13) 即segment有13段,从Program header输出信息看到确实是13段。上图标注了第一段对应的hex编码范围。Section to Segment mapping 表示两种视图映射。

执行readelf -S hello 得到 Section Header 表

在这里插入图片描述

从先前的表头hex读取到 Section 数量e_shnum为 1f00 (小端转换001f) 代表有31个段

  1. 段起始偏移e_shoff为 98 39 00 00 00 00 00 00 (小端转换00 00 00 00 00 00 39 98)
  2. e_ehentsize为 40 00 (小端转换 00 40)
  3. 代码段编号16
    所以代码段地址为0x3998 + (0x40 * 0x10) = 0x3D98

在这里插入图片描述
现在来验证 sh_name, b9 00 00 00 (00 00 00 b9) 表示该段名称在.shstrtab中偏移量,
执行 readelf -x .shstrtab hello

在这里插入图片描述

在00 00 00 b9 处的编码确实是text。 现在来验证section在内存中的虚拟地址 执行 readelf -x .text hello 输出代码段信息

在这里插入图片描述
代码段虚拟地址sh_addr为60 10 00 00 等于由代码段输出得到的地址信息(0x00001060),由此上述关于代码段的计算是正确的。其他段的推导也是一样的。

SherlockCharlie
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
elf.h
人的梦想是不会终止的
11-17 2335
// http://en.wikipedia.org/wiki/Executable_and_Linkable_Format // http://www.ouah.org/RevEng/x430.htm // Format of an ELF executable file #define ELF_MAGIC 0x464C457FU // "\x7FELF" in little endian
linux 解析elf文件格式,LinuxELF文件解析
weixin_30424461的博客
04-28 1232
1. windows PE文件Linux ELF文件概述在windows中可执行文件是pe文件格式,Linux中可执行文件ELF文件,其文件格式是ELF文件格式,在Linux下的ELF文件除了可执行文件(Excutable File),可重定位目标文件(RellocatableObject File)、共享目标文件(SharedObject File)、核心转储文件(CoreDump File...
ELF文件详解—初步认识_(1)
最新发布
qq_17136213的博客
05-16 273
编译器将文本文件hello.i翻译成hello.s,包含相应的汇编语言程序对应的命令:linux> gcc -S hello.c hello.sØ 汇编阶段将.s文件翻译成机器语言指令,把这些指令打包成一种叫做的格式,并将结果保存在目标文件.o中(把汇编语言翻译成机器语言的过程)。。主要是进行词法分析和语法分析,又称为源程序分析,分析过程中发现有语法错误,给出提示信息。对应的命令:linux> gcc -c hello.c hello.oØ 链接阶段。
Linux elf文件分析
qq_40227064的博客
04-04 2835
elf文件是储存linux下可重定位文件(.o,.ko),可执行文件,共享目标文件(.so)的一种文件elf文件格式分析。
linux elf 文件理解与分析
择一事终一生
11-07 2676
https://linux-audit.com/elf-binaries-on-linux-understanding-and-analysis/ 我们理所当然的使用一些真正的工艺品。其中一部分就是 linux 上常见的工具,像 ps 和 ls。虽然这些命令看起来很简单,当仔细探究就会发现很多东西。这就要讲到 ELF(Executable and Linkable Format)。一个广泛使用的文件格式,只有少部分人真正了解。让我们通过这篇介绍教程去了解它。 通过阅读本手册,你讲学到: 为什么要用 ELF
Linux ELF文件格式分析
kunkliu的博客
03-19 1242
ELF = Executable and Linkable Format,可执行连接格式,是UNIX系统实验室(USL)作为应用程序二进制接口(Application Binary Interface,ABI)而开发和发布的。扩展名为elf。其主要有三种主要类型:适于连接的可重定位文件(relocatable file),可与其它目标文件一起创建可执行文件和共享目标文件。适于执行的可执行文件(executable file),用于提供程序的进程映像,加载的内存执行。
linux如何打开elf文件格式,linux ELF文件格式
weixin_34800530的博客
04-29 1757
linux的可执行程序的格式ELF格式,ELF就是 Excutable and Linking Format的缩写。每个ELF文件有个文件头,格式如下:typedef struct{unsigned chare_ident[EI_NIDENT];/* Magic number and other info */Elf32_Halfe_type;/* Object file type */Elf32...
C++编译知识笔记(二)——Linux ELF文件解析
mayue_web的博客
02-08 737
Linux下面的可执行文件格式是ELF,是COFF(Common Object File Format,早期的类UNIX系统使用)格式的变种,虽然名字就是可执行文件格式,但不光是可执行文件是这个格式,目标文件也是按这种文件类型来保存的,不光如此,Linux下面一共有四类文件是按照ELF的格式来保存的,如下:对于一个熟练的linux平台的c/c++开发人员,这些文件类型应该都不陌生。另外,前面提到过,.a的静态链接库可以理解为.o的打包,因此本质上也属于ELF类型。
elf文件格式
slhywll的博客
01-17 910
ELF的英文全称是The Executable and Linking Format,最初是由UNIX系统实验室开发、发布的ABI(Application Binary Interface)接口的一部分,也是Linux的主要可执行文件格式。本文主要从elf文件的组成构造的角度来进行分析,将elf文件的解析通过一步一步的分析得到里面的信息,同时通过python脚本解析,可以直观的看到文件的信息,通过本文的阅读,将对elf文件格式有着更加深刻的理解。
linux elf 格式详解
shenhuxi_yu的专栏
09-02 2066
linux elf格式与程序的链接和加载过程
LinuxELF文件详解.pdf
11-01
Linux内核中,`elf.h`头文件定义了ELF相关的数据结构,如`Elf32_Ehdr`结构体,它包含了ELF文件的头部信息。`e_ident`字段是一系列标识符,用来确认文件是否为ELF格式,`e_type`表示文件类型,`e_machine`指明架构...
LinuxELF文件详解.docx
11-01
理解ELF文件格式对于开发、调试和优化Linux系统上的程序至关重要,因为它涉及到程序的编译、链接和执行的全过程。通过深入研究ELF文件,开发者能够更好地理解程序的内部结构,从而提高软件的性能和可靠性。
ELF文件格式分析.pdf
04-21
藤启明
linuxelf手册
09-26
本文档主要介绍了Linux环境下ELF文件格式的相关知识。 #### 二、基本概念 **1. ELF文件结构** - **ELF头部** (`ElfN_Ehdr`): 文件最开始的部分,描述了整个ELF文件的基本信息。 - **程序头表** (`ElfN_Phdr`): ...
ARM Linux ELF文件分析(全部9份资料)
04-30
ARM Linux ELF文件分析 在嵌入式系统领域,特别是基于ARM架构的设备中,Linux操作系统广泛采用ELF(Executable and Linkable Format)作为其可执行文件格式。ELF是一种标准化的文件格式,用于存储编译后的机器代码...
Linux5.4内核编译
Sherlock的博客
02-18 2611
Linux是如此美妙,如此有趣。Like Matrix,It’s Everywhere ! 编译环境 Windows10, Vmware16, Ubuntu20.04,虚拟环境。 PC机,内存32G,CPU 16 核心,I7八代。 源码下载 检查Ubuntu虚拟环境的内核版本,本人编译环境内核版本为 version-5.8.0 然后到 https://www.kernel.org 下载接近的版本,本人下载的是5.4.80版。下载完后拷贝到home目录解压得到linux-5.4.80的源代码文件夹。 源
Linux内存分段分页
Sherlock的博客
04-18 721
内存是存储体的一种,运行速度较磁盘块。随着集成技术越来越精细,内存存储量从字节,千字节,兆字节,GB,…容量越来越大。如何有效地管理内存是一门艺术。在80X86体系中通过分段部件和分页部件提供内存管理的支持,由此从换分出实地址模式,保护模式。实地址模式下一般是裸机程序,Linux启动起始内核代码载入内存运行并没有内存管理机制,因此内核是以裸机程序运行,接着通过创建自举分配器创建一个零时的内存分配器来支持系统进一步构建内存管理子系统,待内存管理子系统构建完成以后便抛弃这个自举分配器,同时内核由实地址模式进入到
Linux进程虚拟内存
Sherlock的博客
05-19 642
到现在为止我们仍然在讨论Linux内存,最开始内存是一块荒漠,后来我们把Linux这架星际火箭着陆到这块荒漠,并开始对这块荒漠进行地址编排规划,这个规划粒度是细的,是以比特位为基础的划分,每个比特位都对应一个地址。有了这个基础的地址编排,我们开始做减法,我们已地址为基础进行分段分页,这块荒漠慢慢变得规整了。紧接着我们从功能区为出发点将这块规整过的荒漠划分,并创造了空间,节点,域的概念来描述这些功能区,并与内存页进行了映射,把页和区着两个维度联系在一起了。再后来我们组织了基建队(内存分配系统)来供给政府大楼(
linux elf文件
04-11
Linux ELF 文件是一种可执行文件格式,它用于在 Linux 操作系统上运行的程序。这种文件格式包括程序代码、数据、符号表以及其他一些用于在程序执行时进行加载、链接和重定位的信息。一些常见的 Linux ELF 文件包括可执行文件、共享库和内核模块。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值