文章的原文地址:
http://www.linuxforums.org/articles/understanding-elf-using-readelf-and-objdump_125.html
这是我第一次翻译技术类文章,可能会有一些错别字,尤其一些语句不通的地方。这可能是由于我用五笔打字,形成的笔误,请大家批评指正。
【】中的内容,是译者作的注,注意:xxxx。斜体字是作者的注。
通过readelf和objdump学习ELF
首先,你应该了解一下elf 目标文件三种形式:
l 可重定向文件:这种文件持有代码(code)和数据,需要与其它的目标文件link在一起,来生成一个可执行的文件或是一个共享库文件。换而言之,你可是把可重定向文件理解为:它是生成可执行文件和库的基础。
如果你如下方式编译源代码,就可得到这种文件:
$gcc -c test.c
这会产生一个test.o,它就是可重定向文件。
内核模块(如*.o或是*.ko)都是可重定向文件的形式。
l 可执行文件:此目标文件持有可执行的程序(program,这是可执行的二进制代码组成的),例如:你的mp3播放器,你的VCD软件播放器,甚至你的 txt的编辑器,这都是elf的可执行文件。
你编译一个程序,即可得到类似的文件:
$ gcc -o test test.c
在你确认“test”程序的可执行位是启用时(linux中文件的可执行位),你就可以执行它了。有个问题:shell 脚本是怎么执行的呢?Shell脚本不是一个elf可执行文件,它只是一个解释器。
l 共享库文件:此文件持有代码和数据,但是用在两种不同的用法。
1. Link editor可以把它+其它的可重定向文件+共享库文件一起处理,进而生成一个其它的目标文件。【这就是将静态库与其它的*.o编译在一起的方式】
2. Dynamic linker(动态连接器)把它、可执行文件、其它库结合在一起,进而生成一个process image(进程镜像)。
一句话:这些文件,就是你常见到的*.so文件。(一般在/usr/lib中)
还有其它的方式来确定elf文件的类型吗?当然有。在每一个elf文件中,有一个文件头,它中的字段表示了此文件的类型。假如你要创建一个二进制包,你可以使用readelf命令,来读出这个头。例如(命令结果会适当瘦身只显示相关的域信息):
$ readelf -h /bin/ls Type:EXEC (Executable file)
sn@ubuntu:~$readelf -h /bin/ls
ELFHeader:
Magic: 7f 45 4c 46 01 01 01 00 00 00 00 00 00 00 00 00
Class: ELF32
Data: 2's complement, little endian
Version: 1 (current)
OS/ABI: UNIX - System V
ABIVersion: 0
Type: EXEC (Executable file)
Machine: Intel 80386
Version: 0x1
Entrypoint address: 0x8049d60
Startof program headers: 52 (bytes into file)
Startof section headers: 95164 (bytes into file)
Flags: 0x0
Sizeof this header: 52 (bytes)
Sizeof program headers: 32 (bytes)
Numberof program headers: 9
Sizeof section headers: 40 (bytes)
Numberof section headers: 29
Sectionheader string table index: 28
$ readelf -h /usr/lib/crt1.o Type: REL (Relocatable file)
sn@ubuntu:~$ readelf -h/usr/lib/crt1.o
ELFHeader:
Magic: 7f 45 4c 46 01 01 01 00 00 00 00 00 00 00 00 00
Class: ELF32
Data: 2's complement, little endian
Version: 1 (current)
OS/ABI: UNIX - System V
ABIVersion: 0
Type: REL (Relocatable file)
Machine: Intel 80386
........
$ readelf -h /lib/libc-2.3.2.so Type: DYN (Shared object file)
sn@ubuntu:~$readelf -h /lib/libcap.so.2
ELFHeader:
Magic: 7f 45 4c 46 01 01 01 00 00 00 00 00 00 00 00 00
Class: ELF32
Data: 2's complement, little endian
Version: 1 (current)
OS/ABI: UNIX - System V
ABIVersion: 0
Type: DYN (Shared object file)
Machine: Intel 80386
......
“File”命令不适合查看目标文件信息,我不想多说这个,让我们关注readelf和objdump。现在我们就开始学习它们。
为了让我们更轻松地学习ELF,你可以使用以下简单的C程序:
/*test.c */
#include
int global_data = 4;
int global_data_2;
int main(int argc, char **argv)
{
int local_data = 3;
printf("HelloWorldn");
printf("global_data= %dn", global_data);
printf("global_data_2= %dn", global_data_2);
printf("local_data= %dn", local_data);
return(0);
}并且编译它:
$gcc -o test test.c
A.查看ELF的头。
刚生成的二进制就是我们要查看的目标。让我们从ElF的头开始吧:
$readelf -h test
ELFHeader:
Magic:7f 45 4c 46 01 01 01 00 00 00 00 00 00 00 00 00
Class:ELF32 Data: 2's complement, little endian
Version:1 (current)
OS/ABI:UNIX - System V
ABIVersion: 0
Type:EXEC (Executable file)
Machine:Intel 80386
Version:0x1
Entrypoint address: 0x80482c0
Startof program headers: 52 (bytes into file)
Startof section headers: 2060 (bytes into file)
Flags:0x0
Sizeof this header: 52 (bytes)
Sizeof program headers: 32 (bytes)
Numberof program headers: 7
Sizeof section headers: 40 (bytes)
Numberof section headers: 28
Sectionheader string table index: 25
从这个头是告诉我们什么呢?
这个可执行文件是可以在Intel x86 32 bit的体系的机器上运行的(从“machine”和“class”字段)。
当执行时,程序将从虚地址0x080482c0(看“Entry point address”)开始运行。这个地址不是指向我们常见的main()函数地址的,但是它指向是一个名为__start的函数。你从未感觉到创建了它是吗?当然你没有,__start函数是被linker创建的,它的目标是初始你的程序。
这个程序还有28个节区(section)和7个段(segment)【最近读了一些有关ELF的文章,有的把section翻译成“段”,有也把segment翻译成“段”,大家在读文章时要注意】。
什么是节区(section)? Section是在目标文件中的一个区,它包括一些信息(这些信息对连接过程有用):程序的代码、程序的数据(变量、数组、字符串),可重定向的信息和其它。所以,在每一个区,几种信息组合在一起,这里有一个明显地含义:代码区只有代码,数据区只是初始化的或是没有初始化的数据,等等。节区头部分列表(Section Header Table,SHT)精确地告诉我们:ELF目标文件中有什么section。至少从“Number of section headers”字段中知道“test”目标文件有28个section.
如果section是一个二进制表示的,我们的linux内核不能用一种方式读懂它,linux内核准备几个VMA(Virtual Memory Area),它们包括虚拟地址连续的页面帧。在VMA的内部,一个或多个section被映射其中。在这个例子中每一个VMA都代表一个ELF的段(segment)。那内核是如何知道哪个section去往哪个segment呢?这是Program Header Table(PHT)的工作。
上图 ELF结构的两种不同示图。
B.查看Section Header Table(SHT)
让我们看一个Section在程序中的存在形式:
$ readelf -S test
Thereare 28 section headers, starting at offset 0x80c:
SectionHeaders:
[Nr] Name Type Addr Off Size ES Flg Lk Inf Al
[4] .dynsym DYNSYM 08048174 000174 000060 10 A 5 1 4
........
[11].plt PROGBITS 08048290 000290 000030 04 AX 0 0 4
[12].text PROGBITS 080482c0 0002c0 0001d0 00 AX 0 0 4
........
[20].got PROGBITS 080495d8 0005d8 000004 04 WA 0 0 4
[21].got.plt PROGBITS 080495dc 0005dc 000014 04 WA 0 0 4
........
[22].data PROGBITS 080495f0 0005f0 000010 00 WA 0 0 4
[23].bss NOBITS 08049600 000600 000008 00 WA 0 0 4
........
[26].symtab SYMTAB 00000000 000c6c 000480 10 27 2c 4
........
编译器把可执行代码保存到.text节区中。那.text节区被标记为可执行('X'在flag字段)。在这个节区,你可以看到我们main()函数的机器代码。
$ objdump -d -j.text test
-d选项告诉objdump分解机器代码。-j告诉objdump只关心那个特定的节区(在本例中,是.text)。以下是执行命令后的部分内容。
08048370 :.......
8048397: 83 ec 08sub $0x8,%esp
804839a: ff 35 fc95 04 08 pushl 0x80495fc
80483a0: 68 c1 8404 08 push $0x80484c1
80483a5: e8 06 ffff ff call 80482b0
80483aa: 83 c4 10add $0x10,%esp
80483ad: 83 ec 08sub $0x8,%esp
80483b0: ff 35 0496 04 08 pushl 0x8049604
80483b6: 68 d3 8404 08 push $0x80484d3
80483bb: e8 f0 feff ff call 80482b0 .......
.data节区保存所有的初始化的变量,这些变量不在栈中。“Initialized”是指这些变量被赋于初始值,如”global_data”。那”local_data”呢?“local_data”的值不在此节区中,它们生活在进程的栈里。
以下是用objdump查看.data节区:
$ objdump -d -j.data test
.....
080495fc <global_data>:
80495fc: 04 00 00 00 ......... 【此处作了修改。】
我们可推断出objdump可以很好地完成地址与符号之间的转译工作。不用在符号表中找,我们可以知道080495fc【作者原文是0x08049424】是global_data的地址。这里我们可以看到它的初始值为4。请注解linux创建的通用可执行文件。这里没有注释的符号表。Objdump很难解析这个地址。
那.bss呢?BSS(BlockStarted by Symbol)是一个映射【注意是映射,不是保存,这个节区在目标文件中的size为0,但在进程中,这个区是有实际空间的,也就是说初始化的变量在进程运行时被创建,在静态的程序中是没他们的空间】未初始化变量的节区,你可能会想“每个东东都应该有明确地初始值”。诚然,在linux中,所有的未初始化的变量都被设置为0。这也是为什么.bss只是一片0的原因。对于字符类型的变量,那就是null字符。知道这个事实,我们知道在运行时,global_data_2被迫成为0.
$objdump -d -j .bss test
Disassemblyof section .bss:
.....
08049604: 8049604: 00 00 00 00 .........
之前,我们提到了符号表。这个表可以找到符号名(不能是外部函数和变量)与地址的关联关系。使用-s,readelf可以解调这个符号表。
$readelf -s ./test
Symboltable '.dynsym' contains 6 entries:
Num:Value Size Type Bind Vis Ndx Name
.....
2:00000000 57 FUNC GLOBAL DEFAULT UND printf@GLIBC_2.0 (2)
.....
Symboltable '.symtab' contains 72 entries:
Num:Value Size Type Bind Vis Ndx Name
.....
49:080495fc 4 OBJECT GLOBAL DEFAULT 22 global_data
.....
55:08048370 109 FUNC GLOBAL DEFAULT 12 main
.....
59:00000000 57 FUNC GLOBAL DEFAULT UND printf@@GLIBC_2.0
.....
61:08049604 4 OBJECT GLOBAL DEFAULT 23 global_data_2
.....
"value" 指示了符号对应的地址。例如:如果一个指令引用的地址(pushl 0x80495fc),此地址含义是global_data。对Printf()这个符号处理是不同的,因为这个符号是外部函数的符号。要知道printf是 定义在了glibc中,不是在test程序的内部,之后呢,我会解释我们的test程序是如何调用到printf的。
C.查看 program Header Table(PHT)
像我之前解释的方法,段(segment)是一个OS“看懂”我们程序的方法。让我们看看我们程序是如何变成段的吧:
$readelf -l test
here are 7 program headers, starting at offset 52Program Headers:
Type Offset VirtAddr PhysAddr FileSiz MemSiz Flg Align
[00] PHDR 0x000034 0x08048034 0x08048034 0x000e0 0x000e0 R E 0x4
[01] INTERP 0x000114 0x08048114 0x08048114 0x00013 0x00013 R 0x1
[02] LOAD 0x000000 0x08048000 0x08048000 0x004fc 0x004fc R E 0x1000
[03] LOAD 0x0004fc 0x080494fc 0x080494fc 0x00104 0x0010c RW 0x1000
[04] DYNAMIC 0x000510 0x08049510 0x08049510 0x000c8 0x000c8 RW 0x4
[05] NOTE 0x000128 0x08048128 0x08048128 0x00020 0x00020 R 0x4
[06] STACK 0x000000 0x00000000 0x00000000 0x00000 0x00000 RW 0x4
Section to Segment mapping:
Segment Sections...
00
01 .interp
02 .interp .note.ABI-tag .hash .dynsym .dynstr .gnu.version .gnu.version_r .rel.dyn .rel.plt .init .plt .text .fini .rodata .eh_frame
03 .ctors .dtors .jcr .dynamic .got .got.plt .data .bss
04 .dynamic
05 .note.ABI-tag
06
注意:我自己给这些输出增加了[x]的行号。在实际的输出中是没有的。
这个映射很直观。例如段号2,这里有15个节区被映射到其中。.text节区就映射到此段。它的标志是R,E其含义分别是可读,可执行。W 就是可读的含义。
看 一下“VirtAddr“一列,我们能发现这是每一个段的虚拟首地址。看一个2号段,它的首地址是0x08048000。在这个节区,我们可发现这个地址 不是段在内存中的真实地址。你先忽略"PhyAddr",因为linux一直运行在保存模式(在Intel/AMD 32 bit 和64bit)所以这个虚拟地址是我们关心的。
段有很多类型,我们只关心两类:
- LOAD : 这种段的内容是从可执行文件中加载进来的。"offset"指示了内核应该从文件哪个位置开始读取。"FileSiz"告诉我们从该文件读多少字节。例如:2号段(segment)它的内容是从文件0到0x4fc的这段内容。为了迅速的执行,当有需要时,文件的内容才被读到内存中。【这里的LOAD是指映射到用户的虚拟空间,不是将数据复制到相应的物理页面。】
- STACK: 这个段是栈的区域。有意思的是它的字段全是0,除了"Flg"和“Align"。不会是错了吧?不是的。决定栈的开始的地址,以及它的大小这都是内核的工作。请记住:在intel的CPU,栈是向下增长的(地址递减说明是在进栈)。
很好奇看到程序段的真实的布局是吗?我们使用/proc/<pid>/maps 文件也可以得看到它。<pid>是一个我们想要查看的进程的ID。要行动之前,还有一个小问题,我们的test进程运行的太快了,在我们进入/proc这前,它就结束了。我使用gdb来解决此问题。你也可以在return之前调用 sleep()来搞定这个问题。
在另一个控制台中(或是模拟的终端如xterm):
$ gdb test
(gdb) b main
Breakpoint 1 at 0x8048376
(gdb) r
Breakpoint 1, 0x08048376 in main ()
在此保持(hold)住,打开另一个控制台,找到test的PID。如果你想图省事的话,就这样:
$ cat /proc/`pgrep test`/maps
你将看到如下的输出:(你的输出可能有点不同)
[1] 0039d000-003b2000 r-xp 00000000 16:41 1080084 /lib/ld-2.3.3.so
[2] 003b2000-003b3000 r--p 00014000 16:41 1080084 /lib/ld-2.3.3.so
[3] 003b3000-003b4000 rw-p 00015000 16:41 1080084 /lib/ld-2.3.3.so
[4] 003b6000-004cb000 r-xp 00000000 16:41 1080085 /lib/tls/libc-2.3.3.so
[5] 004cb000-004cd000 r--p 00115000 16:41 1080085 /lib/tls/libc-2.3.3.so
[6] 004cd000-004cf000 rw-p 00117000 16:41 1080085 /lib/tls/libc-2.3.3.so
[7] 004cf000-004d1000 rw-p 004cf000 00:00 0
[8] 08048000-08049000 r-xp 00000000 16:06 66970 /tmp/test
[9] 08049000-0804a000 rw-p 00000000 16:06 66970 /tmp/test
[10] b7fec000-b7fed000 rw-p b7fec000 00:00 0
[11] bffeb000-c0000000 rw-p bffeb000 00:00 0
[12] ffffe000-fffff000 ---p 00000000 00:00 0
注意:我自己给这些输出增加了[x]的行号。在实际的输出中是没有的。
【上图是译者的用例】
回到gdb,输入:
(gdb) q
于是,最后,我们看到了12个段(实际上是VMA)。重点关注第一个字段和最后一字段。第一字段显示了VMA的地址范围,最后一个字段显示了背后的文件。你在看到VMA的第8行与之前PHT的第2行的类似点了吗?不同之处是SHT说它自己于0x080484fc结束,但在8号段中我们看到它的结束地址是0x08049000。在VMA9号与段3号之间也有同样的现象。SHT显示3号段开始于0x080494fc。而VMA则显示开始于0x08049000。
有这么几个因素我们必须了解:
1.尽管VMA开始于不同的地址,与之关联的节区仍然被映射到精确的虚拟地址上了。
2.内核分配内存是以4KB的页为基本单位的,所以每一页的地址都是4KB的整数倍。如0x1000,0x2000等。对于VMA的9号,这个页的地址是0x08049000。或从技术角度讲,这个段的地址必须与页面的大小对齐。
最后,哪一个VMA是栈呢?VMA11就是。一般地,内核动态地分配几个页面,并映射到用户空间可能的最高的虚拟地址,这就是栈的区域了。简单地讲,每一个进程的地址空间被分成两部分(前提是32位的CPU):用户空间和内核空间。用户空间在0x00000000-0xc0000000 ,所以内核空间只能在0xc0000000以上了。
于是,分配给栈的地址是在0xc0000000边界附近的。结束地址是固定的,开始地址可以根据保存内容的多少而变化。
D.一个函数是怎么一回事呢?
一个程序(它自己是可执行的)调用一个函数。它要做的很简单:只是调用一个过程(函数)。但是如果它调用了如printf()这样定义在glibc库中的函数会怎么样呢?
这里,我们不深入地讨论动态链接器是如何工作的,我重点讲一个在可执行体(或是可执行文件或是进程)中,调用机制是怎么玩的。有了这个前提,让我们继续。
当一个程序想到调用一个函数时,它得按以下的流程来做:
1.它得完成一个跳跃(jump),跳到在PLT(Procedure Linkage Tabe)中要调用的函数相关的条目。
2.在PLT中,还有一个跳跃,跳跃到在GOT(Global Offset Table)中的相关条目的地址。
3.如果这个函数是第一次被调用,则进入第4步,否则进入第5步。
4.相关的GOT入口包含了一个地址(指向PLT下一条指令的地址点)。程序将会跳到此地址,并且调用动态链接器,让它搞定函数的地址。如果函数地址找到了,这个地址被放入相关的GOT条目中,最后这个函数被执行。
于是,当再一次调用此函数时,GOT已经持有了它的地址,PLT就直接跳到这个地址上了。这个过程叫做懒绑定【到了真正用的时候,才完成绑定过程的机制叫懒绑定】;所有的外部符号直到它们第一次被真实地需要时,这些符号才被转译成地址。(在这个例子中,就是函数被调用时,函数符号才被转译成地址)。现在转到第6步。
5.跳到GOT提及的地址点。这个地址点就是函数的地址。不需要再经过动态链接器了。
6.执行完成函数之后,跳回到调用者的下一条指令。
一般地,查看可执行文件的内容的最好方式就是反解析它。可以这样:
$ objdump -d -j .text test
你就可以看到如下代码了:
.....08048370 :..... 804838f: e8 1c ff ff ff call 80482b0 【这是进入PLT的条目的地址。】
我们在0x80482b0处干什么了:
080482b0 : 【PLT表,每一个表项有16个字节,每个表项是一段汇编代码。】
80482b0: ff 25 ec 95 04 08 jmp *0x80495ec 【这个地址是GOT表的一个表项的地址,这个GOT表项对应PLT表项】
80482b6: 68 08 00 00 00 push $0x8
80482bb: e9 d0 ff ff ff jmp 8048290 <_init+0x18>
你看,在0x80482b0处是一个间接跳转*0x80495ec(*要在地址之前)。所以,看它跳哪去。我们得再看0x80482b0一下。猜想,这个地址要么在.GOT中,要么在.GOT.PLT中。回头看SHT,我们在.GOT.PLT中找到了它。我使用readelf完成十六进制的转置。
$ readelf -x 21 test
Hex dump of section '.got.plt':
0x080495dc 080482a6 00000000 00000000 08049510
................
0x080495ec 080482b6 ....
注意,第一列是虚拟地址,这个地址上的数据在第5列,不是第二列。
有了!我们的"080482b6"就在这里。换句话说,我们回到了PLT【回到了相应PLT表项中的第二条指令push $0x8】,在这里我们跳转到了另一个地址。这里的工作是由动态链接器在一开始就完成了的,所以我们把它略过了。假设动态链接器已经完成了这个工作,在GOT的一个条目中持有了printf函数的地址。
E.其它的检测elf结构的工具
除了readelf和objdump,还有一个工具叫Beye。它是一个文件的查看器,能解析ELF结构。你可以从http://beye.sourceforge.net 得到源文件,并自己编译它。
一般,Beye 会在Linux的live CD中。
我个人比较喜欢Beye,因为它提供一个GUI 的显示。针对节区有导航,可以查看ElF头,列出符号表或是其它的任务,这些都只要你点几下键盘就搞定了。
例如:你能列出符号,并直接跳转到符号的地址。我们试着跳转到main函数。第一步,启动Beye.
$ beye test
先按F7后,再按Ctrl+A可查看到符号表。为了节省时间,再按下F7来打开"Find string"菜单。输入"main"按下回车。那个高亮的条目就是你要找的。轻松按下回车,Beye就跳转到main的地址了。不要忘了切换到汇编模式(按F2来选择),这样你能看到机器码的高级形式(汇编形式)。
上图是Beye列出的符号。
一般我们更希望看到虚拟地址,不是文件的偏移。切换到虚拟地址视图更好些。先按F6再按Ctrl+C,选择"Local"。你可以看到最左列是虚拟地址
总结
这个文章只是学习ELF结构的简介。使用readelf和objdump,你就可以开始上道了。如有需要,可以使用Beye工具,它能帮助你快速地探索内部二进制。把你所学的东东,用会,用熟,那你成这方面的大师了。
进一步阅读:
http://www.linuxjournal.com/article/1059
http://www.linuxjournal.com/article/1060
由Eric Youngdale编写的很不错的ELF介绍性文章。
http://en.wikipedia.org/wiki/Executable_and_Linkable_Format
ELF在Wikipedia上的说明,从那里,你能找到一些其它有用的文章。
http://en.wikipedia.org/wiki/Executable_and_Linkable_Format
这个文档完整地详细地说明了ELF的结构,读完本文之后再读此文,可以对ELF有一个全面的了解。
1507
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
