一、 ELF简介
ELF(Executable and Linkable Format)即可执行连接文件格式,是一种比较复杂的文件格式,但其应用广泛。与linux下的其他可执行文件(a.out,cof)相比,它对节的定义和gnu工具链对它的支持使它十分灵活,它保存的足够了系统相关信息使它能支持不同平台上的交叉编译和交叉链接,可移植性很强.同时它在执行中支持动态链接共享库。 ELF目前是Linux,SVR4和Solaris2.0默认的目标文件格式,目前标准接口委员会TIS已将ELF标准化为一种可移植的目标文件格式,运行于32-bit Intel体系微机上,可与多种操作系统兼容。分析elf文件有助于理解一些重要的系统概念,例如程序的编译和链接,程序的加载和运行等。
二、3种类型的ELF文件:
i. 可重定位文件:用户和其他目标文件一起创建可执行文件或者共享目标文件,例如lib*.a文件。 ii.可执行文件:用于生成进程映像,载入内存执行,例如编译好的可执行文件a.out。
iii.共享目标文件:用于和其他共享目标文件或者可重定位文件一起生成elf目标文件或者和执行文件一起创建进程映像,例如lib*.so文件。
三、ELF文件作用:
ELF文件参与程序的连接(建立一个程序)和程序的执行(运行一个程序),所以可以从不同的角度来看待ELF格式的文件。 i. 如果用于编译和链接(可重定位文件),则编译器和链接器将把ELF文件看作是节头表描述的节的集合,程序头表可选。 ii. 如果用于加载执行(可执行文件),则加载器则将把ELF文件看作是程序头表描述的段的集合,一个段可能包含多个节,节头表可选。 iii. 如果是共享文件,则两者都含有。
四、ELF文件总体组成:
从连接的角度和运行的角度,可以分别把目标文件的组成部分做以下划分:
i. ELF头文件:位于文件最开始处,包含整个文件的结构信息。
ii. 节(section):是专门用于连接过程而言的,在每个节中包含指令数据、符号数据、重定位数据等等。
iii. 程序头表: 在运行过程中是必须的,在链接过程中是可选的,因为它的作用是告诉系统如何创建进程的映像。
iv. 节头表:包含文件中所用节的信息。
下面看一下Linux内核对ELF头文件的定义,在linux+v2.6.36/include/linux/elf.h
/* 32-bit ELF base types. */
typedef __u32 Elf32_Addr;
typedef __u16 Elf32_Half;
typedef __u32 Elf32_Off;
typedef __s32 Elf32_Sword;
typedef __u32 Elf32_Word;
#define EI_NIDENT 16
typedef struct elf32_hdr{
unsigned char e_ident[EI_NIDENT]; //16字节的信息,下文详细解释
Elf32_Half e_type; //目标文件类型?
Elf32_Half e_machine; //体系结构类型
Elf32_Word e_version; //目标文件版本
Elf32_Addr e_entry; /* Entry point 程序入口的虚拟地址*/
Elf32_Off e_phoff; //程序头部表的偏移量
Elf32_Off e_shoff; //节区头部表的偏移量
Elf32_Word e_flags; //
Elf32_Half e_ehsize; //ELF头部的大小
Elf32_Half e_phentsize; //程序头部表的表项大小
Elf32_Half e_phnum; //程序头部表的数目
Elf32_Half e_shentsize; //节区头部表的表项大小
Elf32_Half e_shnum; //节区头部表的数目
Elf32_Half e_shstrndx; //
}Elf32_Ehdr; //此结构体一共52个字节
我们使用notepad++打开一个ELF文件,可以看到前四个字节为" ELF":
此外,在linux下我们可以使用objdump 和readelf 两个命令 ,查看到ELF文件的各个节段的信息,运行时必要的动态链接库,ELF中的汇编代码等。