Linux ELF文件学习
本文主要通过代码,了解Linux ELF文件的相关知识。
ELF文件
ELF(Executable Linkable Format)是Linux平台的可执行文件。
ELF文件的类型:
-
可重定位类型
- 包含代码和数据,用来链接成可执行文件或共享目标文件, linux的.o文件
-
可执行文件
- 可以直接执行的程序
-
共享目标文件
- .so文件
-
核心转储文件
- core dump文件,系统意外时转储文件。
源码
SimpleSection.c
#include <stdio.h>
#include <stdlib.h>
// 全局变量,data区, 4字节
int global_int_var = 1;
// 全局变量,未初始化,bss区, 4字节
int global_uninit_var;
void func1(int i)
{
// 里面有一个"%d\n"字符串,在rodata区, 共4字节
printf("%d\n", i);
}
int main(void)
{
// 静态变量,data区, 4字节
static int static_var = 1;
// 静态变量,未初始化,bss区, 4字节
static int static_var2;
// 局部变量, 栈区
int a = 1;
// 局部变量, 栈区
int b;
// 静态变量,未初始化,64位系统,占用8字节
static int *static_ptr = NULL;
// 局部变量,栈区
int *p;
// malloc申请的空间,堆区
p = malloc(sizeof(int));
free(p);
// 函数调用时,也会进行入栈出栈操作,一些局部变量都需要保存在占中
func1(static_var + static_var2 + a + b);
return 0;
}
编译文件
只编译本文件方便分析,不连接其他的库。
编译使用的是ubuntu64位系统。
gcc -c SimpleSection.c -o SimpleSection.o
objdump查看段信息
objdump -h SimpleSection.o
# 文件格式
SimpleSection.o: file format elf64-x86-64
Sections:
# 大小 虚拟地址 逻辑地址 文件偏移 段边界对齐字数
Idx Name Size VMA LMA File off Algn
0 .text 0000007e 0000000000000000 0000000000000000 00000040 2**0
CONTENTS, ALLOC, LOAD, RELOC, READONLY, CODE
1 .data 00000008 0000000000000000 0000000000000000 000000c0 2**2
CONTENTS, ALLOC, LOAD, DATA
2 .bss 00000010 0000000000000000 0000000000000000 000000c8 2**3
ALLOC
3 .rodata 00000004 0000000000000000 0000000000000000 000000c8 2**0
CONTENTS, ALLOC, LOAD, READONLY, DATA
4 .comment 00000027 0000000000000000 0000000000000000 000000cc 2**0
CONTENTS, READONLY
5 .note.GNU-stack 00000000 0000000000000000 0000000000000000 000000f3 2**0
CONTENTS, READONLY
6 .note.gnu.property 00000020 0000000000000000 0000000000000000 000000f8 2**3
CONTENTS, ALLOC, LOAD, READONLY, DATA
7 .eh_frame 00000058 0000000000000000 0000000000000000 00000118 2**3
CONTENTS, ALLOC, LOAD, RELOC, READONLY, DATA
查看elf文件头
readelf -h SimpleSection.o
ELF Header:
# elf魔数
Magic: 7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00
Class: ELF64
Data: 2's complement, little endian
Version: 1 (current)
OS/ABI: UNIX - System V
ABI Version: 0
# 文件类型
Type: REL (Relocatable file)
Machine: Advanced Micro Devices X86-64
Version: 0x1
Entry point address: 0x0
Start of program headers: 0 (bytes into file)
Start of section headers: 1208 (bytes into file)
Flags: 0x0
# 文件头的大小
Size of this header: 64 (bytes)
Size of program headers: 0 (bytes)
Number of program headers: 0
Size of section headers: 64 (bytes)
# 段表成员个数
Number of section headers: 14
Section header string table index: 13
查看elf段表
段表在ELF文件中位置有ELF文件头的"e_shoff"成员决定。
ELF文件的段结构就是由段表决定,编译器、链接器和装载器都是通过段表来定位和访问各个端的属性。
readelf -S SimpleSection.o
There are 14 section headers, starting at offset 0x4b8:
Section Headers:
[Nr] Name Type Address Offset
Size EntSize Flags Link Info Align
[ 0] NULL 0000000000000000 00000000
0000000000000000 0000000000000000 0 0 0
[ 1] .text PROGBITS 0000000000000000 00000040
000000000000007e 0000000000000000 AX 0 0 1
[ 2] .rela.text RELA 0000000000000000 00000368
00000000000000a8 0000000000000018 I 11 1 8
[ 3] .data PROGBITS 0000000000000000 000000c0
0000000000000008 0000000000000000 WA 0 0 4
[ 4] .bss NOBITS 0000000000000000 000000c8
0000000000000010 0000000000000000 WA 0 0 8
[ 5] .rodata PROGBITS 0000000000000000 000000c8
0000000000000004 0000000000000000 A 0 0 1
[ 6] .comment PROGBITS 0000000000000000 000000cc
0000000000000027 0000000000000001 MS 0 0 1
[ 7] .note.GNU-stack PROGBITS 0000000000000000 000000f3
0000000000000000 0000000000000000 0 0 1
[ 8] .note.gnu.pr[...] NOTE 0000000000000000 000000f8
0000000000000020 0000000000000000 A 0 0 8
[ 9] .eh_frame PROGBITS 0000000000000000 00000118
0000000000000058 0000000000000000 A 0 0 8
[10] .rela.eh_frame RELA 0000000000000000 00000410
0000000000000030 0000000000000018 I 11 9 8
[11] .symtab SYMTAB 0000000000000000 00000170
0000000000000180 0000000000000018 12 9 8
[12] .strtab STRTAB 0000000000000000 000002f0
0000000000000078 0000000000000000 0 0 1
[13] .shstrtab STRTAB 0000000000000000 00000440
0000000000000074 0000000000000000 0 0 1
Key to Flags:
W (write), A (alloc), X (execute), M (merge), S (strings), I (info),
L (link order), O (extra OS processing required), G (group), T (TLS),
C (compressed), x (unknown), o (OS specific), E (exclude),
D (mbind), l (large), p (processor specific)
重定位表
有一个".rel.text"段,链接器在处理目标文件时,需要对目标文件中某些部位进行重定位,即代码段和数据段中那些对绝对地址的引用位置。
自定义段
通过attribute((section("name")))把变量或者函数放到以"name"作为段名的段中。
__attribute__((section(".var_section")))
int var_test;
__attribute__((section(".func_section")))
int func_test()
{
printf("helloworld\n");
}
通过objdump查看,可以发现多了两个段
3 .var_section 00000004 0000000000000000 0000000000000000 000000c8 2**2
CONTENTS, ALLOC, LOAD, DATA
5 .func_section 0000001a 0000000000000000 0000000000000000 000000db 2**0
CONTENTS, ALLOC, LOAD, RELOC, READONLY, CODE
本文参考
《程序员的自我修养》
https://blog.csdn.net/SlowIsFastLemon/article/details/103593719
