【内核】ELF 文件执行流程

# ELF 文件分类

Linux中,ELF文件全称为:Executable and Linkable Format,主要有三种形式,分别是:

  • 可执行文件
  • 动态库文件(共享文件 .so)
  • 目标文件(可重定位文件 .o)

写个脚本测试一下:

准备两个 C 程序:a.c 和 b.c,内容如下:

// a.c
#include <stdio.h>

void hello(void);

int main(void) {
        hello();
        return 0;
}
// b.c
#include <stdio.h>

void hello(void) {
        printf("hello a, b!\n");
}

接下来将b.c编译成动态链接库:

gcc -shared -o libb.so b.c -fPIC

a.c编译成可执行文件:

gcc a.c ./libb.so

得到 4 个文件:

a.c    a.out    b.c    libb.so

执行 ./a.out,可以输出:hello a, b!

为了测试,可以执行gcc -c a.c -o a.o,多编一个a.o,虽然用不到,权当对照。

此时可以用file命令查看文件信息:

file a.out
# 输出:a.out: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked...
file a.o
# 输出:a.o: ELF 64-bit LSB relocatable, x86-64, version 1 (SYSV), not stripped
file libb.so
# 输出:libb.so: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked...

可以看到,以上三个文件分属于不同的 ELF 种类。

# ELF 文件格式

ELF 文件的结构分为两个重要的部分:ELF头部分和ELF节表部分,其中节表部分被分成两种类型:节和程序段。ELF文件通过一个节表和程序头表指向这两个部分。具体结构如图:

image

即,同样的数据区域,既可以被视为节(sections),也可以被视为程序段(segments),其在不同的ELF文件中有所区分:

  • 可执行文件:加载器则将把elf文件看作是程序头表描述的段的集合,一个段可能包含多个节,节头部表可选;
  • 可重定位文件(.o):一般编译器和链接器将把elf文件看作是节头表描述的节的集合,程序头表可选;
  • 动态库文件(.so):一般两者都有,因为链接器在链接的时候需要节头部表来查看目标文件各个 section 的信息然后对各个目标文件进行链接;而加载器在加载可执行程序的时候需要程序头表 ,它需要根据这个表把相应的段加载到进程自己的的虚拟内存(虚拟地址空间)中。

可以通过readelf工具查看 ELF 文件的内容:

# 查看 ELF 文件头
readelf -h [elf_file]
# 查看 ELF 文件 sections
readelf -S [elf_file]
# 查看 ELF 文件 segments
readelf -l [elf_file]

这里仅做抛砖引玉,具体的 ELF 文件各个字段的解释,以及动态链接 ELF 文件如何寻址填充,生成可执行文件,可以移步这篇文章:https://cloud.tencent.com/developer/article/2058294

# ELF 文件的执行流程

当执行./a.out命令时,首先开始工作的,是Linux集成的Bash程序。Bash 进程会做两件事情:

  • 调用 fork() 系统调用,创建出一个新的进程,用来执行a.out任务;
  • 调用 execve() 系统调用,执行这个 ELF 可执行文件a.out

execve() 系统调用在内核源码fs/exec.c文件中被定义(kernel 版本 4.19):

SYSCALL_DEFINE3(execve,
		const char __user *, filename,				// ELF 文件名
		const char __user *const __user *, argv,	// ELF 文件执行参数
		const char __user *const __user *, envp)	// 环境参数
{
	return do_execve(getname(filename), argv, envp);
}

execve() 系统调用接收三个参数:文件名、执行参数和环境参数,其调用链为:

// execve 系统调用:fs/exec.c
SYSCALL_DEFINE3(execve, ...)
|-> do_execve()
    |-> do_execveat_common()
        |-> __do_execve_file()			// (A)
    		|-> prepare_binprm(bprm)
    			|-> kernel_read(bprm->file, bprm->buf, BINPRM_BUF_SIZE, &pos)
            |-> exec_binprm(bprm)		// (B)
                |-> search_binary_handler(bprm)
                    |-> security_bprm_check(bprm)   // (C) lsm hook (include/linux/lsm_hooks.h)
                    |-> list_for_each_entry(fmt, &formats, lh) { 
                            fmt->load_binary(bprm)  // (D) load_elf_binary
                        }

值得注意的:

在内核中,一个 ELF 可执行文件会被解析为一个brpm结构,结构体为linux_binprm,定义在include/linux/binfmts.h中,核心字段如下:

struct linux_binprm {
    char buf[BINPRM_BUF_SIZE];		// 存储 ELF 文件头,大小 128 字节
    struct mm_struct *mm;
	unsigned long p; 		// mem top 指针
    struct file * file;			// ELF 可执行文件指针
    int argc, envc;			// argv、envp 参数数量
    const char * filename;		// ELF 可执行文件名
}

在步骤(A)中:留意两件事情

  • 调用prepare_binprm(bprm),后者执行kernel_read(bprm->file, bprm->buf, BINPRM_BUF_SIZE, &pos),将 ELF 文件的前BINPRM_BUF_SIZE大小(128字节)的内容填充到bprm->buf中;
  • 对传入的参数进行处理,即,为运行参数 argv和环境参数envp分配内存页面(函数copy_strings());

随后调用(B)。

步骤(B)会调用search_binary_handler(bprm)选择合适的可执行文件处理器后,最终会调用load_elf_binary()函数真正加载这个 ELF 文件(步骤(D))。

Linux 支持其他不同格式的可执行程序, elf就是其中常见的一种可执行文件格式。在这种方式下, Linux 能运行其他操作系统所编译的程序, 如 MS-DOS 程序, 活 BSD Unix 的 COFF 可执行格式。

这里选择的是 ELF 二进制文件处理器。

引自:https://zhuanlan.zhihu.com/p/287863861

不过在步骤(D)执行之前,会进行一个security_bprm_check(bprm)过程(步骤(C))。该过程是 LSM 框架预设的 hook 点,用于在真正加载 ELF 文件前执行自定义的 check 回调,来实现安全控制。

步骤(D)中调用的其实是fmt->load_binary(bprm),此乃linux_binfmt在初始化时,其成员函数指针内核预设的值,具体如下:

// 在文件 fs/binfmts.h 中
static struct linux_binfmt elf_format = {
	.module		= THIS_MODULE,
	.load_binary	= load_elf_binary,
	.load_shlib	= load_elf_library,
	.core_dump	= elf_core_dump,
	.min_coredump	= ELF_EXEC_PAGESIZE,
};

// elf_binfmt 初始化注册
static int __init init_elf_binfmt(void)
{
	register_binfmt(&elf_format);
	return 0;
}
// initcall
core_initcall(init_elf_binfmt);
# ELF文件的加载

在函数load_elf_binary()中,完成ELF文件的加载过程。

1)获取 ELF 头进行检查
/* Get the exec-header */
	loc->elf_ex = *((struct elfhdr *)bprm->buf);

	/* First of all, some simple consistency checks */
	if (memcmp(loc->elf_ex.e_ident, ELFMAG, SELFMAG) != 0)	
		goto out;

	if (loc->elf_ex.e_type != ET_EXEC && loc->elf_ex.e_type != ET_DYN)
		goto out;
	if (!elf_check_arch(&loc->elf_ex))
		goto out;
	if (elf_check_fdpic(&loc->elf_ex))
		goto out;

这一步骤,首先从 bprm->buf中读取 ELF 头(prepare_binprm(bprm)),并判断文件前SELFMAG个字节是否为ELFMAG

注:include/uapi/linux/elf.h

#define ELFMAG 		"\177ELF"
#define SEELFMAG	4

随后判断其文件类型是否为 “ET_EXEC” 和 “ET_DYN”,即,内核仅允许可执行ELF动态链接ELF的加载。

2)加载程序头表

这一过程是通过load_elf_phdrs()函数完成的。该函数主要作用是,调用kernel_read()读取 ELF 文件的 程序头表:

// in load_elf_binary
elf_phdata = load_elf_phdrs(&loc->elf_ex, bprm->file);
if (!elf_phdata)
	goto out;

// in load_elf_phdrs 保留关键逻辑
static struct elf_phdr *load_elf_phdrs(struct elfhdr *elf_ex,
				       struct file *elf_file)
{
	/* Sanity check the number of program headers... */
	if (elf_ex->e_phnum < 1 ||
		elf_ex->e_phnum > 65536U / sizeof(struct elf_phdr))
		goto out;

	/* ...and their total size. */
	size = sizeof(struct elf_phdr) * elf_ex->e_phnum;
	elf_phdata = kmalloc(size, GFP_KERNEL);

	/* Read in the program headers */
	retval = kernel_read(elf_file, elf_phdata, size, &pos);
    
	return elf_phdata;
}

在这个函数中,有几个细节值得注意:

  • ELF 文件至少有一个程序段,才能被成功加载;
  • 所有段的大小不超过 65536U,即 64k
  • 最终 ELF 程序头表被保存在elf_phdata中。
3)处理动态链接的 ELF

如果当前加载的 ELF 文件是需要动态链接的,那么,程序最终会交给解释器执行,由解释器填充为链接库预留的程序段后,再真正交由程序执行。

因此,在这一步中,如果对 ELF 中定义的解释器段进行提取和解析,并加载到内存中。

需要动态链接的程序需要经由解释器来执行。例如上述的 a.out文件,其中动态链接了一个名为libb.so的共享库——具体而言,其代码中调用了libb.sohello()函数。

这部分的核心代码逻辑为:

// in load_elf_binary
for (i = 0; i < loc->elf_ex.e_phnum; i++) {
    if (elf_ppnt->p_type == PT_INTERP) {
        // (A)
        elf_interpreter = kmalloc(elf_ppnt->p_filesz, GFP_KERNEL);
        pos = elf_ppnt->p_offset;
        retval = kernel_read(bprm->file, elf_interpreter,
                             elf_ppnt->p_filesz, &pos);
        // (B)
        interpreter = open_exec(elf_interpreter);
        // (C)
        pos = 0;
        retval = kernel_read(interpreter, &loc->interp_elf_ex,
                             sizeof(loc->interp_elf_ex), &pos);
        // ...
    }
}

这一步骤,遍历 ELF 文件的所有程序段,寻找PT_INTERP程序段,如果找到了,则主要做三件事:

(A)

elf_interpreter代表 解释器文件名,它是硬编码到 ELF 文件PT_INTERP程序段中的。举例来看:

执行readelf -l a.out查看上述的a.out ELF 可执行文件,结果如下:

image

可以看到,其中INTERP程序段中,从0x000238开始,大小为0x00001C的内容填充了一段名为/lib64/ld-linux-x86-64.so.2的字符串,代表了 Linux 系统的解释器。

/lib64/ld-linux-x86-64.so.2也是一个.so文件,但它是静态链接的,其本身不依赖任何其他的共享对象也不能使用全局和静态变量。这是合理的,试想,如果解释器都是动态链接的话,那么由谁来完成它的动态链接呢?

这里的解释器在32为系统上的路径名为:/lib/ld-linux.so.2

因此,步骤(A)仅是把PT_INTERP程序段的内容读取出来,存放到elf_interpreter变量中。

(B)找到了elf_interpreter后,尝试打开它。

(C)读取解释器(/lib64/ld-linux-x86-64.so.2)的 ELF 文件头。

4)处理可执行栈

该步骤的逻辑:

// in load_elf_binary
for (i = 0; i < loc->elf_ex.e_phnum; i++, elf_ppnt++)
    switch (elf_ppnt->p_type) {
        case PT_GNU_STACK:
            // ...
            break;
            // ...
    }
}

gcc编译选项中,开始/关闭可执行栈的选项是 -z execstack/noexecstack,默认情况下gcc是关闭可执行栈的。在加载 ELF 文件时,会遍历所有的segment,找到PT_GNU_STACK,即栈段,检查flags。

具体可参考:https://mudongliang.github.io/2015/10/23/elf.html

5)解释器的检查工作

这一步骤主要检查刚刚打开的解释器的合法性,主要包括以下几个方面:

  • 是否是一个 ELF 解释器?
  • 架构信息是否合法?
  • 加载解释器程序头表
  • 执行前的最后校验(arch_check_elf(),此函数节点是执行前的最后确认,在此之前,exec系统调用仍然可以发挥一个 error code)
6)重建用户空间映射

这一步骤中,ELF 文件即将蜕变为一个真正的进程,首先为其重建用户空间:

// in load_elf_binary
/* Flush all traces of the currently running executable */
retval = flush_old_exec(bprm);
// ...
setup_new_exec(bprm);
install_exec_creds(bprm);
/* Do this so that we can load the interpreter, if need be.  We will
	   change some of these later */
retval = setup_arg_pages(bprm, randomize_stack_top(STACK_TOP), executable_stack);
current->mm->start_stack = bprm->p;

在这一过程中,首先调用flush_old_exec释放当前进程的所有用户空间页面映射;紧接着,进行必要的setupinstall过程;最后,调用setup_arg_pages(),将前文(copy_strings())为argvenvp分配的页面重新映射回用户空间。

7)载入 LOAD 程序段

此为关键步骤,仍然是遍历所有的程序段,寻找PT_LOAD段,并将其载入到某个地址上(实际上是建立映射关系)。

// in load_elf_binary
for(i = 0, elf_ppnt = elf_phdata; i < loc->elf_ex.e_phnum; i++, elf_ppnt++) { 
	if (elf_ppnt->p_type != PT_LOAD)
		continue;
    if (elf_ppnt->p_flags & PF_R) elf_prot |= PROT_READ;
    if (elf_ppnt->p_flags & PF_W) elf_prot |= PROT_WRITE;
    if (elf_ppnt->p_flags & PF_X) elf_prot |= PROT_EXEC;
    // ...
    vaddr = elf_ppnt->p_vaddr;
    // ...
    error = elf_map(bprm->file, load_bias + vaddr, elf_ppnt,
				elf_prot, elf_flags, total_size);
}

这一过程中,首先定位PT_LOAD程序段,然后,保存 R/W/X 权限信息,最后进行地址映射。

8)定位程序的入口

进行到此步骤时,当前 ELF 可执行程序 和解释器均已加载完成,并且各类准备工作也已经执行完毕,接下来要做的,就是找到程序的入口。

// in load_elf_binary
if (elf_interpreter) { 
    unsigned long interp_map_addr = 0;
    elf_entry = load_elf_interp(&loc->interp_elf_ex,
				interpreter,
				&interp_map_addr,
				load_bias, interp_elf_phdata);
} else {
    elf_entry = loc->elf_ex.e_entry;
}

很简单,若当前 ELF 依赖解释器,则入口地址设置为解释器的入口地址;否则设置为 ELF 本身的入口地址。

9)准备执行
  • 进程栈的设置(参数、环境变量...)
  • current->mm 的设置
  • ...
  • 调用start_thread(regs, elf_entry, bprm->p)开始执行
# ELF 文件的执行

load_elf_binary()函数最终调用start_thread(regs, elf_entry, bprm->p)启动执行流程。

对于x86架构而言,start_thread()定义在arch/x86/k ernel/process_64.c文件中:

void
start_thread(struct pt_regs *regs, unsigned long new_ip, unsigned long new_sp)
{
	start_thread_common(regs, new_ip, new_sp,
			    __USER_CS, __USER_DS, 0);
}
EXPORT_SYMBOL_GPL(start_thread);

其中,new_ip 就是 ELF 文件的入口地址:elf_entry,后续指令将跳转此处开始执行。

posted @ 2023-12-18 16:55  _hong  阅读(1797)  评论(0编辑  收藏  举报