ELF文件格式之.plt与.got表

x86架构的重定位操作需要修改代码段，arm架构重定位待修改的数据位于数据段(.got表)，不需要修改代码段。

.plt节区与.got表#

外部函数引用重定位#

通过readelf查看elf文件的所有节区section

arm架构使用.plt节区存放外部函数调用的PLT条目，通过.plt节区索引到.got表中导入函数的实际地址（got表有点x86中的输入地址表的意思）。
例如_start函数调用libc.so的导出函数__libc_init（）。
指令ADR R12, 0x504将0x504的值传给R12，所以R12 = 0x504
指令ADD R12,R12,#0x3000是将R12 = R12 + 0x3000 = 0x504 + 0x3000 = 0x3504
指令LDR PC，[R12,#(__libc_init_ptr -0x3504)]将PC = [R12 + __libc_init_ptr - 0x3504] = [0x3504 + __libc_init_ptr - 0x3504] = [__libc_init_ptr], __libc_init_ptr是plt条目对应的.got表项的地址，所以最后将.got表中实际的函数地址传给PC并调用。

总结：#(__libc_init_ptr -0x3504 )就是__libc_init_ptr相对于0x3504的偏移，所以无论程序被加载到哪个基地址处，plt条目总是能得到__lib_init_ptr的实际地址。plt条目相当于做了一件事 ：LDR PC,[函数对应.got表项地址]，也就是获取函数的实际地址并跳转过去。

__libc_init_ptr是plt条目对应的.got表项的地址，.got表项中存放的是实际调用的外部函数的地址，需要在程序加载时由linker程序修复，（windows输入表修复）。

导出的全局数据重定位#

x86架构上全局数据重定位直接通过重定位表修改对应的指令机器码，arm架构索引全局数据的指令是通过相对偏移的，无需进行重定位（指令本身就是地址无关性），但是对于导出的全局数据，因为有其他模块引用，所以就需要通过修改.got表实现全局数据的重定位。

以访问导出全局数据__PREINIT_ARRAY__为例
指令LDR R1, =(__PREINIT_ARRAY___ptr - 0x568)是将R1 = __PREINIT_ARRAY___ptr - 0x568
指令LDR R1,[PC,R1]是将R1 = [PC + R1] = [PC + __PREINIT_ARRAY___ptr - 0x568 ] ,因为当前pc的值第三条指令的地址为0x568，所以R1 = [__PREINIT_ARRAY___ptr ]相当于获取了实际全局数据__PREINIT_ARRAY__的地址赋给R1.

__PREINIT_ARRAY___ptr指向的.got表项中存放的是全局数据实际的地址，会在程序加载的时候修复。

结论#

arm架构的外部函数引用重定位与导出的全局数据重定位都是通过.got表实现的，其中外部函数引用重定位还需要.plt条目参与。.got表中存放的是所有需要重定位修复的地址信息（32位就每4个字节一项，64位就每8个字节一项）。
注意：.plt条目也属于程序代码

操作系统如何进行重定位#

在程序加载时.got表中的数据要进行重定位，那么操作系统是如何索引到.got表并进行重定位呢？

.rel.dyn表和.rel.plt表#

通过readelf可以查看到这两个表，直接在ida中是查看不到的。（两个表相当于widnwos PE中的重定位表）

struct Elf32_Dyn
{
  Elf32_Sword d_tag;
  union{
        Elf32_Word d_val;
        Elf32_Addr d_ptr;
    }d_un;
};

这两个节区可以通过.dynamic节区（等同于DYNAMIC segment）找到，.dynamic节区是一个Elf32_Dyn数组，数组每一项都会描述一个特定类型的节区，d_tag为其对应的类型。其中DT_REL类型为.rel.dyn节区，DT_JMPREL为.rel.plt节区。而d_ptr就指向其节区对应的偏移地址。

typedef struct {
        Elf32_Addr      r_offset;
        Elf32_Word      r_info;
} Elf32_Rel;

typedef struct {
        Elf64_Addr      r_offset;
        Elf64_Xword     r_info;
        Elf64_Sxword    r_addend;  //加数
} Elf64_Rela;

.rel.dyn包含了除外部函数引用外需要重定位的数据的信息，.rel.plt包含了外部函数引用需要重定位的数据的信息。二者都是一个Elf32_Rel类型的数组。（一般情况下32位是Elf32_Rel类型。64位是Elf64_Rela类型，此类型包含一个显示加数）

.rel.dyn中的重定位类型为R_ARM_RELATIVE，R_ARM_GLOB_DAT和R_ARM_ABS32，.rel.plt重定位类型为R_ARM_JUMP_SLOT。

• R_ARM_RELATIVE类型是对导出的全局变量引用的重定位。
• R_ARM_GLOB_DAT和R_ARM_ABS32类型是对数据引用的重定位（r_info含有重定位类型信息和对应的数据符号表索引）
• R_ARM_JUMP_SLOT类型是对函数引用的重定位（r_info含有重定位类型信息和对应的函数调用的符号表索引）

r_offset：对于可重定位文件，该值表示节偏移。对于可执行文件或共享目标文件，该值表示受重定位影响的存储单元的虚拟地址。（最终指向.got表）

r_info：指定了需要重定位数据的符号表索引以及要应用的重定位类型。（如果需要重定位的是一个函数引用地址，那么就要包含函数名称信息）。计算方法如下。

#define ELF32_R_SYM(info)             ((info)>>8)
#define ELF32_R_TYPE(info)            ((unsigned char)(info))
#define ELF32_R_INFO(sym, type)       (((sym)<<8)+(unsigned char)(type))

R_ARM_JUMP_SLOT重定位类型解析#

以.rel.plt中的需要重定位的__libc_init函数的Elf32_Rel结构为例进行解析。
r_offset为0x3FF0,指向对应的.got表项的虚拟地址。

r_info为0x316, ELF32_R_SYM(0x316) == 3，对应在.dynsym符号表中的索引为3。

typedef struct {
        Elf32_Word      st_name;
        Elf32_Addr      st_value;
        Elf32_Word      st_size;
        unsigned char   st_info;
        unsigned char   st_other;
        Elf32_Half      st_shndx;
} Elf32_Sym;

.dynsym符号表为一个Elf32_Sym类型的数组，st_name为对应在字符串表.dynstr中的偏移，此处为0x22。

R_ARM_RELATIVE重定位类型解析#

因为R_ARM_RELATIVE类型的重定位数据描述的是指向导出的全局变量的指针，当这个值也就是说其offset指向的.got表项是一个指针类型的变量，对应的表项值是一个导出的全局变量的地址。
以 Elf32_Rel <0x3FDC, 0x17> ; R_ARM_RELATIVE类型为例进行解析，其ELF32_R_SYM(r_info) = 0x17 >> 8 = 0， 也就是其对应的符号表索引为0，因为其实对全局变量的指针数据进行重定位所以符号索引无意义。

offset指向.got表项中存放的是main函数的地址。在编译时此.got表项中存放的是main函数相对于默认0加载地址的静态地址，在liner加载此程序时会将此.got表项的值 + 实际加载基地址然后修复。（R_ARM_RELATIVEA类型带显式加数，修复的话是将显式加数 + 实际加载基地址然后修复）

linker程序通过.rel.dyn和.rel.plt中不同类型的重定位数据进行分类修复。对于R_ARM_RELATIVE类型的需要通过r_offset找到对应的.got表项然后将对应的表项值+加载基地址，对于R_ARM_JUMP_SLOT，R_ARM_GLOB_DAT和R_ARM_ABS32类型的信息需要通过r_info得到对应的符号表索引找到在符号表中的符号信息（具体使用哪个符号表需要从当前重定位section的sh_link字段中获取），然后计算出对应符号实际的地址后通过r_offset找到对应的.got表项并进行修复。（下面参考android 8.0中的linker源码）

总结#

linux在加载elf文件时就是通过.rel.dyn和.rel.plt找到对应的符号信息并修正对应.got表项中的数据。
注意：elf的输入表HOOK就可以通过在.dynsym字符串表中查找需要hook的函数名称，然后计算出对应的符号表索引。通过符号表索引在.rel.dyn和.rel.plt表中寻找对应的项进而找到对应的.got表项并更改地址为自己的地址。（也可以通过hash表快速定位）