程序员自我修养第三章__ELF文件
2015-02-11 19:19
197 查看
ELF格式完全解释
一,四种ELF文件格式
可重定位文件 linux下的.o文件
可执行文件 比如/bin/bash
共享目标文件 linux的.so文件
核心存储文件 linux下的core dump文件
linux下可以通过file命令查看文件的类型,比如 file test.o
gcc -c test.c test.o
二,目标文件的格式
点击打开链接
点击打开链接
可以通过objdump和readelf工具来分析目标文件
1. ELF头文件
包含了描述整个文件的基本属性,如ELF版本、目标机器型号、程序入口地址等。
$readelf –h test.o
2. 段表
该表描述了所有段的信息,如每个段的段名、段的长度、在文件中的偏移、读写权限和段的其他属性。
$readelf –S
Stest.o
3. 符号表
目标文件的链接实际上目标文件地址的相互引用,在链接中奖函数和变量统称为符号(Symbol),函数名和变量名就是符号名(Symbol Name)
其中st_name包含指向符号表字符串表(strtab)中的索引,从而可以获得符号名。St_value指出符号的值,可能是一个绝对值、地址等。St_size指出符号相关的内存大小,比如一个数据结构包含的字节数等。St_info规定了符号的类型和绑定属性,指出这个符号是一个数据名、函数名、section名还是源文件名;并且指出该符号的绑定属性是local、global还是weak。
一些特殊的符号:
_start :程序的开始地址,不是入口函数,是最开始的地方
__bss_start:bss段开始的地方
data_start:数据段开始的地方
_edata :数据段结束的地方
这些符号可以再程序中直接使用,比如:
一,四种ELF文件格式
可重定位文件 linux下的.o文件
可执行文件 比如/bin/bash
共享目标文件 linux的.so文件
核心存储文件 linux下的core dump文件
linux下可以通过file命令查看文件的类型,比如 file test.o
gcc -c test.c test.o
二,目标文件的格式
点击打开链接
点击打开链接
可以通过objdump和readelf工具来分析目标文件
1. ELF头文件
包含了描述整个文件的基本属性,如ELF版本、目标机器型号、程序入口地址等。
$readelf –h test.o
定义在/usr/include/elf.h typedef struct{ unsigned char e_ident[16]; Elf32_Half e_type; //ELF文件类型 Elf32_Half e_machine; //ELf文件的CPU平台属性 Elf32_Word e_version; Ellf32_Addr e_entry; //入口地址, 规定ELF程序的入口虚地址 Elf32_Off e_ohoff; Elf32_Off e_shoff; //段表在在这个文件中的偏移 Elf32_Word e_flags; Elf32_Half e_ehsize; //ELF文件头本身的大小 Elf32_Half e_phentsize; Elf32_half e_phnum; Elf32_Half e_shentsize; //段表描述符的大小 Elf32_Half e_shnum; //段表描述符数量 Elf32_Half e_shstrndx; //段表字符串表所在的段在段表中的下标 }Elf32_Ehdr;
2. 段表
该表描述了所有段的信息,如每个段的段名、段的长度、在文件中的偏移、读写权限和段的其他属性。
$readelf –S
Stest.o
定义在/usr/include/elf.h typedef struct{ Elf_Word sh_name; //段名(是段名字符串在.shstrtab中的偏移) Elf_Word sh_type; //段的类型 Elf_Word sh_flags; //段的标志位 Elf_Addr sh_addr; //段虚拟地址 Elf_Off sh_offset; //段偏移 Elf_Word sh_size; //段的长度 Elf_Word sh_link; Elf_Word sh_info; Elf_Word sh_addralign; //段地址对齐 Elf_Word sh_entsize; //项的长度 }Elf32_Shdr;
3. 符号表
目标文件的链接实际上目标文件地址的相互引用,在链接中奖函数和变量统称为符号(Symbol),函数名和变量名就是符号名(Symbol Name)
定义在/usr/include/elf.h typedef struct{ Elf32_Word st_name; //符号名(符号名在字符串表中的下标) Elf32_Addr st_value; //符号对应的值 Elf32_Word st_size; //符号大小 unsigned st_info; unsigned st_other; Elf32_Half st_shndx; //符号所在的段 }Elf32_Sym;
其中st_name包含指向符号表字符串表(strtab)中的索引,从而可以获得符号名。St_value指出符号的值,可能是一个绝对值、地址等。St_size指出符号相关的内存大小,比如一个数据结构包含的字节数等。St_info规定了符号的类型和绑定属性,指出这个符号是一个数据名、函数名、section名还是源文件名;并且指出该符号的绑定属性是local、global还是weak。
一些特殊的符号:
_start :程序的开始地址,不是入口函数,是最开始的地方
__bss_start:bss段开始的地方
data_start:数据段开始的地方
_edata :数据段结束的地方
这些符号可以再程序中直接使用,比如:
#include "stdio.h" extern char _start[]; extern char data_start[]; int main() { printf("start %X\n",_start); printf("data_start %X\n",data_start); return 0; }
相关文章推荐
- elf文件分析-程序员的自我修养第三章学习
- Unix ELF文件格式及病毒分析
- Unix/ELF文件格式及病毒分析
- elf文件格式
- [转载]ELF文件格式(二)
- Unix环境高级编程第三章文件I/O摘记
- [转载]ELF文件格式(三)
- 在linux平台上创建超小的ELF可执行文件
- ELF目标文件之一 - TIS ELF文件格式说明书 Book1 (自译中文)
- [转载]ELF文件格式(一)
- Unix/ELF文件格式及病毒分析
- ELF文件格式(中文)
- 在linux平台上创建超小的ELF可执行文件
- elf文件格式
- 结合实例解读ELF文件-阅读笔记(1)
- ELF文件格式(中文版)
- Intel平台下linux中 ELF文件动态链接的加载、解析及实例分析(二): 函数解析与卸载
- 解析Elf文件DT_RPATH后门
- 从core映像文件中重新构造ELF可执行文件
- Intel平台下linux中 ELF文件动态链接的加载、解析及实例分析(二): 函数解析与卸载