实践2.4 ELF文件格式分析
1.ELF文件头
查看/usr/include/elf.h文件:
#define EI_NIDENT (16)
typedef struct
{
unsigned char e_ident[EI_NIDENT]; /* 魔数和其他信息 */
Elf32_Half e_type; /* 目标文件类型 */
Elf32_Half e_machine; /* 硬件平台 */
Elf32_Word e_version; /* elf头部版本 */
Elf32_Addr e_entry; /* 程序进入点 */
Elf32_Off e_phoff; /* 程序头表偏移量 */
Elf32_Off e_shoff; /* 节头表偏移量 */
Elf32_Word e_flags; /* 处理器特定标志 */
Elf32_Half e_ehsize; /* elf头部长度 */
Elf32_Half e_phentsize; /* 程序头表中一个条目的长度 */
Elf32_Half e_phnum; /* 程序头表条目数目 */
Elf32_Half e_shentsize; /* 节头表中一个条目的长度 */
Elf32_Half e_shnum; /* 节头表条目数目 */
Elf32_Half e_shstrndx; /* 节头表字符索引 */
} Elf32_Ehdr;
typedef struct
{
unsigned char e_ident[EI_NIDENT]; /* Magic number and other info */
Elf64_Half e_type; /* Object file type */
Elf64_Half e_machine; /* Architecture */
Elf64_Word e_version; /* Object file version */
Elf64_Addr e_entry; /* Entry point virtual address */
Elf64_Off e_phoff; /* Program header table file offset */
Elf64_Off e_shoff; /* Section header table file offset */
Elf64_Word e_flags; /* Processor-specific flags */
Elf64_Half e_ehsize; /* ELF header size in bytes */
Elf64_Half e_phentsize; /* Program header table entry size */
Elf64_Half e_phnum; /* Program header table entry count */
Elf64_Half e_shentsize; /* Section header table entry size */
Elf64_Half e_shnum; /* Section header table entry count */
Elf64_Half e_shstrndx; /* Section header string table index */
} Elf64_Ehdr;
2.查看相关信息
以实践2.3中的passwd.c为例:
gcc -c passwd.c -o passwd.o //生成汇编文件
hexdump -x passwd.o //查看十六进制信息
objdump –x passwd.o //查看段信息
readelf -a passwd.o //查看段信息
使用objdump命令结果如下:
使用readelf命令结果如下:
文件头:
段表:
符号表:
3.具体分析
3.1 文件头分析
32位的elf文件头大小是52字节,如下:
第一行实际内容为7f45 4c46 0101 0100 0000 0000 0000 0000
前四个字节7f45 4c46(0x45,0x4c,0x46是’e','l','f'对应的ASCII)是个魔数(magic number),表示这是一个ELF对象,接下来的一个字节10表示是一个32位对象(如果是64位的对象是02),再接下来的一个字节01表示采用小端法表示,再接下来的一个字节01表示文件头版本,剩下的默认都设置为0。
第二行:
e_type 2字节 0x0001 表示重定位文件
e_machine 2字节 0x0003 表示386体系文件
e_version 4字节 0x00000001 表示是当前版本
e_entry 4字节 0x00000000 表示程序入口地址(无)
第三行:
e_phoff 4字节 0x00000000 表示程序头表的偏移地址(无)
e_shoff 4字节 0x0000018c 表示段表偏移地址
e_flags 4字节 0x00000000 表示处理器特定标志(未知)
e_ehsize 2字节 0x0034 表示elf头部长度
e_phentsize 2字节 0x0000 表示程序头表中一个条目的长度
e_phnum 2字节 0x0000 表示程序头表条目数目(0)
e_shentsize 2字节 0x0028 表示每个节头表条目的大小(0x28)
e_shnum 2字节 0x000d 表示节头表条目数(13)
e_shstrndx 2字节 0x000a 表示节头表字符索引(10)
由以上可知,节头表从0x0000018c处开始,每个节区大小为0x28,一共有13个节区,第0xa是段表索引号。
3.2 节区:
第一节区:0x18c-0x1b3
第二节区:0x1b4-0x1db
第三节区:0x1dc-0x203
第四节区:0x204-0x22b
第五节区:0x22c-0x253
第六节区:0x254-0x27b
第七节区:0x27c-0x2a3
第八节区:0x2a4-0x2cb
第九节区:0x2cc-0x2f3
第十节区:0x2f4-0x31b
第十一节区:0x31c-0x343
第十二节区:0x344-0x36b
第十三节区:0x36c-0x393
3.3 节头表
typedef struct
{
Elf32_Word sh_name; /* 节名在字符表中的索引 */
Elf32_Word sh_type; /* 小节的类型 */
Elf32_Word sh_flags; /* 小节属性 */
Elf32_Addr sh_addr; /* 节在运行时的虚拟地址 */
Elf32_Off sh_offset; /* 小节的文件偏移 */
Elf32_Word sh_size; /* 小节的大小 */
Elf32_Word sh_link; /* 链接的另外一小节的索引 */
Elf32_Word sh_info; /* 附加的小节信息 */
Elf32_Word sh_addralign; /* 小节对齐 */
Elf32_Word sh_entsize; /* 固定大小的入口的表 */
} Elf32_Shdr;
也就是说,在得出上一步的每一个节区的节头表内容后 ,就可以按照这个表来查找到具体段的段偏移sh_offset和段大小sh_offset。
查看的命令:
readelf命令
readelf –S passwd.o //查看段表中中存放的所有的节头
如要查看.text段,因为对应的索引为1,所以输入:
readelf -x 1 passwd.o
hexdump命令
查阅得知,.text的偏移量是0x34=52,大小是0x65=101
hexdump –s 52 –n 101 –C passwd.o
![enter description here][22]
3.4 理解常见段
-
.text section
可执行指令的集合,.data和.text都是属于PROGBITS类型的section,这是将来要运行的程序与代码。 -
.strtab section
属于STRTAB类型,可以在文件中看到,储存着符号的名字。 -
.symtab section
存放所有section中定义的符号名字,比如“data_items”,“start_loop”,是属于SYMTAB类型,它描述了.strtab中的符号在“内存”中对应的“内存地址”。 -
.rodata section
ro代表read only,即只读数据(const)。[22]:http://images2015.cnblogs.com/blog/744668/201606/744668-20160602202840649-457861662.png