一、分析文件头
1. 段入口类型定义(/usr/include/elf.h)下面产生的hello是32位的
使用命令#Hexdump –x ELF_1.o
第一行:
前4字节,蓝色部分,是一个魔数,表示这是一个ELF对象
下一个字节(右边这个)01说明是个32位对象(64位的是02);
下一个字节是01,说明使用的是小端方式(PC大多使用)
下来一个字节01表示文件头版本,剩下默认设置为0
第二行:e_type(两个字节)值为0x0001,表示是一个重定位文件。
e_machine(两个字节)值为0x003e,表示是X86-64的处理器体系结构。
e_version(四个字节)值为0x00000001,表示是当前版本。
e_entry(八个字节)值为0x0000000000000000,表示没有入口点。
第三行:e_phoff(八个字节)值为0x0000000000000000,表示没有程序头表。
e_shoff(八个字节)值为0x0000000000000128,表示段表的偏移地址。
第四行: e_flags(四个字节)值为0x00000000,表示未知处理器特定标志(#defineEF_SH_UNKNOWN 0x0);e_ehsize(两个字节)值为0x0040,表示elf文件头大小;
e_phentsize(两个字节)值均为0x0000,因为重定位文件没有程序头表。
e_phnum(两个字节)的值为0x0000,因为重定位文件没有程序头表。
e_ehentsize(两个字节)值为0x0040表示段头大小为64个字节(由这里知道section header table里面每个header的大小)。
e_shnum(两个字节)值为0x000d,表示段表入口有13个(由这里知道段表有13个段)。
e_shstrndx(两个字节)值为0x000a,表示段名串表的在段表中的索引号(由这里知道.shstrtab段(符号表)的信息在段表的索引号是10)。
使用命令#readelf -h ELF_1.o
e_type表示文件类型,2表示可执行文件。
e_machine:指明可以在哪种机器结构中运行。
e_version:指明版本信息
e_entry:指明系统运行该程序时将控制权转交到的虚拟地址的值,如果没有则为零。
e_phoff: program header table在文件中的字节(Byte)偏移offset,如果没有program header table, 则该值为零。
e_shoff: section header table在文件中的字节偏移,如果没有section header table, 则该值为零
e_flags: 有关处理器的信息
e_ehsize: elf header的大小,单位:字节
e_phentsize: 在program header table中一个entry的大小,前面提到过,program header table & section header table都是数组,所以它们的每一个元素,即每一个entry的大小,都是一样的。
e_phnum: program header table中元素的个数,即entry的个数。
e_shentsize: section header table每一个entry的大小,与e_phentsize类似。
e_shnum: section header table中元素的个数,即entry的个数。可以看出来,这个program header table或者section header table的大小可以用entry的个数乘以每一个entry的大小得到。
e_shstrndx: 指明string name table在section header table中的index。
二、通过文件头找到section header table,理解内容
文件头信息:
段表section header table:
符号表symbol table:
由之前文件头的分析可知:e_shoff(4字节)值为0x00003403,表示段表的偏移地址
e_ ehentsize(2字节) 0x0028,表示段头大小为40字节(由此可知section header table 里面表个header的大小)
e_ shnum(2字节) 0x000d,表示段表入口地址有13个(由此知道段表有13个段)
段表大小 28H*d=520字节
0x00003403+0xH=0X00001CAC
所以从0x00003403—0X00001CAC,存储的是段表