linux第三次實踐：ELF文件格式分析

linux第三次實踐：ELF文件格式分析

標籤（空格分隔）： 20135328陳都

---

1、概述

1.ELF全稱Executable and Linkable Format,可執行鏈接格式，ELF格式的文件用於存儲Linux程序。ELF文件（目標文件）格式主要三種：

• 可重定向文件：文件保存着代碼和適當的數據，用來和其餘的目標文件一塊兒來建立一個可執行文件或者是一個共享目標文件。（目標文件或者靜態庫文件，即linux一般後綴爲.a和.o的文件）
• 可執行文件：文件保存着一個用來執行的程序。（例如bash，gcc等）
• 共享目標文件：共享庫。文件保存着代碼和合適的數據，用來被下鏈接編輯器和動態連接器連接。（linux下後綴爲.so的文件。）
  目標文件既要參與程序連接又要參與程序執行：

通常的 ELF 文件包括三個索引表：ELF header，Program header table，Section header table。

• ELF header：在文件的開始，保存了路線圖，描述了該文件的組織狀況。
• Program header table：告訴系統如何建立進程映像。用來構造進程映像的目標文件必須具備程序頭部表，可重定位文件不須要這個表。
• Section header table：包含了描述文件節區的信息，每一個節區在表中都有一項，每一項給出諸如節區名稱、節區大小這類信息。用於連接的目標文件必須包含節區頭部表，其餘目標文件能夠有，也能夠沒有這個表。

2、分析ELF文件頭（ELF header）

• 進入終端輸入:cd /usr/include 進入include文件夾後查看elf.h文件，查看ELF的文件頭包含整個文件的控制結構
  

• 寫一個小程序（hello 20135328）進行編譯，生成hello可執行文件。
  使用‘readelf –a hello’命令，都獲得下面的ELF Header頭文件的信息，以下圖：
  
  

• 經過上圖信息，能夠得出Elf Header的Size爲52bytes，因此可使用hexdump工具將頭文件的16進製表打開。
  以下圖使用：‘hexdump -x hello -n 52 ’命令來查看hello文件頭的16進製表（前52bytes）對格式進行分析。
  

• 第一行
  • 對應e_ident[EI_NIDENT]。實際表示內容爲7f454c46010100010000000000000000,前四個字節7f454c46(0x45,0x4c,0x46是'e','l','f'對應的ascii編碼）是一個魔數，表示這是一個ELF對象。
  • 接下來的一個字節01表示是一個32位對象，接下來的一個字節01表示是小端法表示，再接下來的一個字節01表示文件頭版本。剩下的默認都設置爲0.
• 第二行
  • e_type值爲0x0002，表示是一個可執行文件
  • 。e_machine值爲0x003e，表示是Advanced Micro Devices X86-64處理器體系結構。
  • e_version值爲0x00000001，表示是當前版本。
  • e_entry值爲0x 08048320，表示入口點。
• 第三行
  • e_phof f值爲0x1178，表示程序頭表。
  • e_shoff值爲0x0034，表示段表的偏移地址。
• 第四行
  • e_flags值爲0x001e，表示未知處理器特定標誌。
  • e_ehsize值爲0x0034，表示elf文件頭大小（正好是52bytes）。
  • e_phentsize表示一個program header表中的入口的長度，值爲0x0020。
  • e_phnum的值爲0x0009，給出program header表中的入口數目。
  • e_shentsize值爲0x0028表示段頭大小爲40個字節。e_shnum值爲0x001e，表示段表入口有30個。

  • e_shstrndx值爲0x001b，表示段名串表的在段表中的索引號。

    3、經過文件頭找到section header table，理解其內容

• file elf顯示生成的目標文件hello的類型
• elf是一個可執行文件。輸入：ls –l hello查看hello的大小：
  
• 如圖可知，hello大小爲7336字節。
  輸入：hexdump –x hello來用16進制的數字來顯示hello的內容
  （其中，第二列是16進製表示的偏移地址）
  
• 輸入：objdump –x hello來顯示hello中各個段以及符號表的相關信息:
  
• 輸入：readelf –a hello來查看各個段信息：
• ELF文件頭信息：
  
• 段表Section header table：
  

• 符號表 Symbol table：
  
  
  

  4、經過section header table找到各section

  在一個ELF文件中有一個section header table，經過它咱們能夠定位到全部的 section，而 ELF header 中的e_shoff 變量就是保存 section header table 入口對文件頭的偏移量。而每一個 section 都會對應一個 section header ，因此只要在 section header table 中找到每一個 section header，就能夠經過 section header 找到你想要的 section。

下面以可執行文件hello爲例，以保存代碼段的 section 爲例來說解讀取某個section 的過程。
使用‘vi /usr/include/elf.h ’命令查看Sections Header的結構體：

由上面分析可知，section headers table中的每個section header所佔的size均爲64字節，ELF header獲得了e_shoff變量的值爲0X0034，也就是table入口的偏移量，經過看e_shnum值爲0x001e，表示段表入口有30個。
因此從0x00000034開始有30個段，每一個段佔40個字節大小，輸入 hexdump hello查看：

• 第一個段，其中內容所有爲0，因此不表示任何段。

• 第二個段，爲.interp段

• 第三個段，爲.note.ABI-tag段

• 第四個段，爲.note.gnu.build-i段

• 第五個段，爲.gnu.hash段

.......

• 第十四個段，爲.text段

• 第十六個段，爲.rodata段

• 第二十五個段，爲.data段

• 第二十六個段，爲.bss段

• 第二十九個段， 爲.symtab段

• 第三十個段， 爲.strtab段

咱們用readelf 命令去查看.text這個 section 中的內容，
輸入readelf –x 13 hello，（.text前面的標號爲13）對13索引號的.text的section的內容進行查看：

下面用 hexdump 的方法去讀取.text這個 section 中的內容，經過看section header中.text中offset和size分別是0x320和0x192
輸入 hexdump –C hello
找到320後的192個


獲得了和上面的readelf獲得的相同。
使用下面命令對hello的文本段（.text）進行反彙編：
objdump –d hello 獲得以下圖：


能夠看出，使用反彙編的16進制數據和前面查找到的是相同的。

5、理解常見.text .strtab .symtab .rodata等section

1. text section是可執行指令的集合，.data和.text都是屬於PROGBITS類型的section，這是未來要運行的程序與代碼。查詢段表可知.text section的位偏移爲0x0000320，size爲0x0000192。
2. strtab section是屬於STRTAB類型的section，能夠在文件中看到，它存着字符串，儲存着符號的名字。位偏移爲0x000106f，size爲0x0000106
3. symtab section存放全部section中定義的符號名字，好比「data_items」，「start_loop」。 .symtab section是屬於SYMTAB類型的section，它描述了.strtab中的符號在「內存」中對應的「內存地址」。 位偏移爲0x0001628，size爲0x0000430。
4. rodata section，ro表明read only。位偏移爲0x000050c，size爲0x00000b0。