2. 程式人生 > >ELF檔案解析(一):Segment和Section

ELF檔案解析(一):Segment和Section

阿新 發佈:2018-12-14

ELF 是Executable and Linking Format的縮寫,即可執行和可連結的格式,是Unix/Linux系統ABI (Application Binary Interface)規範的一部分。

Unix/Linux下的可執行二進位制檔案、目的碼檔案、共享庫檔案和core dump檔案都屬於ELF檔案。

左邊是ELF的連結檢視,可以理解為是目的碼檔案的內容佈局。右邊是ELF的執行檢視,可以理解為可執行檔案的內容佈局。 注意目的碼檔案的內容是由section組成的,而可執行檔案的內容是由segment組成的。

要注意區分段(segment)和節(section)的概念,這兩個概念在後面會經常提到。 我們寫彙編程式時,用.text,.bss,.data這些指示,都指的是section,比如.text

,告訴彙編器後面的程式碼放入.text section中。 目的碼檔案中的section和section header table中的條目是一一對應的。section的資訊用於連結器對程式碼重定位。

而檔案載入記憶體執行時,是以segment組織的,每個segment對應ELF檔案中program header table中的一個條目,用來建立可執行檔案的程序映像。 比如我們通常說的,程式碼段、資料段是segment,目的碼中的section會被連結器組織到可執行檔案的各個segment中。 .text section的內容會組裝到程式碼段中,.data, .bss等節的內容會包含在資料段中。

在目標檔案中,program header不是必須的,我們用gcc生成的目標檔案也不包含program header。 一個好用的解析ELF檔案的工具是readelf。對我本機上的一個目的碼檔案sleep.o執行readelf -S sleep.o,輸出如下:

There are 12 section headers, starting at offset 0x270:

Section Headers:
  [Nr] Name              Type             Address           Offset
       Size              EntSize          Flags  Link  Info  Align
  [ 0]                   NULL             0000000000000000  00000000
       0000000000000000  0000000000000000           0     0     0
  [ 1] .text             PROGBITS         0000000000000000  00000040
       0000000000000015  0000000000000000  AX       0     0     1
  [ 2] .rela.text        RELA             0000000000000000  000001e0
       0000000000000018  0000000000000018   I       9     1     8
  [ 3] .data             PROGBITS         0000000000000000  00000055
       0000000000000000  0000000000000000  WA       0     0     1
  [ 4] .bss              NOBITS           0000000000000000  00000055
       0000000000000000  0000000000000000  WA       0     0     1
  ... ... ... ...
  [11] .shstrtab         STRTAB           0000000000000000  00000210
       0000000000000059  0000000000000000           0     0     1
Key to Flags:
  W (write), A (alloc), X (execute), M (merge), S (strings), I (info),
  L (link order), O (extra OS processing required), G (group), T (TLS),
  C (compressed), x (unknown), o (OS specific), E (exclude),
  l (large), p (processor specific)

readelf -S是顯示檔案中的Section資訊,sleep.o中共有12個section, 我們省略了其中一些Section的資訊。 可以看到,除了我們熟悉的.text, .data, .bss,還有其它Section,這等我們以後展開講Section的時候還會專門講到。 看每個Section的Flags我們也可以得到一些資訊,比如.text section的Flags是AX,表示要分配記憶體,並且是可執行的,這一節是程式碼無疑了。 .data 和 .bss的Flags的Flags都是WA,表示可寫,需分配記憶體,這都是資料段的特徵。

使用readelf -l可以顯示檔案的program header資訊。我們對sleep.o執行readelf -l sleep.o。會輸出There are no program headers in this file.。 program header和檔案中的segment一一對應,因為目的碼檔案中沒有segment,program header也就沒有必要了。

可執行檔案的內容組織成segment,因此program header table是必須的。 section header不是必須的,但沒有strip過的二進位制檔案中都含有此資訊。 對本地可執行檔案sleep執行readelf -l sleep,輸出如下:

Elf file type is DYN (Shared object file)
Entry point 0x1040
There are 11 program headers, starting at offset 64

Program Headers:
  Type           Offset             VirtAddr           PhysAddr
                 FileSiz            MemSiz              Flags  Align
  PHDR           0x0000000000000040 0x0000000000000040 0x0000000000000040
                 0x0000000000000268 0x0000000000000268  R      0x8
  INTERP         0x00000000000002a8 0x00000000000002a8 0x00000000000002a8
                 0x000000000000001c 0x000000000000001c  R      0x1
      [Requesting program interpreter: /lib64/ld-linux-x86-64.so.2]
  LOAD           0x0000000000000000 0x0000000000000000 0x0000000000000000
                 0x0000000000000560 0x0000000000000560  R      0x1000
  LOAD           0x0000000000001000 0x0000000000001000 0x0000000000001000
                 0x00000000000001d5 0x00000000000001d5  R E    0x1000
  LOAD           0x0000000000002000 0x0000000000002000 0x0000000000002000
                 0x0000000000000110 0x0000000000000110  R      0x1000
  LOAD           0x0000000000002de8 0x0000000000003de8 0x0000000000003de8
                 0x0000000000000248 0x0000000000000250  RW     0x1000
  DYNAMIC        0x0000000000002df8 0x0000000000003df8 0x0000000000003df8
                 0x00000000000001e0 0x00000000000001e0  RW     0x8
  NOTE           0x00000000000002c4 0x00000000000002c4 0x00000000000002c4
                 0x0000000000000044 0x0000000000000044  R      0x4
  GNU_EH_FRAME   0x0000000000002004 0x0000000000002004 0x0000000000002004
                 0x0000000000000034 0x0000000000000034  R      0x4
  GNU_STACK      0x0000000000000000 0x0000000000000000 0x0000000000000000
                 0x0000000000000000 0x0000000000000000  RW     0x10
  GNU_RELRO      0x0000000000002de8 0x0000000000003de8 0x0000000000003de8
                 0x0000000000000218 0x0000000000000218  R      0x1

 Section to Segment mapping:
  Segment Sections...
   00
   01     .interp
   02     .interp .note.ABI-tag .note.gnu.build-id .gnu.hash .dynsym .dynstr .gnu.version .gnu.version_r .rela.dyn .rela.plt
   03     .init .plt .text .fini
   04     .rodata .eh_frame_hdr .eh_frame
   05     .init_array .fini_array .dynamic .got .got.plt .data .bss
   06     .dynamic
   07     .note.ABI-tag .note.gnu.build-id
   08     .eh_frame_hdr
   09
   10     .init_array .fini_array .dynamic .got

如輸出所示,檔案中共有11個segment。只有型別為LOAD的段是執行時真正需要的。 除了段資訊,還輸出了每個段包含了哪些section。比如第二個LOAD段標誌為R(只讀)E(可執行)的,它的編號是03,表示它包含哪些section的那一行內容為: 03 .init .plt .text .fini。 可以發現.text包含在其中,這一段就是程式碼段。 再比如第三個LOAD段,索引是04,標誌為R(只讀),但沒有可執行的屬性,它包含的section有.rodata .eh_frame_hdr .eh_frame,其中rodata表示只讀的資料,也就是程式中用到的字串常量等。 最後一個LOAD段,索引05,標誌RW(可讀寫),它包含的節是.init_array .fini_array .dynamic .got .got.plt .data .bss,可以看到.data和.bss都包含其中,這段是資料段無疑。

今天先講到這裡,後面的內容這樣組織:

  • 首先講一下Elf檔案的header,因為檔案一開始幾十個位元組就是Elf header的資料,這個資料結構包含了很多資訊,還能告訴我們program header table, section header table在檔案中什麼位置。
  • 接下來會講一下如何解讀section header table,以及section的資料如何組織的。
  • 然後會講program header table,以及segment的資料組織。section是如何組織成段的,這一點我們也要弄請求。
  • 最後我們會講程式如果被loader載入到記憶體中,生成程序映像的。 歡迎繼續關注。

相關推薦

ELF檔案解析SegmentSection

ELF 是Executable and Linking Format的縮寫,即可執行和可連結的格式,是Unix/Linux系統ABI (Application Binary Interface)規範的一部分。 Unix/Linux下的可執行二進位制檔案、目的碼檔案、共享庫檔案和core dump檔案都屬於EL

深度學習論文翻譯解析YOLOv3: An Incremental Improvement

cluster tina ble mac 曾經 media bject batch 因此 原標題: YOLOv3: An Incremental Improvement 原作者: Joseph Redmon Ali Farhadi YOLO官網:YOLO: Real-Tim

MemoryModule閱讀與PE檔案解析

參考連結 https://github.com/fancycode/MemoryModule 本文閱讀github 上MemoryModule 程式碼的同時,介紹PE 檔案相關的基礎知識。       該專案實現“手

OKHttp 3.10原始碼解析執行緒池任務佇列

OKhttp是Android端最火熱的網路請求框架之一,它以高效的優點贏得了廣大開發者的喜愛,下面是OKhttp的主要特點: 1.支援HTTPS/HTTP2/WebSocket 2.內部維護執行緒池佇列,提高併發訪問的效率 3.內部維護連線池,支援多路複用,減少連線建立開銷 4.

ArcGIS API for JavaScript 實戰與解析簡介與快速上手

在這篇文章之前廢話幾句。 自從過完十一假期,每天都在奔波和加班中度過,直到今天才真正能夠休息。隱約記得去年是同樣的情形,但並不是相同的事由,希望明年十月對我好一點。 從二月到十月的八個月裡,我幾乎每天都堅持學習,從程式語言、軟體開發到機器學習、WebGIS,還有

ActiveMQ原始碼解析聊聊broker

一、Broker     訊息佇列核心,相當於一個控制中心,負責路由訊息、儲存訂閱和連線、訊息確認和控制事務 1.Broker介面     定義了一些獲取broker本身相關資訊,新增connection、destination、session、訊息生產者、控制事務

檔案製作檔案系統樹 Initramfs檔案系統的製作

 根檔案系統樹製作 首先要明白的是“什麼是檔案系統”,檔案系統是對一個儲存裝置上的資料和元資料進行組織的機制。 這種機制有利於使用者和作業系統的互動。 根檔案系統之所以在前面加一個”根“,說明它是載入其它檔案系統的”根“,既然是根的話,那麼如果沒有這個根,其它的檔案

Kubernetes 彈性伸縮全場景解析 概念延伸與元件佈局

傳統彈性伸縮的困境 彈性伸縮是 Kubernetes 中被大家關注的一大亮點,在討論相關的元件和實現方案之前。首先想先給大家擴充下

JAVA並行框架Fork/Join簡介代碼示例

over 框架設計 put 分割 gif 得到 java owa trace 一、背景 雖然目前處理器核心數已經發展到很大數目,但是按任務並發處理並不能完全充分的利用處理器資源,因為一般的應用程序沒有那麽多的並發處理任務。基於這種現狀,考慮把一個任務拆分成多個單元,每個單元

ES6letconst

ES6(一):let和const 一、let 1. let基本用法   相當於var,但是又與var不同,因為let宣告的變數只能在let所在的程式碼塊中有效。   從以下兩段程式碼以及對應的輸出結果可以很明顯的看出var與let的區別。 code: for (var i

再談資料結構佇列

1 - 前言 棧和佇列是兩種非常常用的兩種資料結構,它們的邏輯結構是線性的,儲存結構有順序儲存和鏈式儲存。在平時的學習中,感覺雖然棧和佇列的概念十分容易理解,但是對於這兩種資料結構的靈活運用及程式碼實現還是比較生疏。需要結合實際問題來熟練佇列和棧的操作。 2 - 例題分析 2.1

pyspider 爬蟲教程HTML CSS 選擇器

    雖然以前寫過 如何抓取WEB頁面 和 如何從 WEB 頁面中提取資訊。但是感覺還是需要一篇 step by step 的教程,不然沒有一個總體的認識。不過,沒想到這個教程居然會變成一篇譯文,在這個爬蟲教程系列文章中,會以實際的例子,由淺入深討論爬取(抓取和解析)的一些關鍵

Linux套接字與虛擬檔案系統2操作銷燬

   接上篇初始化與建立,本篇闡述Socket操作和銷燬兩部分的實現。 Socket操作    系統呼叫read(v)、write(v)是使用者空間讀寫socket的一種方法,為了弄清楚它們是怎麼通過VFS將請求轉發到特定協議的實現,下面以read為例(write同理),並假定檔案描述

ClearCase完全攻略BaseUCM的前生後世

ClearCase到底是幹嘛的? 通俗的我們可以認為是一款IBM出的原始碼管理工具。 ClearCase的四大功能? (版本管理+過程管理+工作空間管理+bulid管理)有個經典的圖,各個功能圖裡面說的很清楚了。 Base和UCM到底有什麼區別? Base 就是Clear

Hadoop分散式檔案系統HDFS架構設計

HDFS被設計成能夠在一個大叢集中跨機器可靠地儲存超大檔案。它將每個檔案儲存成一系列的資料塊,除了最後一個,所有的資料塊都是同樣大小的。為了容 錯,檔案的所有資料塊都會有副本。每個檔案的資料塊大小和副本系數都是可配置的。應用程式可以指定某個檔案的副本數目。副本系數可以在檔案建立的時候指 定,也可以在之後改

Linux下nodejs安裝使用

一、安裝 一共有三種安裝方式,由於其他兩種不太方便,因此只介紹第一種二進位制檔案安裝。 1、首先官網下載nodejs安裝壓縮包。 2、下載完成後用ftp上傳到Linux任意資料夾即可。我的是/home/chuan/chuansoft。然後進入到

Effective Java 讀書筆記建立銷燬物件

1 構造器 => 靜態工廠方法 (1)優勢 靜態工廠方法有名字 靜態工廠方法不必在每次被呼叫時都產生一個新的物件 靜態工廠方法能返回原返回型別的任意子型別的物件 靜態工廠方法根據呼叫時傳入的不同引數而返回不同類的物件 靜態工廠方法返回物件的類不需要存在(SPI架構) (2

Java多執行緒記憶體模型程序執行緒基礎

Java多執行緒和記憶體模型(一) 由於java是執行在 JVM上 的,所以需要涉及到 JVM 的記憶體模型概念,需要理解記憶體模型,就需要多執行緒的基礎; 而執行緒是基於載體執行緒裡的,所以我們藉由作業系統的程序來講一講。 程序 什麼是程序?

React Native for Android 實戰配置起步

原文地址: http://www.csdn.net/article/2015-09-24/2825787-react-native Facebook開源React Native也勢要統一移動端程式語言,而其提前釋出React Native for Android更是引

TensorFlow 從入門到精通安裝使用

安裝過程 目前較為穩定的版本為 0.12,本文以此為例。其他版本請讀者自行甄別安裝步驟是否需要根據實際情況修改。 TensorFlow 支援以下幾種安裝方式: PIP 安裝 原始碼編譯安裝 Docker 映象安裝 PIP 安裝