一、ELF文件格式概述
ELF(Executable and Linkable Format)是一種可執行文件和可鏈接文件格式,被廣泛地應用於Unix和類Unix系統中。ELF格式具有以下特點:
1、二進制格式,支持可執行文件、共享目標文件、目標文件等多種類型;
2、通過段(Section)概念對文件進行組織,段包含代碼、數據、符號表等信息;
3、支持動態鏈接,共享目標文件可以在運行時被加載,共享;
4、可通過讀取和修改ELF文件中的信息,實現二進制文件的混淆、加密等操作。
二、ELF文件格式組成
一個ELF文件主要包含三個部分:文件頭(ELF header)、節區表(Section header table)和節區(Sections)。
1、文件頭(ELF Header)
文件頭定義了整個ELF文件的組織結構和屬性信息,包括標識、目標類型、節區表的位置和大小等。文件頭的結構定義如下:
struct Elf32_Ehdr {
unsigned char e_ident[EI_NIDENT];
Elf32_Half e_type;
Elf32_Half e_machine;
Elf32_Word e_version;
Elf32_Addr e_entry;
Elf32_Off e_phoff;
Elf32_Off e_shoff;
Elf32_Word e_flags;
Elf32_Half e_ehsize;
Elf32_Half e_phentsize;
Elf32_Half e_phnum;
Elf32_Half e_shentsize;
Elf32_Half e_shnum;
Elf32_Half e_shstrndx;
};
2、節區表(Section Header Table)
節區表是一張記錄了整個ELF文件中每個節區的信息的表格。節區表一般位於ELF文件的開頭末尾,節區表的信息包括節區的名稱、偏移地址、大小等。節區表的結構定義如下:
struct Elf32_Shdr {
Elf32_Word sh_name;
Elf32_Word sh_type;
Elf32_Word sh_flags;
Elf32_Addr sh_addr;
Elf32_Off sh_offset;
Elf32_Word sh_size;
Elf32_Word sh_link;
Elf32_Word sh_info;
Elf32_Word sh_addralign;
Elf32_Word sh_entsize;
};
3、節區(Sections)
每個節區對應一個文件中的邏輯塊,例如代碼段、數據段、符號表段、字符串表段等等。節區的定義如下:
struct elf_section {
Elf32_Word sh_name;
Elf32_Word sh_type;
Elf32_Word sh_flags;
Elf32_Addr sh_addr;
Elf32_Off sh_offset;
Elf32_Word sh_size;
Elf32_Word sh_link;
Elf32_Word sh_info;
Elf32_Word sh_addralign;
Elf32_Word sh_entsize;
void *data;
};
三、ELF文件格式分析
1、ELF文件標識(ELF Identification)
在ELF文件中,前4個字節稱為文件的魔數,標識文件的類型。ELF文件標識的結構定義如下:
#define EI_NIDENT 16
struct Elf32_Ehdr {
unsigned char e_ident[EI_NIDENT];
//...
};
e_ident數組前四個字節是文件魔數,分別為0x7F、’E’、’L’、’F’。文件是否是64位還是32位,處理器類型等信息,也在e_ident表中。
2、節區表(Section Header Table)
節區表是定義每個節(Section)的一張表,表中包含了每個節的信息,如名稱、大小、對齊方式等。節區表的格式由Elf32_Shdr或Elf64_Shdr表示。
ELF文件中,標準的節區表通常包含以下幾個節區:
代碼段(.text):存放程序的機器代碼,只讀不可寫。
數據段(.data):存放程序中已初始化的全局變量和靜態變量,可讀可寫。
只讀數據段(.rodata):存放程序中的只讀數據,如字符串常量等,只讀不可寫。
符號表(.symtab):存放程序中的全局符號信息,符號表中包含符號名、符號類型、符號地址等。
字符串表(.strtab):存放程序中使用的字符串常量的名稱。
重定位表(.rel.text):用於對代碼段進行重定位操作。
3、程序頭表(Program Header(TWo-level))
程序頭表由Elf32_Phdr或Elf32_Phdr數組表示,其名稱中的“P”代表“Program”,也就是程序頭表。在程序執行時,程序頭表會被內核解析並用來對整個進程的映像文件進行映像。
struct Elf32_Phdr {
Elf32_Word p_type;
Elf32_Off p_offset;
Elf32_Addr p_vaddr;
Elf32_Addr p_paddr;
Elf32_Word p_filesz;
Elf32_Word p_memsz;
Elf32_Word p_flags;
Elf32_Word p_align;
};
4、重定位(Relocation)
重定位是指將靜態編譯的程序映射到內存中執行時,因為內存的地址可能與鏈接時的地址不同,需要對代碼中的地址進行調整,以便代碼可以在內存中正常運行。這個過程稱為重定位(Relocation),在ELF中,重定位相關的信息保存在重定位表(.rel.text)和重定位表(.rel.data)中。
5、鏈接(Linking)
鏈接(Linking)是指將多個目標文件和庫,最終鏈接成一個可執行文件或共享目標文件的過程。鏈接器會將多個目標文件的節合併為一個文件,並進行符號重定位等處理。
四、ELF文件格式示例
1、C語言程序生成ELF文件示例
// demo.c
#include
void main() {
printf("Hello World!\n");
}
使用gcc生成可執行程序demo:
gcc -o demo demo.c
使用objdump查看demo的彙編代碼:
objdump -d demo
通過objdump生成的結果可以看到,ELF二進制文件包含了很多信息,包括符號表、重定位表、反彙編的代碼等信息。
2、動態鏈接庫(shared object)生成ELF文件示例
多個進程間同時使用同一個共享庫,可以減少內存使用,應用程序所用的內存被調用庫的代碼部分所共享,因為在內存中只有一份副本。所以,動態鏈接庫的好處就在於節約了內存。以下是使用gcc來創建動態鏈接庫:
// demo.c
#include
void foo() {
printf("Hello World");
}
void bar() {
printf("Hello Bar");
}
編譯動態鏈接庫:
gcc -shared -o libdemo.so demo.c
編譯完成後會生成一個名為libdemo.so的動態鏈接庫文件,接下來需要將生成的動態庫文件放到OS默認的動態庫搜索目錄中(例如/usr/lib目錄)。
程序可以通過使用動態鏈接庫進行編譯,而不需要手動將庫打包進可執行文件中:
// main.c
#include
#include
int main() {
void *handle;
void (*foo)(), (*bar)();
handle = dlopen("libdemo.so", RTLD_LAZY);
if (handle == NULL) {
printf("Failed to open library.\n");
return 1;
}
foo = dlsym(handle, "foo");
bar = dlsym(handle, "bar");
foo();
bar();
dlclose(handle);
return 0;
}
編譯可執行程序main:
gcc -o main main.c -ldl
動態鏈接庫和可執行程序main都是ELF文件格式。
五、ELF文件格式的應用
在Linux/BSD等類UNIX系統中,ELF文件格式被廣泛應用於可執行程序、共享庫、目標文件等類型的二進制文件。ELF文件格式將程序代碼、數據、符號表、重定位等信息完整地保存在二進制文件中,為程序的開發、調試、優化提供了很好的基礎。
同時,ELF文件格式也被用於二進制代碼混淆、加密等操作中,通過修改ELF文件中的信息,可以達到有效保護程序機密性的目的。
六、總結
本文對ELF文件格式進行了詳細的闡述,介紹了ELF文件格式的組成、特點以及應用。ELF文件格式是Unix和類Unix系統中常用的二進制文件格式,通過ELF格式,程序的開發、調試、優化等方面得到了很好的支持。同時,ELF文件格式也為程序的保護提供了很好的基礎。
原創文章,作者:OCIGZ,如若轉載,請註明出處:https://www.506064.com/zh-hant/n/362077.html