一般的 ELF 文件包括三个索引表:ELF header,Program header table,Section header table。
1)ELF header:在文件的开始,保存了路线图,描述了该文件的组织情况。
2)Program header table:告诉系统如何创建进程映像。用来构造进程映像的目标文件必须具有程序头部表,可重定位文件不需要这个表。
3)Section header table :包含了描述文件节区的信息,每个节区在表中都有一项,每一项给出诸如节区名称、节区大小这类信息。用于链接的目标文件必须包含节区头部表,其他目标文件可以有,也可以没有这个表。
一、分析ELF文件头
vi /usr/include/elf.h查看elf头数据结构
用readelf –h 1(可执行文件名)读取一个简单可执行文件的elf头
可见elf头大小为52字节,用dump命令16进制读取前52个字节进行分析
命令:hexdump –x 1 –n 52
解析:
第一行,对应e_ident[EI_NIDENT]。小端法实际表示内容为7f454c46010101000000000000000000,前四个字节为elf固定开头7f454c46(0x45,0x4c,0x46是'e','l','f'对应的ascii编码),表示这是一个ELF对象。接下来的一个字节01表示是一个32位对象,接下来的一个字节01表示是小端法表示,再接下来的一个字节01表示文件头版本。剩下的默认都设置为0.
第二行,e_type值为0x0002,表示是一个可执行文件。e_machine值为0x0003,表示是intel80386处理器体系结构。e_version值为0x00000001,表示是当前版本。e_entry值为0x08048320,表示入口点。e_phoff值为0x00000034,表示程序头表的偏移量为0x34即52个字节刚好是elf头大小。
第三行,e_shoff值为0x0000114c,表示节头表的偏移地址。e_flags值为0x00000000,表示未知处理器特定标志。e_ehsize值为0x0034,表示elf文件头大小52个字节。e_phentsize表示一个程序头表中的入口(程序头)的长度,值为0x0020即32字节。e_phnum的值为0x0009,给出程序头表中的入口数目。e_shentsize值为0x0028表示节头表入口(节头)大小为40字节。
第四行,e_shnum值为0x001e,表示节头表入口有30个。e_shstrndx值为0x001b,表示节名串表的在节表中的索引号。
二、通过文件头找到section header table,理解其内容
vi /usr/include/elf.h查看节头数据结构
使用readelf -S 1读取节头表
使用命令hexdump 1查看16进制值
由前面分析elf头可知节头表的偏移地址为0x0000114c即图示位置开始为节头表
可见全为0,如节头表所示为空节
接着看第一个节
三个红框分别是节的起始地址、偏移地址和大小,可以看出与readelf的显示结果一致
随后的40字节是第二个段,以此类推不再赘述
第十三个节.text节为可执行指令的集合
下面用 hexdump 的方法去读取.text这个 section 中的内容,通过看section header中.text中offset和size分别是0x00000320和0x00000192,通过16进制向10进制转换得到offset:800和size:402。
输入 hexdump –s 800 –n 402 –C 1
然后使用readelf -x 13 1
两者也是一致的
使用objdump -d 1查看.text节反汇编代码
结果也是一致的
可以用同样的方法分析其他节
三、理解常见.text .strtab .symtab .rodata等section
- .text section是可执行指令的集合,.data和.text都是属于PROGBITS类型的section,这是将来要运行的程序与代码。查询段表可知.text section的位偏移为0x0000440,size为0x0000192。
- .strtab section是属于STRTAB类型的section,可以在文件中看到,它存着字符串,储存着符号的名字。位偏移为0x0001f08,size为0x0000238。
- .symtab section存放所有section中定义的符号名字,比如“data_items”,“start_loop”。 .symtab section是属于SYMTAB类型的section,它描述了.strtab中的符号在“内存”中对应的“内存地址”。 位偏移为0x00018f0,size为0x0000618。
- .rodata section,ro代表read only,即只读数据(const)。位偏移为0x00005e0,size为0x000000c。