ELF Format 笔记（二）—— ELF Header

ilocker：关注 Android 安全（新入行，0基础） QQ: 2597294287

以 32 位的 ELF header 数据结构为例：

 #define EI_NIDENT 16
 typedef struct {
     unsigned char e_ident[EI_NIDENT];
     Elf32_Half e_type;
     Elf32_Half e_machine;
     Elf32_Word e_version;
     Elf32_Addr e_entry;
     Elf32_Off e_phoff;
     Elf32_Off e_shoff;
     Elf32_Word e_flags;
     Elf32_Half e_ehsize;
     Elf32_Half e_phentsize;
     Elf32_Half e_phnum;
     Elf32_Half e_shentsize;
     Elf32_Half e_shnum;
     Elf32_Half e_shstrndx;
 } Elf32_Ehdr;

1、e_ident

ELF 标识。是一个 16 字节大小的数组，其各个索引位置的字节数据有固定的含义。

前 4 个字节 e_ident[EI_MAG0] ~ e_ident[EI_MAG3] 的内容固定为 0x7f、’E’、’L’、’F’，标识这是一个 ELF文件。

e_ident[EI_CLASS] 指明文件类别：0（无效目标文件）；1（32 位目标文件）；2（64 位目标文件）。

e_ident[EI_DATA] 指明字节序，规定该文件是大端还是小端：0（无效编码格式）；1（小端）；2（大端）。

e_ident[EI_VERSION] 指明 ELF 文件头的版本。

从 e_ident[EI_PAD] 到 e_ident[EI_NIDENT-1] 之间的 9 个字节保留。

2、e_type

文件类型。常见的：1（可重定位文件：“.o 文件”）；2（可执行文件）；3（共享库文件：“.so 文件”）。

3、e_machine

指定该程序在什么平台上使用，比如 EM_386 表示在 Inter x86 机器上使用。

4、e_version

ELF 文件版本号。

5、e_entry

程序的入口虚拟地址。对于可执行文件来说，当 ELF 文件加载完成后，将从这个地址开始执行。对于其它文件，该值为 0。

6、e_phoff / e_shoff

分别指明 Program Header Table 和 Section Header Table 在文件中的字节偏移量，没有则为 0。

7、e_flags

处理器特定的标志位，通常不怎么关心。

8、e_ehsize

指明 ELF 文件头的字节大小（52 个字节）。

9、e_phentsize / e_phnum

e_phentsize 指明在 Program Header Table 中的每一项的字节大小，e_phnum 指明共有多少项。

10、e_shentsize / e_shnum

e_shentsize 指明在 Section Header Table 中的每一项的字节大小，e_shnum 指明共有多少项。

11、e_shstrndx

在 Section Header Table 中，存储“节名字表”的 Section（就是 .shstrtab 节）所对应的索引。