LINUX实践--ELF分析

一、ELF文件头（定义在/usr/include/elf.h)中

二、实践部分

第一行

对应e_ident[EI_NIDENT]：实际表示内容为7f45 4c46 0101 0100 0000 0000 0000 0000。
前4字节，是一个魔数，表示这是一个ELF对象

下一个字节01说明是个32位对象（64位的是02）；

再下一个字节是01，说明使用的是小端方式

再下来一个字节01表示文件头版本，剩下默认设置为0

第二行：

• e_type（占2字节）0x0002,表示是可执行文件
• e_machine（2字节）0003，说明是intel 80386
• e_version（4字节）0x00000001，说明是当前版本

• e_entry（4字节）0x8048310，表面入口点为8048310

• e_phoff（4字节）值为0x00000034 ，表示程序头表
• e_shoff（4字节）值为0x000017d4，表示段表的偏移地址
• e_flags（4字节）0x00000000,表示未知处理器特点标志（#define EF_SH_UNKNOWN 0x0）

• e_ehsize（2字节）0x0034,表示ELF文件头大小为0x34H，（64位的是0x40H）

• e_phentsize（2字节）0x0020，program header的大小是32比特。

• e_phnum(2字节) 0x0009，program headers的数量是9个

• e_ ehentsize(2字节) 0x0028，表示段头大小为40字节（由此可知section header table 里面表格header的大小）

• e_ shnum(2字节) 0x001f，表示段表入口地址有31个（由此知道段表有31个段）

• e_shstrndx (2字节) 0x001c，表示段名串表的在段表中的索引号（由此知.shstrtab段（符号表）的信息在段表的索引号是28）

  使用readelf -h hello查看ELF文件头。

  

e_type表示文件类型，2表示可执行文件。

e_machine:指明可以在哪种机器结构中运行。

e_version:指明版本信息

e_entry:指明系统运行该程序时将控制权转交到的虚拟地址的值，如果没有则为零。

e_phoff: program header table在文件中的字节(Byte)偏移offset,如果没有program header table, 则该值为零。

e_shoff: section header table在文件中的字节偏移，如果没有section header table, 则该值为零

e_flags: 有关处理器的信息

e_ehsize: elf header的大小，单位：字节

e_phentsize: 在program header table中一个entry的大小，前面提到过，program header table & section header table都是数组，所以它们的每一个元素，即每一个entry的大小，都是一样的。

e_phnum: program header table中元素的个数，即entry的个数。

e_shentsize: section header table每一个entry的大小，与e_phentsize类似。

e_shnum: section header table中元素的个数，即entry的个数。可以看出来，这个program header table或者section header table的大小可以用entry的个数乘以每一个entry的大小得到。

e_shstrndx: 指明string name table在section header table中的index。

通过readelf -a hello时查看段表头的情况，找到section headers

然后分析其中各项的含义

sh_name指出section的名字，它的值是后面将会讲到的section header string table中的索引，指出一个以null结尾的字符串。
sh_type是类别
sh_flags指示该section在进程执行时的特性。
sh_addr指出若此section在进程的内存映像中出现，则给出开始的虚地址。
sh_offset给出此section在文件中的偏移。

找到段表

由第三行的elf头可知，e_shoff值为0x000017d4，表示段表的偏移地址
从这里开始找
同理，e_ ehentsize(2字节) 0x0028，表示段表长度为40字节（由此可知section header table 里面表个header的大小）
e_ shnum(2字节) 0x001f，表示段表入口地址有31个（由此知道段表有31个段）

第一个段

第二个段

下面是一个段表结构
typedef struct
{
Elf32_Word sh_name; /* Section name (string tbl index) /
Elf32_Word sh_type; / Section type /
Elf32_Word sh_flags; / Section flags /
Elf32_Addr sh_addr; / Section virtual addr at execution /
Elf32_Off sh_offset; / Section file offset /
Elf32_Word sh_size; / Section size in bytes /
Elf32_Word sh_link; / Link to another section /
Elf32_Word sh_info; / Additional section information /
Elf32_Word sh_addralign; / Section alignment /
Elf32_Word sh_entsize; / Entry size if section holds table */
} Elf32_Shdr;

第三个段表

第四个段表

总共有31个段表

理解常见的。text .strtab .symtabl .rodata等section

文件的section含有程序和控制信息，系统使用一些特定的section，并有其固定的类型和属性（由sh_type和sh_info指出）。
下面介绍几个常用到的section:“.bss”段含有占据程序内存映像的未初始化数据，当程序开始运行时系统对这段数据初始为零，但这个section并不占文件空间。
“.data.”和“.data1”段包含占据内存映像的初始化数据。
“.rodata”和“.rodata1”段含程序映像中的只读数据。
“.shstrtab”段含有每个section的名字，由section入口结构中的sh_name索引。
“.strtab”段含有表示符号表(symbol table)名字的字符串。
“.symtab”段含有文件的符号表，在后文专门介绍。
“.text”段包含程序的可执行指令。