Linux课题实践四——ELF文件格式分析

2.4   ELF文件格式分析

20135318 刘浩晨

ELF全称Executable and Linkable Format,可执行连接格式，ELF格式的文件用于存储Linux程序。ELF文件（目标文件）格式主要三种：

1）可重定向文件：文件保存着代码和适当的数据，用来和其他的目标文件一起来创建一个可执行文件或者是一个共享目标文件。（目标文件或者静态库文件，即linux通常后缀为.a和.o的文件）

2）可执行文件：文件保存着一个用来执行的程序。（例如bash，gcc等）

3）共享目标文件：共享库。文件保存着代码和合适的数据，用来被下连接编辑器和动态链接器链接。（linux下后缀为.so的文件。）

目标文件既要参与程序链接又要参与程序执行：

一般的 ELF 文件包括三个索引表：ELF  header，Program  header  table，Section header table。

1）ELF  header：在文件的开始，保存了路线图，描述了该文件的组织情况。

2）Program  header  table：告诉系统如何创建进程映像。用来构造进程映像的目标文件必须具有程序头部表，可重定位文件不需要这个表。

3）Section  header  table ：包含了描述文件节区的信息，每个节区在表中都有一项，每一项给出诸如节区名称、节区大小这类信息。用于链接的目标文件必须包含节区头部表，其他目标文件可以有，也可以没有这个表。

1、     分析ELF文件头（ELF  header）

进入终端输入:cd /usr/include/elf.h，查看ELF的文件头包含整个文件的控制结构

代码项含义：

　　最开头是16个字节的e_ident, 其中包含用以表示ELF文件的字符，以及其他一些与机器无关的信息。开头的4个字节值固定不变，为0x7f和ELF三个字符。

　　　　e_type 它标识的是该文件的类型。

　　　　e_machine 表明运行该程序需要的体系结构。

　　　　e_version 表示文件的版本。

　　　　e_entry 程序的入口地址。

　　　　e_phoff 表示Program header table 在文件中的偏移量（以字节计数）。

　　　　e_shoff 表示Section header table 在文件中的偏移量（以字节计数）。

　　　　e_flags 对IA32而言，此项为0。

　　　　e_ehsize 表示ELF header大小（以字节计数）。

　　　　e_phentsize 表示Program header table中每一个条目的大小。

　　　　e_phnum 表示Program header table中有多少个条目。

　　　　e_shentsize 表示Section header table中的每一个条目的大小。

　　　　e_shnum 表示Section header table中有多少个条目。

　　　　e_shstrndx 包含节名称的字符串是第几个节（从零开始计数）。

• 编写一个简单代码elf1.c为例：

#include <stdio.h>
void main()
{
    int a=20135318;
    printf(“Hello %d”,a);
}

进行编译运行，生成elf.o的目标文件：gcc –c elf1.c –o elf1.o。

ls –l elf1.o查看文件大小，为1032字节：

readelf –a elf1.o得到下面的ELF头文件的信息，如下图：

通过上图信息，可以得出Elf Header的Size为52bytes，所以可以使用hexdump工具将头文件的16进制表打开，或使用objdump –x elf1.o来显示.o中各个段以及符号表的相关信息：

hexdump –x elf1 –n 64查看elf文件头的16进制表（前64bytes）对格式进行分析。

注意：由于intel及其兼容处理器使用小端法，此处的-x命令选项是一次性输出两个字节，457f实际表示的是7f45，以此类推。

第一行，对应e_ident[EI_NIDENT]。实际表示内容为7f454c46010101000000000000000000,前四个字节7f454c46(0x45,0x4c,0x46是'e','l','f'对应的ascii编码）是一个魔数，表示这是一个ELF对象。接下来的一个字节01表示是一个32位对象（02是64位对象），接下来的一个字节01表示是小端法表示，再接下来的一个字节01表示文件头版本。剩下的默认都设置为0.

第二行，e_type（两字节）值为0x0001，表示是一个重定位文件。

e_machine（两字节）值为0x0003，表示是Intel 80386处理器体系结构。

e_version（四字节）值为0x00000001，表示是当前版本。

e_entry（四字节）值为0x00000000，表示没有入口点。

e_phoff（四字节）值为0x00000000，表示程序头表。

第三行，e_shoff（四字节）值为0x00000124，表示段表的偏移地址。

e_flags（四字节）值为0x00000000，表示未知处理器特定标志（#define EF_SH_UNKNOWN 0x0）。

e_ehsize（两字节）值为0x0034，表示elf文件头大小为0x34H（正好是52个字节）。

e_phentsize（两字节）值为0x0000，表示一个program header大小为0。

e_phnum（两字节）的值为0x0000，给出program header表中的入口数目。

e_shentsize（两字节）值为0x0028表示段头大小为40字节。

第四行，e_shnum（两字节）值为0x000d，表示段表入口有13个。

e_shstrndx（两字节）值为0x000a，表示段名串表的在段表中的索引号（由此知.shstrtab段（符号表）的信息在段表的索引号是10）。

2、通过文件头找到section
header table，理解其内容

刚才已经使用objdump –x elf1.o来显示.o中各个段以及符号表的相关信息，现在可以输入：readelf –a elf1来查看各个段信息：

段表Section header table：

符号表 Symbol table：

再用readelf –s elf1.o查看：

3、通过section header table找到各section

　　在一个ELF文件中有一个section header table，通过它我们可以定位到所有的 section，而 ELF header 中的e_shoff
变量就是保存 section header table 入口对文件头的偏移量。而每个 section 都会对应一个 section 
header ，所以只要在 section 
header  table 中找到每个 section header，就可以通过 section header 找到你想要的 section。

　　ELF
header得到了e_shoff变量的值为0X00000124，也就是table入口的偏移量，通过看e_shnum值为0x000d，表示段表入口有13个。

　　所以从0x00000124开始有13个段，每个段占40个字节大小，输入 hexdump elf1查看：

第一个段，其中内容全部为0，所以不表示任何段。

第二个段，为.text段，段偏移sh_offset为0X0034，段大小sh_size为0X0027。

第三个段，为.rel.text段，段偏移sh_offset为0X03f0，段大小sh_size为0X0010。

.......

下面用readelf –S elf1.o命令先去看看elf1的section table中存放的所有的 section header。

首先，我们可以用readelf 命令去查看.text这个 section 中的内容，输入readelf –x 1 elf1.o，对1索引号的.text的section的内容进行查看；

其次，也用 hexdump 的方法去读取.text这个 section 中的内容，通过看section header中.text中offset和size分别是0x000034和0x000027，通过16进制向10进制转换得到offset：52和size：39。输入 hexdump –s 52–n 39 –C elf1。得到了和上面的readelf得到的相同。

最后再用使用下面命令对elf1的文本段（.text）进行反汇编，objdump
–d elf1  得到如下图：

可以看出，使用反汇编的16进制数据和前面查找到的是相同的。

4、理解常见.text .strtab .symtab .rodata等section

①.text section是可执行指令的集合，.data和.text都是属于PROGBITS类型的section，这是将来要运行的程序与代码。查询段表可知.text section的位偏移为0x0000440，size为0x0000192。

②.strtab section是属于STRTAB类型的section，可以在文件中看到，它存着字符串，储存着符号的名字。位偏移为0x0001f08，size为0x0000238。

③.symtab section存放所有section中定义的符号名字，比如“data_items”，“start_loop”。 .symtab
section是属于SYMTAB类型的section，它描述了.strtab中的符号在“内存”中对应的“内存地址”。 位偏移为0x00018f0，size为0x0000618。

④.rodata section，ro代表read only，即只读数据(const)。位偏移为0x00005e0，size为0x000000c。