LinuxC目标文件
宗旨:技术的学习是有限的,分享的精神是无限的。
一、目标文件格式(ELF格式)
编译器编译源代码后生成的文件叫做目标文件。目标文件是已经编译后的可执行文件,只是还没有经过链接的过程。
PC平台流行的可执行文件格式:windows下的PE和Linux下的ELF。
动态链接库和静态链接库也是按照可执行文件存储的。
1、ELF文件归于4类:
| ELF文讲类型 | 说明 | 举例 |
| 可重定位文件 | 目标文件.o | Linux的.o, windows下的.obj |
| 可执行文件 | 直接可执行的文件 | /bin/bash windows的.exe |
| 共享目标文件 |
| .so DLL |
| 核心转储文件 | 进程意外终止 | core dump |
Linux下的file命令查看相应的文件格式:
2、目标文件
编译后的机器指令代码、数据、符号表、调试信息、字符串等。
一般目标文件将这些文件信息按不同的属性,以“节”的形式存储。
机器指令放在代码段.text,已初始化全局变量和静态变量放在数据段里.data,未初始化全局变量和静态变量放在数据段里.bss。.bss只是为变量预留的位置而已,并没有内容,不占据空间。
二、剖析目标文件section.o
// section.c:
#include<stdio.h>int init_var = 84;
int uninit_var;void fun(int i)
{printf(" %d \n", i);
}int main(void)
{static int static_var = 85;static int static_var2;int a = 1;int b;fun(init_var + uninit_var + a + b);return 0;
}gcc -c section.c生成section.o——只编译不链接
objdump -h section.o// ELF文件的各个段的基本信息打印出来。
除了最基本的代码段、数据段、BSS段,还有三个段:只读数据段(.rodata)、注释信息段(.comment)和堆栈提示段(.note.GNU-stack)。
段的属性:最容易理解的就是段的长度Size和段所在的位置File off(偏移量)。每个段第二行的“CONTENTS”表示该段在文件中存在——BSS段没有“CONTENTS “,实际上在ELF中不存在;”note.GNU-stack“有“CONTENTS”但大小为0,奇怪。
size命令查看ELF文件中的代码段、数据段和BSS段长度。
root@colinux:~/mystudy# size section.o
text data bss dec hex filename
88 8 4 100 64 section.o
1、代码段
objdump的“-s”十六进制方式打印,“-d”反汇编。提取出代码段的内容:
“Contents of section.text”就是.text的数据以十六进制方式打印出来的内容,0x58字节,与size命令的长度符合。对照反汇编结果,.text包含两个函数,fun()和main()。.text的第一个字节就是”0x55”就是fun()函数的第一条“push %ebp”指令,而最后一个字节0xc3正是main()函数的最后一条指令“ret”。
2、数据段和只读数据段
.data段保存的是初始化的全局变量和静态变量,section.c中有这样两个变量init_var和static_var,都是int型,刚好8字节。所以.data的大小是8字节。
Contents of section .data:
0000 54000000 55000000 T...U...
Contents of section .rodata:
0000 20256420 0a00 %d ..
.data前四个字节,0x54、0x00、0x00、0x00 —— 0x54 = 84;——大端机
3、BSS段
.bss段保存的是未化的全局变量和静态变量,section.c中有这样两个变量uninit_var和static_var2。但是通过size命令看到.bss只有4字节。通过符号表(后面说)看到,只有static_var2被放入了.bss段,uninit_var没有。与不同的语言和不同的编译器有关。
4、其他段
| 常用段名 | 说明 |
| .rodata | 只读数据,如字符串常量,const只读变量 |
| .comment | 编译器版本信息, |
| .debug | 调试信息 |
| .dynamic | 动态链接信息 |
| .hash | 符号哈希表 |
| .line | 行号表 |
| .note | 额外的编译器信息:公司名,发布版本号等 |
| .strtab | 字符串表 |
| .symtab | 符号表 |
| .shstrtab | 段名表 |
| .plt .got | 动态链接的跳转表和全局入口表 |
| .init .fini | 程序初始化与终结代码段 |
三、ELF文件结构
提取重要的结构:ELFHeader(ELF文件头)、.text、.data、.bss、其他段、段表、字符串表、符号表等。
ELF文件头——描述了整个文件的文件属性:是否可执行、是静态还是动态连接及入口地址、目标硬件、目标操作系统等信息。
段表——所有段的信息:段名、段的长度、在文件中的偏移、读写权限及段的其他属性。
1、文件头(readelf命令)
ELF文件头定义:ELF魔数、文件机器字节长度、文件存储方式、版本、运行平台、ABI版本、ELF重定位类型、硬件平台、硬件平台版本、入口地址、程序头入口地址和长度、段表的位置和长度及段的数量等。
ELF文件头结构及相关常数被定义在”/usr/include/elf.h”,32位“ELF32_Ehdr”
#define EI_NIDENT(16)typedef struct
{unsigned char e_ident[EI_NIDENT]; /* Magic number and other info */Elf32_Half e_type; /* Objectfile type */Elf32_Half e_machine; /*Architecture */Elf32_Word e_version; /* Object file version */Elf32_Addr e_entry; /* Entrypoint virtual address */Elf32_Off e_phoff; /* Programheader table file offset */Elf32_Off e_shoff; /* Sectionheader table file offset */Elf32_Word e_flags; /*Processor-specific flags */Elf32_Half e_ehsize; /* ELFheader size in bytes */Elf32_Half e_phentsize; /* Programheader table entry size */Elf32_Half e_phnum; /* Program header table entrycount */Elf32_Half e_shentsize; /* Sectionheader table entry size */Elf32_Half e_shnum; /* Sectionheader table entry count */Elf32_Half e_shstrndx; /* Sectionheader string table index */
} Elf32_Ehdr;结构与readelf输出的ELF文件头信息相比:只有e_ident对应了readelf输出中的“Class Data Version OS/ABI ABI Version”5个参数,剩下的参数一一对应。
ELF魔数:Magic: 7f 45 4c 46 01 01 01 00 00 00 00 00 00 00 00 00
16字节对应了Elf32_Ehdr的e_ident这个16字节成员。这16字节被ELF标准规定来标识ELF文件的平台属性:如字长、字节序、版本等。16字节含义:
前4字节是所有ELF文件都必须相同的标识码:0x7F、0X45、0X4C、0X46(这四个字节就是ELF文件的魔数)。几乎所有的可执行文件的开始的几个字节都是魔数,如a.out最开始两个字节是0x01、0x07;PE最开始两个字节是0x4d、0x5a。这个魔数用来确认文件类型。第5个字节用来标识ELF文件类的,0x01表示是32位的,0x02表示64位的。第6字节是字节序,规定ELF文件是大端的还是小端的。第7字节规定ELF文件的主版本号,一般是1.后面的九个字节ELF标准没有定义,一般写0。
e_type文件类型:ET_REL—— 1 ——可重定位文件,一般是.o文件;ET_EXEC—— 2 —— 可执行文件; ET_DYN —— 2 ——共享目标文件,一般是.so文件。
e_machine机器类型:ELF文件的平台属性,EM_386 —— 3 —— x86
2、段表
ELF的段结构就是由段表决定的,编译器、连接器和装载器都是靠段表来定位和访问各个段的属性的。段表在ELF文件中的位置由ELF文件头Elf32_Ehdr结构中的” e_shoff” 成员决定。section.o中,段表位于偏移0x104(260字节)处。
前面用”objdump -h”查看ELF文件中的段,此命令只是把ELF文件中的关键段显示出来了,省略了其他辅助性的段:符号表、字符串表、重定位表等。
readelf -S命令
段表是以“Elf32_Shdr”结构体为元素的数组,数组元素的个数等于段的个数,每个“Elf32_Shdr”结构体对应一个段。section.o:11个元素的数组。/usr/include/elf.h:
typedef struct
{Elf32_Word sh_name; /* Section name (string tblindex) */Elf32_Word sh_type; /* Section type */Elf32_Word sh_flags; /* Section flags */Elf32_Addr sh_addr; /* Section virtual addr atexecution */Elf32_Off sh_offset; /* Section file offset */Elf32_Word sh_size; /* Section size in bytes */Elf32_Word sh_link; /* Link to another section */Elf32_Word sh_info; /* Additional sectioninformation */Elf32_Word sh_addralign; /* Section alignment */Elf32_Word sh_entsize; /* Entry size if section holdstable */
} Elf32_Shdr;总结section.o段表的位置
|
| 起始地址 | 大小 |
| ELF Header e_shoff = 0x104 | 0 | 0x34 |
| .text | 0x34 | 0x52 |
| .data | 0x88 | 0x08 |
| .rodata | 0x90 | 0x06 |
| .comment | 0x96 | 0x1d |
| .shstrtab | 0xB3 | 0x51 |
| Section Table | 0x104 | 0x1b8 |
| .symtab | 0x2bc | 0xf0 |
| .rel.text | 0x3fc | 0x28 |
长度为0x424 = 1060,这个长度正好是section.o文件的大小。
段的类型(sh_type):段的名字只有在编译和链接的过程中有意义。SHT_NULL – 0 – 无效段, SHT_PROGBITS– 1 – 程序段, SHT_SYMTAB – 2 – 表示该段的内容为符号表, SHT_STRTAB – 3 – 字符串表, SHT_RELA –4 – 重定位表, SHT_HASH – 5 – 符号表的哈希表,SHT_DYNAMIC – 6 – 动态链接信息, SHT_NOTE – 7 – 提示性信息, SHT_NOBITS– 8 –该段在文件中没内容, SHT_REL – 9 –该段包含了重定位信息,SHT_SHLIB – 10 – 保留,SHT_DNYSYM – 11 – 动态链接的符号表。
段的标志位(sh_flag):表示该段在进程虚拟地址空间中的属性,可写可执行等。SHF_WRITE – 1 – 该段在进程空间中可写; SHF_ALLOC– 2 – 在进程空间中要分配空间; SHF_EXECINSTR– 4 –该段在进程空间中可以被执行,一般指代码段。
段的链接信息(sh_link、sh_info):
| sh_type | sh_link | sh_info |
| SHT_DYNAMIC | 字符串表在段表的下标 | 0 |
| SHT_HASH | 符号表在段表中的下标 | 0 |
| SHT_REL | 相应符号表在段表中的下标 | 该重定位表所作用的段在段表中的下标 |
| SHT_RELA | ||
| SHT_SYMTAB | 操作系统相关 | 操作系统相关 |
| SHTDYNSYM | ||
| other | SHN_UNDEF | 0 |
3、重定位表
section.o中有一个“rel.text”的段,类型是“SHT_REL”——重定位表。
代码段和数据段中那些对绝对地址的引用的位置——相应的重定位表。section.o中的“rel.text”就是对“.text”段的重定位表——printf函数的调用;而“.data”段没有对绝对地址的引用,只包含了几个常量,故没有“.rel.data”。
4、字符串表——段名,变量名等
四、链接的接口——符号
可以使用很多工具查看ELF文件的符号表,readelf,objdump,nm等;
1、ELF符号表结构
ELF符号表是文件中的一个段“.symtab”
/* Symbol table entry. */
typedef struct
{Elf32_Word st_name; /* Symbol name (string tblindex) */Elf32_Addr st_value; /* Symbol value */Elf32_Word st_size; /* Symbol size */unsigned char st_info; /* Symbol type and binding */unsigned char st_other; /* Symbol visibility */Elf32_Section st_shndx; /* Section index */
} Elf32_Sym;
