# ELF文件及objdump/readelf命令
ELF(Executable and Linked Format)是UNIX系统实验室(USL)作为应用程序二进制接口(Application Binary Interface)开发和发布的可执行链接格式。ELF文件是Linux目标文件格式既参与程序执行也参与程序链接。
可以从程序执行和程序链接两个角度来分析ELF文件:
| 从链接角度 | 从执行角度 |
|---|---|
| ELF Header | ELF Header |
| Program Header Table(Optional) | Program Header Table |
| Section 1 | Segment 1 |
| Section 2 | Segment 2 |
| Section ... | Segment ... |
| Section N | Segment N |
| Section header table | Section header table(optional) |
# ELF文件结构分析
ELF Header部分位于文件的开头,包括用于标识文件是不是ELF文件的标识位,program header/Section header的偏移量,program headers个数,section headers个数等信息。
program headers记录了segment的分布,用来保存程序加载到内存中所需要的信息。因此从程序运行的角度来看是必须的。譬如其中DYNAMIC部分,指定了ELF文件加载时动态链接器需要的信息。
section header记录了ELF包含的哪些section及其位置。从文件链接角度来看,Section部分主要由text\data\rodata\bss等不同部分组成。
# 使用od命令读取ELF文件
od命令用于将指定文件内容以八进制、十进制、十六进制、浮点格式或ASCII编码字符方式显示。通常用于显示或查看文件中不能直接显示在终端的字符。od命令系统默认的显示方式是八进制,名称源于Octal Dump。
后面支持的参数:
-A,文件偏移量的输出格式,可选值为doxn之一,分别表示decimal/octal/hex和none。-t输出的格式,如-x1用一个十六进制数表示的输出的值,类型后追加参数z会在每一行后输出对应十六进制数对应的可打印字符。
更多od命令的使用方法可以参考man od手册,使用od命令查看ELF文件的方式如下:
od -t x1z -A x tc
# 000000 7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00 >.ELF............<
# 000010 02 00 3e 00 01 00 00 00 90 10 40 00 00 00 00 00 >..>.......@.....<
# 000020 40 00 00 00 00 00 00 00 50 31 00 00 00 00 00 00 >@.......P1......<
# 000030 00 00 00 00 40 00 38 00 0b 00 40 00 1b 00 1a 00 >....@.8...@.....<
十六进制数7f 45 4c 46对应的Ascii码分别是.ELF用来标识文件是ELF文件。
# 使用readelf命令读取ELF文件
readelf命令是专门用来读取ELF文件中内容的命令。readelf命令和objdump提供的功能类似,但是它显示的信息更为具体。
readelf命令支持的参数选项:
-h打印ELF Header信息-l打印ELF文件中的program-headers|--segments信息-S打印ELF文件中的--section-headers|--sections信息-s打印符号信息,符号指向一个语言层面的实体,如变量Object和函数Func。ELF文件中的符号表(symbol table)存放着前面提到的Elf64_Sym,表示该文件内已经定义或者需要引用的符号。-a打印所有的headers信息
使用示例:
readelf -r tc
# Relocation section '.rela.dyn' at offset 0x618 contains 3 entries:
# Offset Info Type Sym. Value Sym. Name + Addend
# 000000403ff0 000700000006 R_X86_64_GLOB_DAT 0000000000000000 __libc_start_main@GLIBC_2.2.5 + 0
# 000000403ff8 000800000006 R_X86_64_GLOB_DAT 0000000000000000 __gmon_start__ + 0
# 000000404080 000a00000005 R_X86_64_COPY 0000000000404080 _ZSt4cout@GLIBCXX_3.4 + 0
# Relocation section '.rela.plt' at offset 0x660 contains 6 entries:
# Offset Info Type Sym. Value Sym. Name + Addend
# 000000404018 000900000007 R_X86_64_JUMP_SLO 0000000000401030 _ZSt4endlIcSt11char_tr@GLIBCXX_3.4 + 0
# 000000404020 000100000007 R_X86_64_JUMP_SLO 0000000000000000 _ZStlsISt11char_traits@GLIBCXX_3.4 + 0
# 000000404028 000200000007 R_X86_64_JUMP_SLO 0000000000000000 _Znwm@GLIBCXX_3.4 + 0
# 000000404030 000300000007 R_X86_64_JUMP_SLO 0000000000000000 _ZdlPvm@CXXABI_1.3.9 + 0
# 000000404038 000400000007 R_X86_64_JUMP_SLO 0000000000000000 _ZNSolsEPFRSoS_E@GLIBCXX_3.4 + 0
# 000000404040 000600000007 R_X86_64_JUMP_SLO 0000000000000000 _ZNSolsEi@GLIBCXX_3.4 + 0
# 使用objdump命令分析ELF文件
od和readelf命令可以读取ELF文件中的信息,如果想看具体每一个Section/Segment部分的内容,可以使用objdump命令。该命令还能执行反汇编操作。
这里先说个题外话,dump单词的含义,这里是指to move information from a computer's memory to another place or device翻译过来是将内存信息转存,如coredump文件。
objdump命令支持的参数选项:
- ‵-a`展示文件的头信息,类型
-f展示文件的头信息更详细-h查看ELF支持哪些Section信息-j name只展示名字为name的Section部分的信息。- ‵-x
展示所有的section`信息 -d反编译程序-s展示指定section部分的所有信息
使用:
objdump -f tc
# tc: file format elf64-x86-64
# architecture: i386:x86-64, flags 0x00000112:
# EXEC_P, HAS_SYMS, D_PAGED
# start address 0x0000000000401090
objdump -d -S tc
# Disassembly of section .fini:
# 00000000004012e8 <.fini>:
# 4012e8: f3 0f 1e fa endbr64
# 4012ec: 48 83 ec 08 sub $0x8,%rsp
# 4012f0: 48 83 c4 08 add $0x8,%rsp
# 4012f4: c3 retq
# reference
1.https://ivanzz1001.github.io/records/post/linuxops/2018/08/27/linux-od-comand (opens new window)
2.https://www.bluepuni.com/archives/elf-symbols/ (opens new window)
3.https://evshary.com/2018/05/06/ELF-format/ (opens new window)