(Linux系统下的ELF文件格式.docx

1 引言 ELF(Executable and Linkable Format)即可执行连接文件格式，是Linux，SVR4和Solaris2.0默认的目标文件格式，目前标准接口委员会TIS已将ELF标准化为一种可移植的目标文件格式，运行于32-bit Intel体系微机上，可与多种操作系统兼容。分析elf文件有助于理解一些重要的系统概念，例如程序的编译和链接，程序的加载和运行等2 ELF文件格式2.1 ELF文件的类型ELF文件主要有三种类型：(1)可重定位文件包含了代码和数据．可与其它ELF文件建立一个可执行或共享的文件：(2)可执行文件时可直接执行的程序：(3)共享目标文件包括代码和数据，可以在两个地方链接。第一，连接器可以把它和其它可重定位文件和共享文件一起处理以建立另一个ELF文件;第二，动态链接器把它和一个可执行文件和其它共享文件结合在一起建立一个进程映像。2.2 ELF文件的组织 ELF文件参与程序的连接(建立一个程序)和程序的执行(运行一个程序)，编译器和链接器将其视为节头表(section header table)描述的一些节(section)的集合，而加载器则将其视为程序头表(program header table)描述的段(segment)的集合，通常一个段可以包含多个节。可重定位文件都包含一个节头表，可执行文件都包含一个程序头表。共享文件两者都包含有。为此，ELF文件格式同时提供了两种看待文件内容的方式，反映了不同行为的不同要求。下图显示了ELF文件的组织。?2.3 文件头(Elf header) Elf头在程序的开始部位，作为引路表描述整个ELF的文件结构，其信息大致分为四部分：一是系统相关信息，二是目标文件类型，三是加载相关信息，四是链接相关信息 其中系统相关信息包括elf文件魔数(标识elf文件)，平台位数，数据编码方式，elf头部版本，硬件平台e_machine，目标文件版本e_version，处理器特定标志e_ftags：这些信息的引入极大增强了elf文件的可移植性，使交叉编译成为可能。目标文件类型用e_type的值表示，可重定位文件为1，可执行文件为2，共享文件为3;加载相关信息有：程序进入点e_entry．程序头表偏移量e_phoff，elf头部长度e_ehsize，程序头表中一个条目的长度e_phentsize，程序头表条目数目e_phnum;链接相关信息有：节头表偏移量e_shoff，节头表中一个条目的长度e_shentsize，节头表条目个数e_shnum ，节头表字符索引e shstmdx。可使用readelf -h filename来察看文件头的内容。文件头的数据结构如下：typedef struct elf32_hdr{unsigned char e_ident[EI_NIDENT];Elf32_Half e_type;//目标文件类型Elf32_Half e_machine;//硬件平台Elf32_Word e_version;//elf头部版本Elf32_Addr e_entry;//程序进入点Elf32_Off e_phoff;//程序头表偏移量Elf32_Off e_shoff;//节头表偏移量Elf32_Word e_flags;/处理器特定标志Elf32_Half e_ehsize;//elf头部长度Elf32_Half e_phentsize;//程序头表中一个条目的长度Elf32_Half e_phnum;//程序头表条目数目Elf32_Half e_shentsize;//节头表中一个条目的长度Elf32_Half e_shnum;//节头表条目个数Elf32_Half e_shstrmdx;//节头表字符索引}Elf32_Ehdr;2.4 程序头表(program header table) 程序头表告诉系统如何建立一个进程映像．它是从加载执行的角度来看待elf文件．从它的角度看．elf文件被分成许多段，elf文件中的代码、链接信息和注释都以段的形式存放。每个段都在程序头表中有一个表项描述，包含以下属性：段的类型，段的驻留位置相对于文件开始处的偏移，段在内存中的首字节地址，段的物理地址，段在文件映像中的字节数．段在内存映像中的字节数，段在内存和文件中的对齐标记。可用readelf -l filename察看程序头表中的内容。程序头表的结构如下：typedef struct elf32_phdr{Elf32_Word p_type; //段的类型Elf32_Off p_offset; //段的位置相对于文件开始处的偏移Elf32_Addr p_vaddr; //段在内存中的首字节地址Elf32_Addr p_paddr;//段的物理地址Elf32_Word