今天我们来聊聊ELF文件,了解一下Linux如何创建进程以及ELF文件如何转变成Linux进程?
一、什么是ELF文件?
ELF(Executable and Linkable Format)文件是一种目标文件格式,用于二进制文件、可执行文件、目标代码、共享库和核心转储格式文件。它主要用于Linux平台,用于存储和传输可执行文件和库。
文件类型:
可执行文件:包含可执行的机器代码,可直接运行。
可重定位文件(.o文件):机器代码和数据地址相对,需重定位才能运行,通常用于编译过程。
共享对象文件(.so文件):动态链接库,包含可共享代码和数据,可在运行时被多个进程共享。
核心转储文件(core文件):程序崩溃或异常终止时生成,包含内存状态和寄存器信息,用于调试。
二、ELF文件格式
如下图所示,ELF文件主要由:ELF头,程序头表,节区,节头表组成。
ELF头:包含文件的基本信息,如类型、架构、入口地址等。
程序头表:描述可执行文件中的段(Segment)信息,如类型、偏移地址、大小等。
节区:存储实际的代码、数据等信息。
节头表:描述目标文件中的节(Section)信息,如名字、类型、偏移地址、大小等。
注意:.o文件没有程序头表,ELF文件并不一定有程序头表。
段(Segment)和节(Section)有什么区别?
节是ELF文件的基本单位,包含了程序的代码,数据等信息。Linu系统为了高效加载ELF文件,将多个节划分为一个组(段),段是节的集合,Linux系统通过段加载代码(节)和数据(节)。
2.1 ELF头
ELF头是整个ELF文件的起始部分,位置固定,包含了识别和解释文件内容的关键信息。
查看ELF文件头信息:
read -h ELF文件
root@raspberrypi:/home/mfn# readelf -h a.out
ELF Header:
Magic: 7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00
Class: ELF64
Data: 2's complement, little endian
Version: 1 (current)
OS/ABI: UNIX - System V
ABI Version: 0
Type: DYN (Position-Independent Executable file)
Machine: AArch64
Version: 0x1
Entry point address: 0x600
Start of program headers: 64 (bytes into file)
Start of section headers: 68504 (bytes into file)
Flags: 0x0
Size of this header: 64 (bytes)
Size of program headers: 56 (bytes)
Number of program headers: 9
Size of section headers: 64 (bytes)
Number of section headers: 29
Section header string table index: 28
ELF文件头字段解析:
Magic:魔数,ELF文件识别信息。
Class:文件类型,32位或64位。
Data:编码方式,大端或小端。
Version:ELF版本。
OS/ABI:操作系统信息。
ABI:ABI版本。
Type:文件类型:可重定位文件(REL)、可执行文件(DYN)、共享对象文件(DYN),核心转储文件(CORE)。
Machine:机器类型,表示ELF文件的平台属性,如x86、AArch64等。
Entry point address: 程序入口地址。
Start of program headers: 程序头表偏移量。
Start of section headers: 节头表偏移量。
Flags:标志。
Size of this header:ELF头大小。
Size of program headers:程序头表条目大小。
Number of program header:程序头表有多少条目。
Size of section headers:节头表条目大小。
Number of section headers:节头表有多少条目。
2.2 程序头表
程序头表(Program Header Table)用于描述文件中的段(Segment)信息,指导操作系统加载程序。
程序头表由多个程序头组成,每个头对应一个段,包含该段的详细信息:段的类型、在文件中的偏移地址、映射到内存的虚拟地址、大小及权限等。
查看程序头表信息:
readelf -l ELF文件
程序头表字段解析:
TYPE:段类型,常见类型如下:
PT_PHDR:程序头表本身在文件中的位置和大小。
PT_LOAD:表示一个可加载的段,这种段包含了程序的实际代码和数据,需要被加载到内存中以便执行。
PT_DYNAMIC:指向动态链接信息,包含了动态链接器所需的各种表和字符串,如动态库路径、依赖库列表、符号表等。
PT_INTERP:指定了程序解释器的路径,这通常是动态链接器的路径。
PT_NOTE:附加信息。
Offset:文件偏移,段在文件中的偏移量。
VirtAddr:虚拟地址,段加载至内存后的虚拟地址。
PhysAddr:物理地址:段的物理地址。
FileSiz:文件大小,段在文件中大小。
MemSiz:内存大小,段在内存中大小。
Flags:段标识,段属性:只读属性(R),只写属性(W),可执行属性(E)。
Align:对齐方式。
2.3 节区
ELF文件中包含多种节(Section),这些节在文件的编译、链接及执行过程中发挥关键作用。
以下是一些常见的ELF文件节:
.text:包含程序的代码段,是程序执行的主要部分。
.data:包含已初始化的全局和静态变量,程序运行时需要的数据。
.rodata:包含只读数据,如常量字符串、浮点数等。
.bss:包含未初始化的全局和静态变量,运行时被分配内存并初始化为零。
.symtab:符号表,包含程序中使用的符号信息,如函数名、变量名等。
.strtab:字符串表,包含符号表中使用的字符串。
.shstrtab:节名字符串表,包含所有节的名字。
.dynamic:动态链接信息,包含动态链接器所需的各种信息。
通过查看ELF文件符号表,可以协助我们排查程序bug:
readelf -s ELF文件
2.4 节头表
节头表(Section Header Table),用于描述文件中各个节(Section)的属性和信息。
每个节都有一个对应的节表头,它包含了节的名称、类型、大小、偏移量等关键数据,为链接器和加载器提供必要的信息。
查看节头表信息:
readelf -s ELF文件
root@raspberrypi:/home/mfn# readelf -S a.out
There are 29 section headers, starting at offset 0x10b98:
Section Headers:
[Nr] Name Type Address Offset
Size EntSize Flags Link Info Align
[ 0] NULL 0000000000000000 00000000
0000000000000000 0000000000000000 0 0 0
[ 1] .interp PROGBITS 0000000000000238 00000238
000000000000001b 0000000000000000 A 0 0 1
[ 2] .note.gnu.bu[...] NOTE 0000000000000254 00000254
0000000000000024 0000000000000000 A 0 0 4
[ 3] .note.ABI-tag NOTE 0000000000000278 00000278
0000000000000020 0000000000000000 A 0 0 4
[ 4] .gnu.hash GNU_HASH 0000000000000298 00000298
000000000000001c 0000000000000000 A 5 0 8
[ 5] .dynsym DYNSYM 00000000000002b8 000002b8
00000000000000d8 0000000000000018 A 6 3 8
[ 6] .dynstr STRTAB 0000000000000390 00000390
000000000000008d 0000000000000000 A 0 0 1
[ 7] .gnu.version VERSYM 000000000000041e 0000041e
0000000000000012 0000000000000002 A 5 0 2
[ 8] .gnu.version_r VERNEED 0000000000000430 00000430
0000000000000030 0000000000000000 A 6 1 8
[ 9] .rela.dyn RELA 0000000000000460 00000460
00000000000000c0 0000000000000018 A 5 0 8
[10] .rela.plt RELA 0000000000000520 00000520
0000000000000060 0000000000000018 AI 5 22 8
[11] .init PROGBITS 0000000000000580 00000580
0000000000000018 0000000000000000 AX 0 0 4
[12] .plt PROGBITS 00000000000005a0 000005a0
0000000000000060 0000000000000000 AX 0 0 16
[13] .text PROGBITS 0000000000000600 00000600
000000000000012c 0000000000000000 AX 0 0 64
[14] .fini PROGBITS 000000000000072c 0000072c
0000000000000014 0000000000000000 AX 0 0 4
[15] .rodata PROGBITS 0000000000000740 00000740
0000000000000004 0000000000000004 AM 0 0 4
[16] .eh_frame_hdr PROGBITS 0000000000000744 00000744
000000000000003c 0000000000000000 A 0 0 4
[17] .eh_frame PROGBITS 0000000000000780 00000780
00000000000000a4 0000000000000000 A 0 0 8
[18] .init_array INIT_ARRAY 000000000001fdc8 0000fdc8
0000000000000008 0000000000000008 WA 0 0 8
[19] .fini_array FINI_ARRAY 000000000001fdd0 0000fdd0
0000000000000008 0000000000000008 WA 0 0 8
[20] .dynamic DYNAMIC 000000000001fdd8 0000fdd8
00000000000001e0 0000000000000010 WA 6 0 8
[21] .got PROGBITS 000000000001ffb8 0000ffb8
0000000000000030 0000000000000008 WA 0 0 8
[22] .got.plt PROGBITS 000000000001ffe8 0000ffe8
0000000000000038 0000000000000008 WA 0 0 8
[23] .data PROGBITS 0000000000020020 00010020
0000000000000010 0000000000000000 WA 0 0 8
[24] .bss NOBITS 0000000000020030 00010030
0000000000000008 0000000000000000 WA 0 0 1
[25] .comment PROGBITS 0000000000000000 00010030
000000000000001f 0000000000000001 MS 0 0 1
[26] .symtab SYMTAB 0000000000000000 00010050
0000000000000828 0000000000000018 27 65 8
[27] .strtab STRTAB 0000000000000000 00010878
000000000000021d 0000000000000000 0 0 1
[28] .shstrtab STRTAB 0000000000000000 00010a95
0000000000000103 0000000000000000 0 0 1
Key to Flags:
W (write), A (alloc), X (execute), M (merge), S (strings), I (info),
L (link order), O (extra OS processing required), G (group), T (TLS),
C (compressed), x (unknown), o (OS specific), E (exclude),
D (mbind), p (processor specific)
节头表字段解析:
Name:节名。
Type:节类型
Address:虚拟地址。
Offset:文件偏移量。
Size:节大小,节在文件中的大小。
EntSize:节条目大小。
Flags:节属性:只读属性(R),只写属性(W),可执行属性(E)。
Link:链接,表示与该节相关联的符号表或者字符串表。
Info:节信息。
Align:对齐方式。
三、从ELF文件到Linux进程
前面已经介绍介绍了ELF文件,相信很多小伙伴都很好奇,ELF文件是如何转变成Linux进程的。
Linux创建一个新的进程需要经过两个步骤:
步骤1:父进程通过克隆方式创建子进程。
步骤2:子进程加载ELF文件生成新的进程地址空间。
对于用户程序来说,实现以上两个步骤需要调用fork和execve两个系统调用。
Linux子进程的创建必须由父进程完成,因为这样的一个约束,Linux进程之间形成了类似于家族关系的进程关系,而所有进程的共同祖先就是1号进程(init)。
子进程创建时需要继承父进程的关键信息才能正常工作,从父进程继承而来的信息只能保证子进程按照父进程的方式去工作。当子进程有特定的任务需要执行,此时从父进程继承的信息就没有意义了。子进程如果需要执行特定的任务,需要加载ELF文件,替换掉子进程从父进程继承的旧信息,生成新的进程信息,这样子进程就能独立工作了。
3.1 fork创建子进程
如下图所示,用户程序调用fork系统调用后,内核主要完成两部分工作:
- 创建子进程并克隆关键信息。
- 将子进程插入CPU就绪队列,等待CPU调度。
具体流程已在图中详细展示,这里不再赘述。
Linux内核克隆子进程是一个很复杂的过程,这里我们保留一些关键流程,我们来看一下子进程从父进程继承了哪些信息:
files:已打开文件表,子进程和父进程拥有相同的已打开文件表,父子进程可以操作相同的文件。
fs:文件系统信息。
sighand:信号处理函数表,子进程和父进程处理信号的方式相同。
signal:信号信息,同上。
mm:进程地址空间,子进程和父进程的代码,数据相同。需要注意:数据相同表示虚拟地址和内存存储内容相同,而实际的物理地址则不相同。
nxproxy:命名空间。
fork创建完子进程,如果子进程不需要执行特定的任务,此时子进程已经可以工作。如果子进程需要执行特定的任务,那么我们需要将任务编译成ELF文件,再通过ELF文件加载至子进程。
3.2 execve加载ELF文件
如下图所示,execve系统调用主要工作就是替换进程地址空间(mm),而替换进程地址空间需要用到编译好的ELF文件。由于进程地址空间替换时,原来从父进程继承的信息已经没有用,所以替换的过程需要清理旧信息。
进程地址空间替换内核流程如下图:
具体流程已经在图中详细展示,这里也不再赘述。
如下图所示,我们来看一下ELF文件转变成Linux进程的详细流程,用户程序调用execve系统调用后,首先会根据文件路径在磁盘中找到ELF文件,找到文件后打开文件(open),读取文件内容(read)。
此时ELF文件已经从磁盘读入内存, 接着execve系统调用按照ELF文件格式解析ELF文件,解析出.bss,.data,.text将三者以文件映射方式映射至进程地址空间。文件映射可以减少拷贝,提高访问效率。
总结
了解ELF文件以及ELF文件如何转换为Linux进程,可以让我们对Linux程序有更深入的理解,我们在编程和调试程序的时,思路会更加清晰。
标签:文件,linux,ELF,信息,0000000000000000,Linux,进程 From: https://www.cnblogs.com/o-O-oO/p/18596060原创 物联网心球