ELF可重定位目标文件

1、简述

​ 一个main.c文件从源代码到可执行文件要通过四个步骤：预处理、编译、汇编、链接。可重定位目标文件出现在汇编处理之后，其包含二进制代码和数据，并能与其他可重定位目标文件合并，最终创建一个可执行目标文件。

​ 目标文件分为三种：可重定位目标文件、可执行目标文件、共享目标文件，其是按照特定的目标文件格式来组织的，各个系统的目标文件格式都不相同。Windows使用可移植可执行(Portable Executable，PE)格式，MacOS-X使用Mach-O格式，现代x86-64Linux和Unix系统使用可执行可链接(Executable and Linkable Format，ELF)格式，以下我们将讨论ELF格式的可重定位目标文件。

2、ELF可重定位目标文件格式

​ 典型的ELF可重定位目标文件如下图所示：

​ ELF头以一个16个字节的序列开始，以节头部表结尾，夹在中间的都是节，一个典型的ELF可重定位目标文件包含下面几个节：

• .text：已编译程序的机器代码
• .rodata：只读数据，比如printf语句中的格式串和开关语句的跳转表
• .data：已初始化的全局和静态C变量，局部的C变量在运行的时候保存在栈中，不出现在.data节中，也不出现在.bss节中
• .bss：未初始化的全局和静态C变量，以及所有被初始化为0的全局或静态变量，未初始化变量不需要占据任何实际的磁盘空间，在运行的时候，在内存中分配这些变量，初始值为0
• .symtab：一个符号表，它存放在程序中定义和引用的函数和全局变量的信息，其不包含局部变量的条目
• .rel.text：.text节的位置列表，任何调用外部函数或者引用全局变量的指令都需要修改这些位置
• .rel.data：被模块引用或定义的所有全局变量的重定位信息
• .debug：一个调试符号表，其条目是程序中定义的局部变量和类型定义，程序中定义和引用的全局变量以及原始的C源文件，在编译时以-g选项调用编译器驱动程序，才会得到这张表
• .line：原始C源程序中的行号和.text节中机器指令之间的映射，在编译时以-g选项调用编译器驱动程序，才会得到这张表
• .strtab：字符串表，包含.symtab和.debug节中的符号表

3、分析工具

​ 分析ELF文件最常用的命令行工具是readelf和hexdump，readelf工具用来读取elf文件，hexdump工具用来读取二进制文件，下文仅做一个对.o文件的读取，因此只使用readelf工具。

4、示例程序

//main.c
int buf[2]={1,2};
int *bufp0 = &buf[0];
int *bufp1;
void swap()
{
    int temp;
    bufp1 = &buf[1];
    temp = *bufp0;
    *bufp0 = *bufp1;
    *bufp1 = temp;
}

int main()
{
	swap();
	return 0;
}

5、分析

​ 输入命令行，使用gcc编译main.c文件，使其编译系统在汇编阶段完成之后停止，此时生成main.o文件。

[root@master test]gcc -Og -c main.c

• ELF文件头部分

[root@master test]readelf -h main.o

输出：

​ elf文件头会包含一些关于本机操作系统类型、elf文件类型以及elf文件中各个部分、节的大小和数量等信息。

• ELF文件Section部分

[root@master test]readelf -S main.o

输出：

输出显示ELF文件section部分共13节，其中第一个为NULL，每个节都有其名称、类型、地址、偏移等信息，最后一节的偏移量为0x330，大小为0x5e，0x330+0x5e=0x38E(910)，由于节与节也要考虑内存对齐，默认情况下一般是4个字节对齐，所以section部分占用的内存大小为912字节，与ELF文件头中的信息均对应。

• Section部分中的.symtab符号表

[root@master test]readelf -s main.o

输出：

​ 符号表中包含main.o文件定义和引用的符号的信息，包含三种不同的符号：

• 由模块定义并能被其他模块引用的全局符号，其对应于非静态的C函数和全局变量
• 由其他模块定义并被模块引用的全局符号，这些符号称为外部符号，对应于在其他模块中定义的非静态C函数和全局变量
• 只被模块定义和引用的局部符号，其对应于带static属性的C函数和全局变量

​ 其符号表中每个条目包含的内容可用Elf64_Symbol结构体表示：

typedef struct{
	int name; //字符串表中的字节偏移，指向符号的以null结尾的字符串名字
	char type; //表示是函数还是数据
	char binding; //表示是局部还是全局
	char reserved; 
	short section; //表示目标文件中的某个节
	long value; //符号的地址
	long size; //目标的大小
}Elf64_Symbol

​ 每个符号都有所归属的节，Ndx=1表示归属.text节，Ndx=3表示归属.data节，另外还有三个特殊的伪节可以来表示符号的其它属性：ABS代表不该被重定位的符号、UNDEF代表未定义的符号、COMMON表示未初始化的全局变量。在这个例子里，全局符号swap定义的条目，它是一个位于.text节中偏移量为0处的38字节函数，bufp1符号由于是还未进行初始化的全局变量，因此用COM来标明，其它的符号条目的属性均以此类推。