readelf工具有哪些主要功能

最新推荐文章于 2025-08-30 14:45:30 发布
原创 最新推荐文章于 2025-08-30 14:45:30 发布 · 867 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#c语言

readelf 是 Linux/Unix 下用于分析 ELF(Executable and Linkable Format) 文件的强大工具,可以查看 ELF 文件的头部信息、节(Sections)、段(Segments)、符号表(Symbol Table)、动态链接信息等。以下是 readelf 的主要功能及常用选项详解:

1. 基本语法

readelf [选项] <ELF文件>

[host]$ readelf
Usage: readelf <option(s)> elf-file(s)
Display information about the contents of ELF format files

2. 主要功能及常用选项

(1)查看 ELF 文件头信息(ELF Header)

  • -h / --file-header
    显示 ELF 文件头信息,包括:
    • Magic Number7f 45 4c 46 标识 ELF 格式)
    • 文件类型(可执行文件、共享库、目标文件等)
    • 机器架构(如 x86-64ARM
    • 入口地址(Entry Point)
    • 节头表(Section Headers)和程序头表(Program Headers)的位置。

示例

base_demo]$ readelf -h a.out
ELF Header:
  Magic:   7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00
  Class:                             ELF64
  Data:                              2's complement, little endian
  Version:                           1 (current)
  OS/ABI:                            UNIX - System V
  ABI Version:                       0
  Type:                              EXEC (Executable file)
  Machine:                           Advanced Micro Devices X86-64
  Version:                           0x1
  Entry point address:               0x4005a0
  Start of program headers:          64 (bytes into file)
  Start of section headers:          16416 (bytes into file)
  Flags:                             0x0
  Size of this header:               64 (bytes)
  Size of program headers:           56 (bytes)
  Number of program headers:         9
  Size of section headers:           64 (bytes)
  Number of section headers:         30
  Section header string table index: 29

(2)查看程序头表(Program Headers)

  • -l / --program-headers / --segments
    显示 段(Segments) 信息,用于指导操作系统如何加载程序(仅对可执行文件或共享库有效)。
    关键段:
    • PT_LOAD(需加载到内存的段,如代码段 .text 和数据段 .data
    • PT_INTERP(动态链接器路径,如 /lib64/ld-linux-x86-64.so.2
    • PT_DYNAMIC(动态链接信息)。

示例

[base_demo]$ readelf -l a.out

Elf file type is EXEC (Executable file)
Entry point 0x4005a0
There are 9 program headers, starting at offset 64

Program Headers:
  Type           Offset             VirtAddr           PhysAddr
                 FileSiz            MemSiz              Flags  Align
  PHDR           0x0000000000000040 0x0000000000400040 0x0000000000400040
                 0x00000000000001f8 0x00000000000001f8  R      0x8
  INTERP         0x0000000000000238 0x0000000000400238 0x0000000000400238
                 0x000000000000001c 0x000000000000001c  R      0x1
      [Requesting program interpreter: /lib64/ld-linux-x86-64.so.2]
  LOAD           0x0000000000000000 0x0000000000400000 0x0000000000400000
                 0x0000000000000bb8 0x0000000000000bb8  R E    0x200000
  LOAD           0x0000000000000e00 0x0000000000600e00 0x0000000000600e00
                 0x000000000000023c 0x0000000000000240  RW     0x200000
  DYNAMIC        0x0000000000000e10 0x0000000000600e10 0x0000000000600e10
                 0x00000000000001d0 0x00000000000001d0  RW     0x8
  NOTE           0x0000000000000254 0x0000000000400254 0x0000000000400254
                 0x0000000000000044 0x0000000000000044  R      0x4
  GNU_EH_FRAME   0x0000000000000a38 0x0000000000400a38 0x0000000000400a38
                 0x000000000000004c 0x000000000000004c  R      0x4
  GNU_STACK      0x0000000000000000 0x0000000000000000 0x0000000000000000
                 0x0000000000000000 0x0000000000000000  RW     0x10
  GNU_RELRO      0x0000000000000e00 0x0000000000600e00 0x0000000000600e00
                 0x0000000000000200 0x0000000000000200  R      0x1

 Section to Segment mapping:
  Segment Sections...
   00
   01     .interp
   02     .interp .note.ABI-tag .note.gnu.build-id .gnu.hash .dynsym .dynstr .gnu.version .gnu.version_r .rela.dyn .rela.plt .init .plt .text .fini .rodata .eh_frame_hdr .eh_frame
   03     .init_array .fini_array .dynamic .got .got.plt .data .bss
   04     .dynamic
   05     .note.ABI-tag .note.gnu.build-id
   06     .eh_frame_hdr
   07
   08     .init_array .fini_array .dynamic .got

(3)查看节头表(Section Headers)

  • -S / --section-headers / --sections
    显示 节(Sections) 信息,用于链接和调试。
    常见节:
    • .text(代码)
    • .data(已初始化数据)
    • .bss(未初始化数据)
    • .rodata(只读数据)
    • .symtab(符号表)
    • .strtab(字符串表)
    • .dynamic(动态链接信息)。

示例:(S 为 大写)

[base_demo]$ readelf -S a.out
There are 30 section headers, starting at offset 0x4020:

Section Headers:
  [Nr] Name              Type             Address           Offset
       Size              EntSize          Flags  Link  Info  Align
  [ 0]                   NULL             0000000000000000  00000000
       0000000000000000  0000000000000000           0     0     0
  [ 1] .interp           PROGBITS         0000000000400238  00000238
       000000000000001c  0000000000000000   A       0     0     1
  [ 2] .note.ABI-tag     NOTE             0000000000400254  00000254
       0000000000000020  0000000000000000   A       0     0     4
  [ 3] .note.gnu.build-i NOTE             0000000000400274  00000274
       0000000000000024  0000000000000000   A       0     0     4
  [ 4] .gnu.hash         GNU_HASH         0000000000400298  00000298
       000000000000001c  0000000000000000   A       5     0     8
  [ 5] .dynsym           DYNSYM           00000000004002b8  000002b8
       00000000000000d8  0000000000000018   A       6     1     8
  [ 6] .dynstr           STRTAB           0000000000400390  00000390
       0000000000000093  0000000000000000   A       0     0     1
  [ 7] .gnu.version      VERSYM           0000000000400424  00000424
       0000000000000012  0000000000000002   A       5     0     2
  [ 8] .gnu.version_r    VERNEED          0000000000400438  00000438
       0000000000000030  0000000000000000   A       6     1     8
  [ 9] .rela.dyn         RELA             0000000000400468  00000468
       0000000000000060  0000000000000018   A       5     0     8
  [10] .rela.plt         RELA             00000000004004c8  000004c8
       0000000000000060  0000000000000018  AI       5    22     8
  [11] .init             PROGBITS         0000000000400528  00000528
       000000000000001b  0000000000000000  AX       0     0     4
  [12] .plt              PROGBITS         0000000000400550  00000550
       0000000000000050  0000000000000010  AX       0     0     16
  [13] .text             PROGBITS         00000000004005a0  000005a0
       0000000000000405  0000000000000000  AX       0     0     16
  [14] .fini             PROGBITS         00000000004009a8  000009a8
       000000000000000d  0000000000000000  AX       0     0     4
  [15] .rodata           PROGBITS         00000000004009b8  000009b8
       0000000000000080  0000000000000000   A       0     0     8
  [16] .eh_frame_hdr     PROGBITS         0000000000400a38  00000a38
       000000000000004c  0000000000000000   A       0     0     4
  [17] .eh_frame         PROGBITS         0000000000400a88  00000a88
       0000000000000130  0000000000000000   A       0     0     8
  [18] .init_array       INIT_ARRAY       0000000000600e00  00000e00
       0000000000000008  0000000000000008  WA       0     0     8
  [19] .fini_array       FINI_ARRAY       0000000000600e08  00000e08
       0000000000000008  0000000000000008  WA       0     0     8
  [20] .dynamic          DYNAMIC          0000000000600e10  00000e10
       00000000000001d0  0000000000000010  WA       6     0     8
  [21] .got              PROGBITS         0000000000600fe0  00000fe0
       0000000000000020  0000000000000008  WA       0     0     8
  [22] .got.plt          PROGBITS         0000000000601000  00001000
       0000000000000038  0000000000000008  WA       0     0     8
  [23] .data             PROGBITS         0000000000601038  00001038
       0000000000000004  0000000000000000  WA       0     0     1
  [24] .bss              NOBITS           000000000060103c  0000103c
       0000000000000004  0000000000000000  WA       0     0     1
  [25] .comment          PROGBITS         0000000000000000  0000103c
       000000000000002d  0000000000000001  MS       0     0     1
  [26] .gnu.build.attrib NOTE             0000000000a01040  0000106c
       0000000000001df4  0000000000000000           0     0     4
  [27] .symtab           SYMTAB           0000000000000000  00002e60
       0000000000000a08  0000000000000018          28    82     8
  [28] .strtab           STRTAB           0000000000000000  00003868
       0000000000000698  0000000000000000           0     0     1
  [29] .shstrtab         STRTAB           0000000000000000  00003f00
       0000000000000119  0000000000000000           0     0     1
Key to Flags:
  W (write), A (alloc), X (execute), M (merge), S (strings), I (info),
  L (link order), O (extra OS processing required), G (group), T (TLS),
  C (compressed), x (unknown), o (OS specific), E (exclude),
  l (large), p (processor specific)

(4)查看符号表(Symbol Table)

  • -s / --syms / --symbols
    显示符号表,包括函数、变量名及其地址。
    • 用于分析可执行文件或库的导出/导入符号。
    • 结合 grep 可快速查找特定符号。

示例(查找 main 函数):

[base_demo]$ readelf -s a.out |grep main
     5: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND __libc_start_main@GLIBC_2.2.5 (2)
    90: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND __libc_start_main@@GLIBC_
   103: 000000000040075b   459 FUNC    GLOBAL DEFAULT   13 main

(5)查看动态链接信息

  • -d / --dynamic
    显示动态节(.dynamic)内容,包括:
    • 依赖的共享库(NEEDED
    • 符号表(SYMTAB
    • 重定位信息(REL/RELA
    • 动态链接器路径(INTERP)。

示例(查看依赖的库):

[base_demo]$ readelf -d a.out |grep NEEDED
 0x0000000000000001 (NEEDED)

(6)查看重定位信息

  • -r / --relocs
    显示重定位条目,用于分析地址修正(如动态链接时的符号解析)。

示例

[base_demo]$ readelf -r a.out

Relocation section '.rela.dyn' at offset 0x468 contains 4 entries:
  Offset          Info           Type           Sym. Value    Sym. Name + Addend
000000600fe0  000100000006 R_X86_64_GLOB_DAT 0000000000000000 _ITM_deregisterTMClone + 0
000000600fe8  000500000006 R_X86_64_GLOB_DAT 0000000000000000 __libc_start_main@GLIBC_2.2.5 + 0
000000600ff0  000600000006 R_X86_64_GLOB_DAT 0000000000000000 __gmon_start__ + 0
000000600ff8  000800000006 R_X86_64_GLOB_DAT 0000000000000000 _ITM_registerTMCloneTa + 0

Relocation section '.rela.plt' at offset 0x4c8 contains 4 entries:
  Offset          Info           Type           Sym. Value    Sym. Name + Addend
000000601018  000200000007 R_X86_64_JUMP_SLO 0000000000000000 puts@GLIBC_2.2.5 + 0
000000601020  000300000007 R_X86_64_JUMP_SLO 0000000000000000 strlen@GLIBC_2.2.5 + 0
000000601028  000400000007 R_X86_64_JUMP_SLO 0000000000000000 printf@GLIBC_2.2.5 + 0
000000601030  000700000007 R_X86_64_JUMP_SLO 0000000000000000 memcpy@GLIBC_2.14 + 0

(7)查看节内容(Hex 或字符串)

  • -x <节名> / --hex-dump=<节名>
    以十六进制格式显示指定节的内容。
  • -p <节名> / --string-dump=<节名>
    以字符串格式显示指定节的内容(如 .rodata 中的常量字符串)。

示例(查看 .rodata 节):

readelf -x .rodata a.out

[base_demo]$ readelf -x .rodata a.out

Hex dump of section '.rodata':
  0x004009b8 01000200 00000000 00000000 00000000 ................
  0x004009c8 66697273 74206c65 6e3a2564 2c207365 first len:%d, se
  0x004009d8 636f6e64 206c656e 3a25640a 00706572 cond len:%d..per
  0x004009e8 736f6e20 696e666f 3a000000 00000000 son info:.......
  0x004009f8 09666972 73745f6e 616d653a 25732c20 .first_name:%s,
  0x00400a08 7365636f 6e645f6e 616d653a 25732c20 second_name:%s,
  0x00400a18 6167653a 25640a00 6d610078 69616f00 age:%d..ma.xiao.
  0x00400a28 7869616e 7368656e 67007a68 6f6e6700 xiansheng.zhong.

(8)查看版本信息

  • -V / --version-info
    显示版本控制信息(如符号版本)。
[base_demo]$ readelf -V a.out

Version symbols section '.gnu.version' contains 9 entries:
 Addr: 0000000000400424  Offset: 0x000424  Link: 5 (.dynsym)
  000:   0 (*local*)       1 (*global*)      2 (GLIBC_2.2.5)   2 (GLIBC_2.2.5)
  004:   2 (GLIBC_2.2.5)   2 (GLIBC_2.2.5)   1 (*global*)      3 (GLIBC_2.14)
  008:   1 (*global*)

Version needs section '.gnu.version_r' contains 1 entry:
 Addr: 0x0000000000400438  Offset: 0x000438  Link: 6 (.dynstr)
  000000: Version: 1  File: libc.so.6  Cnt: 2
  0x0010:   Name: GLIBC_2.14  Flags: none  Version: 3
  0x0020:   Name: GLIBC_2.2.5  Flags: none  Version: 2

(9)查看所有信息(调试用)

  • -a / --all
    显示 ELF 文件的 全部信息(等效于组合使用 -h-l-S-s 等)。

示例

readelf -a a.out

3. 常见用途示例

(1)判断文件是否为 ELF 格式

readelf -h file.bin | grep "Magic"

如果输出包含 7f 45 4c 46,则是 ELF 文件。

[base_demo]$ readelf -a a.out |grep "Magic"
  Magic:   7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00

(2)分析可执行文件的依赖库

readelf -d /usr/bin/ls | grep NEEDED

 0x0000000000000001 (NEEDED)             Shared library: [libc.so.6]

(3)查找未定义的符号(用于链接错误排查)

readelf -s libfoo.so | grep UND

UND 表示未定义的符号(需在运行时动态解析)。

(4)对比两个 ELF 文件的差异

diff <(readelf -a file1) <(readelf -a file2)

4. 与其他工具对比

工具

主要用途

特点

readelf

直接解析 ELF 结构

不依赖 BFD 库,适合低级分析

objdump

反汇编、查看节内容

依赖 BFD 库,支持更多文件格式

nm

查看符号表(简单场景)

仅显示符号名和类型

ldd

查看动态库依赖

仅用于可执行文件/共享库

5. 总结

readelf 是分析 ELF 文件的 瑞士军刀,常用功能包括:

  • 查看文件头(-h
  • 查看段(-l)和节(-S
  • 查看符号表(-s
  • 分析动态链接(-d
  • 导出节内容(-x/-p

适合 逆向工程、链接问题调试、二进制安全分析 等场景。

readelf指令使用
fuhanga123的博客
02-01 2679
readelf命令,一般用于查看ELF格式的文件信息,常见的文件如在Linux上的可执行文件,动态库(*.so)或者静态库(*.a) 等包含ELF格式的文件。
readelf命令指南
小小菜鸟的博客
04-07 1189
`readelf` 是 Linux 系统中用于分析 ELF(Executable and Linkable Format)格式文件(如可执行文件、目标文件、共享库等)的强大工具。它可以显示 ELF 文件的各种信息,例如头部信息、节区(section)、符号表、动态链接信息等。
交叉编译链安装及工具集(gcc、readelf、objdump、objcopy和strip等)使用方法
sinat_32152141的博客
07-03 8758
主要解决编译链程序和目标程序运行环境不同的问题,如在x86环境上使用编译工具进行编译汇编链接,而生成的程序需要运行在ARM开发板上。
readelf工具
04-03
eadelf是Linux下的分析ELF文件的命令,这个命令在分析ELF文件格式时非常有用
阅读ELF文件的工具——readelf
实践求真知
05-11 1986
一点睛 readelf命令用来显示一个elf格式的目标文件信息,可以通过它的选项来控制显示哪些信息。 二readelf选项含义说明 选项 描述 -a –all 显示全部信息,等价于 -h -l -S -s -r -d -V -A -I. -h –file-header ...
精选资源
readelf.zip
05-13
使用C语言代码实现 readelf 工具的基本功能。程序使用 cmake 进行构建和编译。环境使用linux环境。使用方式如下: $ cd readelf/ $ mkdir build $ cd build $ cmake .. $ cmake build . 编译完成后,就可以使用: ...
Linux环境下使用C语言实现readelf工具功能
3. C语言代码实现工具功能 C语言是一种广泛使用的编程语言,适合编写系统级软件。通过C语言,开发者可以使用指针、内存操作等底层特性,对文件进行读取和分析。在实现类似readelf这样的工具时,可以深入ELF文件的每...
Windows下ELF工具集合:readelf及nm功能介绍
本篇文章将详细介绍Windows系统下nm和readelf工具功能和使用方法。 ### 1. Readelf工具 Readelf是一个用来显示ELF格式文件内容的工具,其在Linux下的使用十分广泛,但在Windows平台的支持相对较新。Readelf能够...
GCC详解-Binutils工具readelf
07-24 1321
1、介绍 readelf从ELF 格式的目标文件显示信息。 readelf和objdump提供的功能类似,但是它显示的信息更为具体,并且它不依赖BFD库(BFD库是一个GNU项目,它的目标就是希望通过一种统一的接口来处理不同的目标文件) 2、ELF格式的文件 ELF(Executable and Linking Format)是一个定义了目标文件内部信息如何组成和组织的文件格式。内核会根据这些信息加载可执行文件,内核根据这些信息可以知道从文件哪里获取代码,从哪里获取初始化数据,在哪里应该加载共享库,
windows ELF工具集合
08-27
在Windows操作系统中,ELF(Executable and Linkable Format)通常与Linux和其他类UNIX系统关联,但随着跨平台工具的发展,现在也有工具集可供Windows用户分析和处理ELF文件。"windows ELF工具集合"是一个专为...
ELF 文件分析的利器:深入了解 readelf 工具
Java_fenxiang的博客
10-26 1060
readelf 是一个用于查看 ELF(Executable and Linkable Format)文件格式内容的命令行工具,通常用于分析二进制可执行文件、共享库和目标文件。这个工具对于开发人员和系统管理员来说非常有用,尤其是在调试和分析程序时。以下是一些关于 readelf 的重要信息:基本功能查看头信息:使用 rea...
【Linux之·readelf工具·二进制程序处理工具
m0_66203017的博客
06-05 1475
在现代软件开发中,了解和理解可执行文件和共享库的结构变得越来越重要。而readelf工具正是一个强大的工具,它能够帮助开发人员深入了解和分析可执行文件和共享库的结构和内容。通过readelf工具,我们可以获取有关文件的一些重要信息,如符号表、节区、动态链接等等。我们将从基础知识开始,介绍readelf工具的原理和功能。从而使读者能够更好地理解和分析可执行文件和共享库。无论是在调试、优化代码性能还是进行漏洞分析,掌握readelf工具都将为我们提供强大的工具和洞察力。
Linux—使用readelf工具查看程序代码变量的内存空间布局情况
TinyHorse的博客
08-18 5094
内存空间布局
【linux命令讲解大全】054.readelf:展示ELF格式文件信息的工具
全栈若城,专注知识分享
09-04 670
本文介绍了使用readelf命令显示ELF格式文件信息的功能readelf命令可以显示可重定位文件、可执行文件和共享目标文件的不同部分,包括文件头信息、程序头信息、节头信息、符号表信息等。文章还介绍了readelf命令的常用选项和示例用法。
elf 分析工具 readelf/nm/objdump
我的博客
06-14 544
elf 分析工具 readelf/nm/objdump
嵌入式linux常用工具--readelf
gqd0757的博客
07-02 691
命令,用户可以深入分析 ELF 文件的结构和内容,了解二进制文件在内存中的布局以及与其他模块之间的关系,有助于调试、优化程序,甚至逆向工程。命令可以查看二进制文件的节目录(Section Headers),包括每个节的名称、偏移信息、大小等。命令可以查看二进制文件的符号表信息,列出所有符号,包括函数、变量等,并显示它们在文件中的位置。命令查看二进制文件的 ELF 头部信息,包括文件类型、入口地址、节头表偏移等信息。命令可以查看二进制文件的动态链接信息,包括依赖的共享库、初始化函数等。
Linux命令:readelf
深度安全实验室
04-06 807
Linux命令:readelf
readelf】查看ELF格式文件工具readelf)的使用
tecoes的博客
10-31 727
从贝尔实验室诞生的第一个Unix系统使用的是a.out格式(直到今天,直到文件仍然称为a.out文件)。readelf是Linux下的分析ELF文件的命令,这个命令在分析ELF文件格式时非常有用。常见的文件如在Linux上的可执行文件,动态库(*.so)或者静态库(*.a) 等包含ELF格式的文件。ELF格式的文件在Linux系统下有.axf,.bin,.elf,.o,.prx,.puff,.ko,.mod和.so等等。系统里的目标文件是按照特定的目标文件格式来组织的,各个系统的目标文件格式都不相同。
《小白也能学会的“程序X光机”:readelf工具详解》
最新发布
fearhacker的专栏
08-30 749
摘要:readelf是Linux下分析ELF格式程序的利器,能查看文件头、节信息、动态段等关键数据。它适用于开发者调试、安全人员评估程序防护、运维排查依赖问题等场景。通过-h、-S、-l等参数可快速获取程序架构、入口点、安全设置等信息。但需注意其静态分析的局限性,无法检测运行时行为或被篡改的恶意代码,需配合动态分析工具使用。该工具仅用于合法用途的安全研究,禁止用于非法渗透测试。掌握readelf可提升二进制程序分析能力,是技术人员的重要基本功。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值