ELF文件头结构

最新推荐文章于 2025-07-22 08:35:46 发布
转载 最新推荐文章于 2025-07-22 08:35:46 发布 · 1.2w 阅读 · 13
文章标签:

#ELF

转自 https://blog.youkuaiyun.com/tangyuesb/article/details/54630787

ELF文件头结构定义在“/usr/include/elf.h”头文件下,ELF文件有32位版本和64位版本,故其头文件结构也有32位结构和64位结构,分别定义为Elf32_Ehdr和Elf64_Ehdr。两种版本文件内容一样,只是有些成员的大小不一样。以下是32位版本的文件头结构Elf32_Ehdr。

typedef struct{
    unsigned char e_ident[EI_NIDENT];
    Elf32_Half e_type;
    Elf32_Half e_machine;
    Elf32_Word e_version;
    Elf32_Addr e_entry;
    Elf32_Off  e_phoff;
    Elf32_Off  e_shoff;
    Elf32_Word e_flags;
    Elf32_Half e_ehsize;
    Elf32_Half e_phentsize;
    Elf32_Half e_phnum;
    Elf32_Half e_shentsize;
    Elf32_Half e_shnum;
    Elf32_Half e_shstrndx;
}Elf32_Ehdr;

readelf -h test.o 可得如下输出:

ELF 头:
  Magic:   7f 45 4c 46 01 01 01 00 00 00 00 00 00 00 00 00 
  类别:                              ELF32
  数据:                              2 补码,小端序 (little endian)
  版本:                              1 (current)
  OS/ABI:                            UNIX - System V
  ABI 版本:                          0
  类型:                              REL (可重定位文件)
  系统架构:                          Intel 80386
  版本:                              0x1
  入口点地址:               0x0
  程序头起点:          0 (bytes into file)
  Start of section headers:          916 (bytes into file)
  标志:             0x0
  本头的大小:       52 (字节)
  程序头大小:       0 (字节)
  Number of program headers:         0
  节头大小:         40 (字节)
  节头数量:         14
  字符串表索引节头: 11
  • 我们将Elf32_Ehdr结构与readelf命令输出的信息对比可得如下对应关系:
成员readelf输出结果
e_identMagic,类别,数据,版本,OS/ABI,ABI
e_type类型
e_machine系统架构
e_version版本
e_entry入口点地址
e_phoffstart of program headers
e_shoffstart of section headers
e_flags标志
e_ehsize文件头的大小
e_phentsize程序头大小
e_phnumnumber of program headers
e_shentsize节头大小
e_shnumnumber of program headers
e_shstrndx字符串表段索引

下面我们依次分析各个部分。

魔数: 
Magic: 7f 45 4c 46 01 01 01 00 00 00 00 00 00 00 00 00 
7f 、45、4c、46分别对应ascii码的Del(删除)、字母E、字母L、字母F。这四个字节被称为ELF文件的魔数,操作系统在加载可执行文件时会确认魔数是否正确,如果不正确则拒绝加载。 
第五个字节标识ELF文件是32位(01)还是64位(02)的。 
第六个字节标识该ELF文件字节序是小端(01)还是大端(02)的。 
第七个字节指示ELF文件的版本号,一般是01。 
后九个字节ELF标准未做定义。一般为00.

文件类型: 
类型: REL (可重定位文件) 
e_type成员标识文件类型,ELF文件有三种类型,如下表所示。

常量标识类型
ET_REL1可重定位文件,一般位.o文件
ET_EXEC2可执行文件
ET_DYN3共享目标文件,一般位.so文件

系统架构: 
系统架构: Intel 80386 
e_machine成员标识系统架构(机器类型),ELF定义了以下多种系统架构。可在“/usr/include/elf.h”头文件中查看,以下是其中的几种

常量标识系统架构
EM_M321AT&T WE 32100
EM_SPARC2SPARC
EM_3863Intel 80386
EM_68K4Motorola m68k family
EM_88K5Motorola m88k family
EM_8606Intel 80860
ELF 文件头结构解析
m0_62599305的博客
04-28 105
ELF 文件头位于 ELF 文件的最前面,它包含了多个字段,描述了整个文件的基本信息。ELF 文件头由固定大小的 52 字节组成,其中存储了 ELF 文件的标识信息、文件类型、架构类型等关键信息。操作系统在加载 ELF 文件时,首先会读取这个文件头,确保文件是合法的 ELF 文件,并且能够被正确加载和执行。
编程读取ELF文件头
bufanq
05-29 7973
一个C语言源程序(.c文件)经过汇编以后生成目标文件(.o文件),目标文件再经过链接生成可执行文件。在linux系统中,目标文件和可执行文件都是ELF格式的,了解ELF文件的结构对于理解程序的编译、链接和装载运行至关重要。ELF文件的格式如下图所示,以文件头ELF Header)开始,后面跟着代码段(.text)、数据段(.data)等。   ELF Header
elf.h文件
07-20
文件,elf文件是一种目标文件格式,用于定义不同类型目标文件以什么样的格式,都放了些什么东西。主要用于linux平台
【2】ELF格式:部+节+节+程序
zitong0705的博客
09-02 1639
系统了解ELF格式及具体细节
ELF文件详解】
qq_36773538的博客
06-09 1024
ELF文件(Executable and Linkable Format)是Linux和Unix系统中的核心二进制格式,用于可执行程序、目标文件、共享库和核心转储文件。文章详细解析了ELF文件的结构,包括ELF文件头、节区表、程序表以及各类节区(如.text、.data、.bss、.rodata等)的功能和属性。通过readelf和objdump工具展示了目标文件与可执行文件的差异,并解释了节(Section)与段(Segment)的映射关系。此外,还介绍了符号表、重定位表和字符串表在链接和调试中的作用
ELF文件格式(中文)
座间翔 -- 天地一沙鸥
06-21 2880
elf文件格式-- 另一文本方式的elf文档 write by breadbox Email:breadbox@muppetlabs.com 译:alert7 from m4in security team http://www.patching.net isearthling 19:45 2001-5-16 译者注: 由于翻译者水平有限(包括技术水平和翻译水平:(),所以 有些地方或许比较难
ELF(二)ELF
ylcangel的专栏
01-11 1447
elf32位为例,64位与其区别只是在于数据类型的区别。 数据结构 typedefstruct {   unsigned char      e_ident[EI_NIDENT];       /* Magic number and other info */   Elf32_Half    e_type;                       /* Object file
ELF文件之ELF 部 (ELF Header)详解
最新发布
YoungLime的博客
07-22 542
ELF 文件的元数据核心,位于文件起始位置(前 64 字节)。它定义了文件的基本属性、目标架构和关键数据结构的位置。以下是使用readelf -h。
ELF文件结构1
08-04
ELF文件的开始部分是一个称为“文件头”的结构,它提供了关于整个文件的基本信息。在示例中,e_phoff(程序表的偏移量)位于0x40064,e_shoff(节表的偏移量)位于0x14E032。这些值指示了程序表和节表在...
Elf文件格式
09-24
ELF文件由一系列称为“节”(sections)和“段”(segments)的结构组成。节是逻辑单元,通常包含代码、数据或者元数据,如符号表、字符串表等。段则是物理映像,将多个相关的节组合在一起,用于加载到内存中执行或...
ELF文件格式分析.pdf
06-24
- 节区部表是ELF文件中的关键部分,它描述了文件中所有节区的组织结构,包括节区的名称、大小、在文件中的位置等信息。 4. 特殊节区 - ELF文件中的节区又分为多种类型,例如.text节包含程序的可执行代码,.data...
ELF格式解读-(1) elf部与节
不会写代码的丝丽
04-20 7459
前言 ELF是linux动态库,可执行文件的格式.具体介绍可参阅wiki Executable and Linkable Format。可以类比到windows下exe的格式。 我们知道程序需要加载内存后才能运行。但是ELF文件加载到内存后布局会变化和原始ELF文件相比,加载器会将相同的节属性(比如只读)合并一个段。所以ELF也就有了两种视图,一种未加载前静态视图,另一种是加载后的动态视图。 我们首先了解静态视图下ELF文件格式如下: 你可以把ELF内容大致分为四个部分: (1) ELF部 (2) 节
ELF文件格式
qq_35467337的博客
03-08 385
ELF格式文件格式
ELF文件格式(一)--ELF文件头
落寞微蓝
12-11 2054
ELF文件格式(一)--ELF文件头 1.ELF文件     ELF文件有三种类型:relocatable file、executable file和shared object file。     relocatable file:可重定位的目标文件,可以和其他目标文件链接成可执行的目标文件或共享目标文件。     executable file:可执行的目标文件,通过exec函数
ELF文件头和段表
b1049112625的博客
01-18 1892
现代x86-64Linux和Unix系统使用可执行可链接格式(Execut- ableand LinkableFormat, ELF),与ELF同类型的文件是windows上的PE文件和MacOS-X上的Mach-O文件本篇文章讲述ELF文件的文件头和段表。
ART世界探险(11) - OAT文件格式分析
lusing的专栏
08-03 2730
既然是要探险,咱们就保持一定的深度,起码将来可以做个基于ART的黑客之类的。 所以我们针对细节多下一些工夫,先仔细分析一下OAT文件的格式。
文件头+elf
altoer的博客
12-30 353
我们之前在加载mbr和loader的时候,是直接用了它们的地址,比如mbr是0x7c00,loader是0x900,这样的缺点是我们必须每次都用这个地址,不能改,需要提前与程序约定调用地址,这样很不方便,那么怎么改呢? 我们只需要在程序文件的某个特定的地方(比如开始处)写入程序开始的地方,然后从这个特定的地方读出程序开始的地址就可以了,这就是文件头的由来。文件头中还有一些其他的信息,比如程序的大小。 这样纯二进制程序就变成了文件头+文件体的形式。 好处是操作系统加载程序的时候,方法可以是通用的。 不好的地方
ELF文件类型 ELF程序 ELF ELF符号
kernweak的博客
09-12 2220
ELF文件类型 首先ELF文件可以被标记为以下几个类型: ET_NONE:未知类型。 ET_REL:重定位文件,类型标记为relocatable意为着该文件被标记为了一段可重定位的代码段,有时也称为目标文件。可重定位目标文件通常是还未被链接到可执行程序的一段位置独立的代码。编译完是.o的格式。 ET_EXEC:可执行文件,类型为executable,表明这个文件被标记为可执行文件。这种类型被...
【静态链接】第2章---------------------目标文件(ELF格式之文件头
u013476840的专栏
03-02 1475
########  该系列博文为书籍《程序员的自我修养》的笔记 ########## 【说明】              前篇文章,我们对目标文件进行了简单的介绍,并利用一个例子让大家对目标文件内部内容有了了解。我们刚才是在linux下做的实验,用的是ELF格式的目标文件,那这个ELF格式到底是怎么定义的呢,它内部到底有什么呢,在这节及后面的文章中,将一步一步剖析ELF格式,了解作
elf 文件结构
03-22
### ELF 文件格式结构详解 ELF(Executable and Linkable Format)文件是一种广泛使用的标准文件格式,主要用于存储可执行文件、库以及目标代码。以下是其主要组成部分及其作用: #### 1. **ELF Header (部)** ELF 部是整个文件的第一个部分,它描述了文件的整体布局和其他重要信息。主要包括以下几个字段: - `e_ident`:用于识别文件是否为有效的 ELF 文件,并提供有关字节顺序的信息[^1]。 - `e_type`:定义文件的类型,例如可执行文件 (`ET_EXEC`) 或共享对象文件 (`ET_DYN`)。 - `e_machine`:指定目标机器架构,如 x86 或 ARM 架构[^4]。 - `e_version`:表示 ELF 的版本号。 - `e_entry`:程序入口地址,在加载到内存后会跳转至此位置运行。 - `e_phoff` 和 `e_shoff`:分别指向程序表和节表的位置。 #### 2. **Program Headers (程序表)** 程序表描述如何将文件中的各个段映射到进程的虚拟地址空间中。对于可执行文件来说,这是非常重要的部分之一。每个条目通常包含以下信息: - 类型 (`p_type`):指明此段的作用,比如 `.text` 段对应的是代码区域。 - 偏移量 (`p_offset`) 及大小 (`p_filesz`, `p_memsz`):表明数据在磁盘上的起始位置及长度。 - 权限标志 (`p_flags`):设置读写权限等属性。 #### 3. **Section Headers (节表)** 虽然不是所有类型的 ELF 文件都需要有节表,但对于调试或者链接阶段而言却是不可或缺的部分。通过这些记录可以找到源码对应的符号表、重定位信息等内容所在的具体地方。每一条记录都包含了名称索引(`sh_name`)、类型(`sh_type`)以及其他参数来进一步细化说明该区段的功能特性等等[^3]。 #### 4. **Sections & Segments** - 节(sections): 主要服务于静态分析工具, 如汇编器/连接器; 它们按逻辑分组原始资料. - 段(segments): 面向动态装载过程设计, 把实际需要载入RAM里的那部分内容组合起来形成连续区块. 此外还有其他辅助性的表格或数组也构成了完整的elf体系框架的一部分, 这些可能涉及但不限于字符串池(string table), 符号表(symbol table) 等等方面. ```python import struct def parse_elf_header(file_path): with open(file_path, 'rb') as f: e_ident = f.read(16) ei_class = e_ident[4] if ei_class != b'\x01' or ei_class != b'\x02': raise ValueError('Not a valid ELF file') # Read more fields... ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值