[Linux] ELF 文件分析

最新推荐文章于 2024-07-28 10:34:51 发布
最新推荐文章于 2024-07-28 10:34:51 发布
阅读量2.9k 收藏 1
点赞数 2
分类专栏: Linux 文章标签: linux gcc elf文件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u010105424/article/details/116093349
版权
本文详细介绍了Linux系统下的ELF文件格式,包括基本概念如类型(如PIC/PIE)、文件结构和常见的section。同时,列举了多种分析工具如readelf、objdump、nm、ldd等的用途,并通过实例分析展示了如何查看文件信息、Section Table、依赖库、rpath以及如何进行反编译。通过对ELF文件的深入理解,有助于解决系统级的问题,如crash分析。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、基本概念

ELF(Executable and Linkable Format)即可执行连接文件格式,是Linux默认的目标文件格式。分析ELF文件有助于理解一些重要的系统概念,例如程序的编译与链接,加载与运行等

类型

1. 可重定向文件:包含代码与数据。链接其他文件生成一个可执行文件或共享库。lib*.a,*.o等
2. 可执行文件:进程镜像,载入内存执行
3. 共享目标文件:与其他共享文件、可重定向文件生成执行文件,或者与执行文件一起载入内存运行。lib*.so

PIC/PIE

  1. 位置无关代码,可以使程序加载内存地址空间任意位置执行
* PIC:position-independent code,用于生成共享库
* PIE:position-independent code for executables,用于生成可执行文件

PIC代码对数据访问使用相对地址[PC+OFFSET],PC随加载地址而改变,OFFSET固定,因此不断程序加载到哪里运行,都能从OFFSET拿到正确的地址和数据
2. 编译option

* 共享库:gcc -share -fPIC test.c -o libtest.so
* 可执行文件:gcc -fPIE -pie test.c -o test

-fPIE -pie前者用于编译时生成位置无关代码,后者用于链接时生成可执行文件

二、文件格式

视图

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-C1qcdkC5-1619250180342)(quiver-image-url/37C17C9BFD093894F94E71985D81B5D8.jpg =371x262)]
组成:ELF header、Program header、Section header、Section
ELF header:文件整体信息,格式、文件类型、运行架构、虚拟入口地址等
Program header:segment载文件中以及加载进内存的位置大小
Section:文件节信息
segment是section的一个集合

常见section

* .init     生成init函数,保存可执行命令,构成进程初始化代码,程序运行时在调用main函数之前执行
* .fini     生成fini函数,保存可执行命令,构成进程终止代码,程序退出时在调用main函数之后执行
* .ctors    保存全局构造函数指针
* .dtors    保存全局析构函数指针
* .text     保存程序运行代码(机器码)
* .data     保存初始化的全局变量和静态变量
* .rodata   保存只读数据段
*
最低0.47元/天 解锁文章
Centos8安装RabbitMQ
weixin_46239878的博客
09-22 285
RabbitMQ安装 一般来说安装 RabbitMQ 之前要安装 Erlang ,可以去Erlang官网下载。接着去RabbitMQ官网下载安装包,之后解压缩即可。 查看linux系统是32位还是64位 file /sbin/init 或者 file /bin/ls 示例: [root@niu lib]# file /bin/ls /bin/ls: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, int
Linux内存管理--系列文章叁——ELF文件分析
优快云_dyq111的博客
03-31 1075
从上述过程可以看出,目标文件是编译后但未进行链接的中间文件。虽然未链接可能导致它和最后的可执行文件在结构上有少许的不同,但目标文件和可执行文件的结构、内容相似。所以目标文件一般采用可执行文件的储存格式。动态链接库和静态链接库也属于目标文件,它们也会按照可执行文件的格式来储存。ELF文件类型说明实例可执行文件(Executable File)可以直接执行的程序,一般没有拓展名/bin/bash共享目标文件(Shared Object File)
【Android 逆向】ELF 文件格式 ( ELF 文件类型 | ELF 文件对应 CPU 架构 | ELF 目标文件版本 | 可执行程序起始地址 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-27 1099
一、ELF 文件类型 ( 动态库文件 )、 二、ELF 文件对应 CPU 架构、 三、ELF 目标文件版本、 四、可执行程序起始地址
linux命令之文件操作(三)
weixin_39995586的博客
01-25 366
A:这个属性主要是用来控制atime的,即访问时间,当这个属性被设置之后,那个时间就不会被修改了,一般来说,这个属性没啥影响,但对于吞吐速度(i/o)较慢的机器,这个还是有用的,可以避免频繁写入磁盘,提高磁盘的访问速度。通常,我们删除文件的时候,并没有真正的把文件删除掉,一旦这个属性配置了,那么文件将会从硬盘完全删除。c:这个属性是用来控制文件压缩的,当这个配置之后,在读取文件时就会自动解压,在存储的时候就会自动压缩,这么做肯定会影响速度,除非你的磁盘空间很小,否则这个一般都不用吧。先看看有哪些隐藏属性。
[笔记二]探究编译与链接之目标文件
Demon的专栏
07-11 906
目标文件目标文件的格式目标文件Linux下面以ELF格式存储,ELF文件标准里面把系统中采用ELF格式的文件归为以下4类: ELF文件类型 说明 实例 可重定位文件(Relocatable File) 这类文件包含了代码和数据,可以被用来链接成可执行文件或共享目标文件,静态链接库也可以归为这一类 Linux的.o文件 可执行文件(Executable File) 这类
CMake 交叉编译示例
程序员「阿基米东」的编程之旅
07-05 2041
本文通过一个简单的示例,演示如何在 CMake 工程中添加交叉编译的配置,实现编译不同硬件平台的可执行文件。所有代码均可在 [getiot/linux-c](https://github.com/getiot/linux-c/tree/main/hello) 仓库找到。
ARM Linux ELF文件分析(全部9份资料)
04-30
ARM Linux ELF文件分析 在嵌入式系统领域,特别是基于ARM架构的设备中,Linux操作系统广泛采用ELF(Executable and Linkable Format)作为其可执行文件格式。ELF是一种标准化的文件格式,用于存储编译后的机器代码...
Linux系统下的ELF文件分析.pdf
09-06
Linux系统下的ELF文件分析 ELF(Executable and Linkable Format)是一种可执行连接文件格式,目前已经成为Linux、SVR4和Solaris2.0默认的目标文件格式。理解ELF文件对理解一些重要的系统概念非常有帮助,例如程序...
Linux系统下的ELF文件分析
08-14
Linux提供了诸如`readelf`、`objdump`和`nm`等工具来帮助分析ELF文件,以获取更多信息,如符号表、重定位信息、调试信息等。 总的来说,理解ELF文件格式对于深入学习Linux系统的工作原理至关重要,它涉及到编译器、...
ELF文件格式分析.pdf
04-21
藤启明
x86和x86-64 ELF二进制文件的反编译器
01-27
x86和x86-64 ELF二进制文件的反编译器-源码
linux下查看so或可执行程序的依赖库
01-10
linux下查看so或可执行程序的依赖库 Linux下可执行程序包括可执行程序exe和so, 两者文件都是ELF打头的。 objdump -x libxxxxx.so | grep NEEDED objdump -x 可执行程序名 | grep NEEDED 或 arm-hisiv300-linux-objdump -x 可执行程序 | grep NEEDED arm-hisiv300-linux-readelf -a 可执行程序 | grep NEEDED linux之如何查看哪些进程在使用某一个so 在我们服务端,我们怎么查看哪些进程在使用某一个so 解决办法 lsof **.s
深入理解计算机系统_可重定位目标文件的格式---elf格式
weixin_43916755的博客
12-31 897
这篇笔记写了符号表的相关信息。
linux内核全局变量重定位,x86-64 Linux中不再允许32位绝对地址?
weixin_42519489的博客
04-30 573
您的发行版使用–enable-default-pie配置gcc,因此它默认情况下使位置无关的可执行文件(允许可执行文件的ASLR以及库).如今,大多数发行版都在这样做.你实际上是在创建一个共享对象:PIE可执行文件是一种使用具有入口点的共享对象的hack.动态链接器已经支持此功能,ASLR非常适合安全性,因此这是为可执行文件实现ASLR的最简单方法.ELF共享对象中不允许32位绝对重定位;这将阻止...
elf文件反编译C语言,如何将ELF可执行文件转换为C代码?生成的C代码不需要是人类可读的...
weixin_39526564的博客
05-18 1979
我有一个ELF文件,我想反编译成C代码,并对生成的C代码进行简单的更改,并将其重建为ELF.反编译的C代码不需要完全是人类可读的.例如,如果变量和函数名称被混淆,那就没关系.我可以使用哪些工具在Linux上完成此操作?PS:如果反编译为C不可能或不容易,我愿意考虑反编译为汇编语言,虽然调整汇编源对我来说非常困难.更新:您可以假设我正在使用以下C程序来获取我的a.out ELF.现在,进一步假设我已...
elf文件反编译C语言,图文并茂,讲透C语言静态链接,ELF文件
weixin_39603132的博客
05-18 2114
gcc生成执行文件过程为:源文件(*.c文件)编译成对象文件(*.o文件);链接程序ld,把对象文件(*.o文件)链接成可执行程序。因此要透彻链接的过程, 需要先了解对象文件(*.o文件)是怎样构成的?下面用个简单的例子来说明:#includeint global_var=5;extern int other_file_var;int main(){ int a=1;int b=a other_f...
linux可执行文件ELF是什么意思
最新发布
weixin_37841024的博客
07-28 548
因此,ELF 64-bit 是一种专为 64 位系统设计的 ELF 文件格式,用于存储针对 64 位系统编译的可执行文件、目标文件或共享库。这种文件格式能够充分利用 64 位系统的特性,包括更大的内存寻址范围和更复杂的数据处理能力。- 这表示这种 ELF 文件格式是针对 64 位系统的。64 位系统支持更大的内存寻址范围和更大的整数计算范围,因此能够处理更复杂的任务和更大的数据量。- ELF 是一种二进制文件格式,用于存储程序的可执行代码、数据、符号表等信息,同时也包含了程序的加载和链接信息。
elf文件反编译C语言,ELF文件解析和反汇编
weixin_39703561的博客
05-18 1729
首先来看一段Unix/Linux下的汇编代码:#PURPOSE: This program finds the maximum number of a# set of data items.##VARIABLES: The registers have the following uses:## %edi - Holds the index of the data item being exami...
ELF文件解析和反汇编
热门推荐
wuxinke_blog的专栏
03-20 2万+
首先来看一段Unix/Linux下的汇编代码: #PURPOSE: This program finds the maximum number of a # set of data items. ##VARIABLES: The registers have the following uses: ## %edi - Holds the index of the data item bei
Linux下的ELF文件病毒感染分析
"这篇文档主要探讨了ELF文件格式及其在Linux环境下的病毒感染分析。作者首先介绍了可执行文件感染的概念,然后重点讲解了ELF文件格式的结构,并通过对比PE文件(Windows系统的可执行文件格式)来阐述病毒感染的原理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值