目录
- 什么是ELF
- ELF文件类型
- ELF组成
- ELF header
什么是ELF
ELF根据它的英文名称Executable and Linkable Format又叫做可执行与可链接格式,因此,ELF其实是一种Linux下的文件格式。
ELF文件类型
①可重定位文件(Relocatable File)
②可执行文件(Executable File)
③共享目标文件(Shared Object File)
我们分别来看下这三种文件:
ELF组成
ELF文件由4部分组成,分别是ELF头(ELF header)、程序头表(Program header table)、节(Section)或段(Segment)和节头表(Section header table)。
- —ELF header:用来描述整个文件的组织;
- —Program header table:描述文件中的各种segments;
- —Section/Segment:Section是从链接角度描述ELF,Segment是从执行角度描述ELF;
- —Section header table:包含了文件节区的信息,如大小,偏移
我们先来看一下Program header table和Section header table联系:
要知道这两个表的联系我就得先知道ELF文件格式提供了两种视图:分别是链接视图和执行视图
为什么需要两种视图?
当ELF文件被加载到内存后,系统会将多个具有相同权限的section合并成一个segment。操作系统通常是以页为基本单位来管理内存分配,一般页的大小为4KB。同时,内存的权限管理粒度也是以页为单位,页内的内存是具有同样的权限属性。ELF文件被映射时,是以系统的页长度为单位,每个section在映射时的长度都是系统页长度的整数倍,若section的长度不是其整数倍,则多余部分会占一个页,然而一个ELF文件具有多个section,会导致内存浪费严重,而将多个section合并后会以段为基准,减少了页面内部碎片,节省里空间,提高了内存利用率。
ELF header
ELF文件头位于ELF文件的起始位置,它包含整个文件的静态信息,可以通过readelf命令进行查看,ELF文件头结构以及相关参数定义在/usr/include/elf.h中,分为32位和64位两种版本,分别为Elf32_Ehdr和Elf_64_Ehdr,它们绝大多数内容都是一样的。
typedef struct {
Elf32_Half e_type; //Elf文件类型
Elf32_Half e_machine; //ELF文件的CPU平台属性
Elf32_Word e_version; //ELF版本信息
Elf32_Addr e_entry; //入口地址
Elf32_Off e_phoff; //程序头表的文件偏移(以字节为单位)。如果文件没有程序头表,则此成员值为零。
Elf32_Off e_shoff; //节头表的文件偏移(以字节为单位)。如果文件没有节头表,则此成员值为零。
Elf32_Word e_flags; //与文件关联的特定于处理器的标志。标志名称采用 EF_machine_flag 形式。
Elf32_Half e_ehsize; //ELF 头的大小(以字节为单位)
Elf32_Half e_phentsize; //文件的程序头表中某一项的大小(以字节为单位)。所有项的大小都相同
Elf32_Half e_phnum; //程序头表中的项数。
Elf32_Half e_shentsize; //节头的大小(以字节为单位)。节头是节头表中的一项。所有项的大小都相同
Elf32_Half e_shnum; //节头表中的项数
Elf32_Half e_shstrndx; //与节名称字符串表关联的项的节头表索引。
} Elf32_Ehdr;我们可以使用readelf命令查看ELF header:
使用readelf -l hello查看program header和section header的信息:
