ELF文件详解

姓名：罗学元    学号：21181214375     学院：广州研究院

【嵌牛导读】什么是ELF文件

【嵌牛鼻子】什么是ELF文件

【嵌牛提问】什么是ELF文件，它有哪些部分组成、每部分包含哪些信息

          ELF文件分为四个部分：elf header，program header table，section header table，dynamic symbol table。其中节头表(section header  table) 和 段头表(program header table) 中用到的数据相同，只是组织方式不同。

一、ELF header

每个ELF文件都必须存在一个ELF_Header,这里存放了很多重要的信息用来描述整个文件的组织,如: 版本信息,入口信息,偏移信息等，程序执行也必须依靠其提供的信息：

数据结构如下：

e_xxx 和上面对应表如下图:

其中数据类型如下：

二、Program header table 程序头表

        存储so文件运行时所需要的信息，这部分信息会直接被linker使用，用于加载so文件，告诉系统如何在内存中创建映像,在图中也可以看出来,有程序头部表才有段,有段就必须有程序头部表，其中存放各个段的基本信息(包括地址指针)

节到段的映射：

    链接视图是以节（section）为单位，执行视图是以段（segment）为单位。链接视图就是在链接时用到的视图，而执行视图则是在执行时用到的视图。上图左侧的视角是从链接来看的，右侧的视角是执行来看的。

段(Segment): 就是将文件分成一段一段映射到内存中，段中通常包括一个或多个节区。

       那么为什么需要节和段两种视图？ 当ELF文件被加载到内存中后，系统会将多个具有相同权限（flg值）section合并一个segment。 *** 作系统往往以页为基本单位来管理内存分配，一般页的大小为4096B，即4KB的大小。同时，内存的权限管理的粒度也是以页为单位，页内的内存是具有同样的权限等属性，并且 *** 作系统对内存的管理往往追求高效和高利用率这样的目标。ELF文件在被映射时，是以系统的页长度为单位的，那么每个section在映射时的长度都是系统页长度的整数倍，如果section的长度不是其整数倍，则导致多余部分也将占用一个页。而我们从上面的例子中知道，一个ELF文件具有很多的section，那么会导致内存浪费严重。这样可以减少页面内部的碎片，节省了空间，显著提高内存利用率。

readelf -S xxx # 用来查看可执行文件中有哪些section，如下图：

readelf --segments xxx # 可以查看该文件的执行视图，下图红框部分为上图的节信息在段中的显示：

    最后加载进内存的只有program header table 程序头表里的load段，其他都只是描述信息，加载过程中用到，但是最后加载进去内存的只有load段。

三、Section header table 节头部表

           类似与程序头部表,但与其相对应的是节区(Section)；节区(Section): 将文件分成一个个节区，每个节区都有其对应的功能，如符号表，哈         希 表 等。

.relname和.relaname: 010Editor打开so，展现形式为下图，.rel.dyn 和 .rel.plt ，是用来重定向dyn和plt的，也就是静态情况下，存放偏移值，如果进行动态调试的时候，就会加上基址变成绝对地址(重定向)。

下面第二张图中，左边红框就是偏移值，右边红框只要把基址加进来，就是绝对地址，把基址加进来的过程就是重定向的过程：

.plt 程序链接表，用于做映射关系，拿到依赖so的绝对地址，做重定向的：

四、Dynamic symbol table

     这里是符号表，也就是会用到的所有函数名称表，包括自己写的函数和依赖的系统so中的函数，到时候.plt会对这部分重定向 。

ELF有多种意思，主要有以下四种：

1、E.L.F，即Ever Lasting Friends，永远的朋友的缩写，中文意思为“妖精”。

2、ELF：一个单词意思是小精灵，矮人。用作人名的时候，男性翻译为埃尔夫 ，女性翻译为爱尔芙。

3、可执行连接格式：是UNIX系统实验室（USL）作为应用程序二进制接口（Application Binary Interface，ABI）而开发的，也是Linux的主要可执行文件格式。

4、物理学词条极低频，英文名为extremely low frequency，指频率由3Hz至30Hz的无线电波。

5、ELF游戏制作公司，即株式会社エルフ（elf），日本一家游戏制作公司，成立于1989年4月27日。

扩展资料：

极低频（Extremely low frequency）是指频率由3Hz至30Hz，波长100,000公里至1,000,000公里的无线电波。而多数给美军及俄罗斯军方用作和潜艇沟通。

ELF无线电波是由地球磁场中的闪电和自然干扰产生的，所以它们是大气科学家研究的课题。由于建造可以辐射如此长的波的天线的困难，ELF频率仅在极少数人造通信系统中使用。ELF波可以穿透海水，这使得它们可以与潜艇进行通信。

美国，俄罗斯和印度是唯一已知建造ELF通信设施的国家。美国的设施在1985年到2004年之间使用，但现在已经退役。

参考链接：百度百科-极低频

前言：在逆向工作流程中，我们会接触到so文件，并且在某种情况下会对so文件进行处理。 在文件的角度而言，so隶属于 ELF 文件。 站在ELF文件角度来分析一下so文件。

ELF 文件大致分为3个主要部分

1、ELF HEAD --ELF文件头部分

2、 Program Header Table --程序头表

3、Section Header Table --节头表

这个部分称为“头”，里面大致描述在这个文件里面的组织。如：文件魔术、目标架构体系（如ARM、X86...）、版本信息、各个部分的大小、各个部分的偏移起始地址等等。

下面描述的位置都是固定的，且位置都是紧接着下一部分的位置。（有误欢迎指出）

这里我用的是IDA的android_server文件做演示，来简单看一部分内容。

文件的标识信息（e_ident）：前16字节 （包括魔术部分：前4字节 如.ELF）

文件类型（e_type ）：2字节

目标架构（e_machine ）：2字节

版本（e_version）：4字节

程序入口虚拟地址（e_entry ）：4字节

程序头部表偏移地址（e_phoff ）：4字节

节区头部表偏移地址（e_shoff ）：4字节

保存与文件相关的，特定于处理器的标志（e_flags ）：4字节

ELF头的大小（e_ehsize ）：2字节

每个程序头部表的大小（e_phentsize ）：2字节

程序头部表的数量（e_phnum ）：2字节

每个节区头部表的大小（e_shentsize）：2字节

节区头部表的数量（e_shnum ）：2字节

节区字符串表位置（e_shstrndx）：2字节

......

程序头表描述的是程序里面各个段的信息。

这里来举例看一下

比如程序头，第一部分， 这个部分描述程序头的信息，比如类型、大小、偏移等等；这个部分描述的就是程序头的信息。

一个程序中到底有多少节信息，取决于这一部分，节头表。

比较经典的，就是这里的导出函数信息。

---