ELF的三个文件头
每个ELF文件有三个文件头,用来索引信息。
可在此读到PH,SH在文件中的offset。
与load program有关的索引,.o的PH为空。
组成此文件的所有section的索引。
EH
先以32位的.o文件为例。
1. elf.h
/usr/include/elf.h中可以查到三个文件头的组成结构,以及各个值对应的意义。
2. 示例程序
示例:
bar.c
这个.c只有两个变量定义组成。把它编译成bar.o。
对应关系:
1.magic number: 给操作系统和编译器辨别此文件是ELF二进制库。
0x45 0x4C 0x46为ELF三个字母的ASCII码。
2.type: 文件类型:
1 = Relocatable file(.o, .a 可重定位文件,静态库)
2 = Executable file(可执行文件,a.out,exe,运行库)
3 = Shared object file(共享目标文件,.so,动态库)
3.machine: 架构
eg:0x0028=40=ARM, 0x0003=3=Intel_80386
4.version: ELF 版本,目前均为1
5.entry: 程序的入口地址(虚拟地址),.o文件没有入口,故为0。
可执行文件应该为_start的虚拟地址。
6.PH相关: phoff: H在文件中的offset
phentsize: PH的每个entry有多大,Byte
phnum: PH有多少项entry
7.SH相关: shoff: SH在文件中的offset
shentsize: SH的每个entry有多大
shnum: SH有多少项entry
shstrndx: SH中String Table Section排第几项。
8.flags: ABI版本
9.ehsize: ELF Header的大小:0x0034=52(B),EH大小为固定值52B。
原文:https://www.cnblogs.com/altc/p/8989493.html