可执行文件:在windows中为PE文件,在linux中为ELF文件
图片.png
图片.png
在linux下使用file命令查看相应的文件格式:
file foobar.o
file /bin/bash
file /lib/ld-2.5.1.so
图片.png
分析:
一般C 语言的编译后执行语句都编译成机器代码,保存在.text段;
已经初始化的全局变量和局部静态变量都保存在.data段;
未初始化的全局变量和局部静态变量放在.bss段。
只读数据段.rodata
注释信息段.comment
堆栈提示段.note.GNU-stack
.plt和.got:动态链接的跳转表和全局入口表
objdump -h 查看目标文件的结构和内容 或readelf
ELF中结构:
图片.png
objdump -s将所有段的内容以十六进制的方式打印出来
objdump -d将所有包含指令的段反汇编
objdump -x将文件内容更详细打印出来
ELF文件结构描述:
readelf -h查看文件头
ELF文件类型:
图片.png
查看ELF段表:
objdump -h 或readelf -S
查看ELF文件的符号表:
objdump -t/readelf
objdump/readelf/nm
如:nm a.o
举例分析各个符号在符号表中状态:
图片.png
第一列Num表示符号表数组的下标,第二列value就是符号值;第三列SIZE为符号大小,第四列和第五列分别为符号类型和绑定信息
,第七列表示该符号所属的段,最后一列是符号名称。
第一个符号永远是个未定义的符号。
特殊符号:
_executable_start:该符号为程序起始地址,不是入口地址,是程序的最开始的地址。
_etext或__etext\etext:代码段结束地址,即代码段最末尾的地址。
_edata或edata:该符号为数据段结束地址,即数据段最末尾的地址。
_end或end:为程序结束地址。
