UNIX/LINUX 平台可执行文件格式分析
本文讨论了 UNIX/LINUX 平台下三种主要的可执行文件格式: a.out(assembler and link
editor output 汇编器和链接编辑器的输出)、COFF(Common Object File Format 通用对象
文件格式)、ELF(Executable and Linking Format 可执行和链接格式)。首先是对可执行
文件格式的一个综述,并通过描述 ELF 文件加载过程以揭示可执行文件内容与加载运行操
作之间的关系。随后依此讨论了此三种文件格式,并着重讨论 ELF 文件的动态连接机制,
其间也穿插了对各种文件格式优缺点的评价。最后对三种可执行文件格式有一个简单总结
并提出作者对可文件格式评价的一些感想。
可执行文件格式综述
相对于其它文件类型,可执行文件可能是一个操作系统中最重要的文件类型,因为它们是
完成操作的真正执行者。可执行文件的大小、运行速度、资源占用情况以及可扩展性、可
移植性等与文件格式的定义和文件加载过程紧密相关。研究可执行文件的格式对编写高性
能程序和一些黑客技术的运用都是非常有意义的。
不管何种可执行文件格式,一些基本的要素是必须的,显而易见的,文件中应包含代码和
数据。因为文件可能引用外部文件定义的符号(变量和函数),因此重定位信息和符号信
息也是需要的。一些辅助信息是可选的,如调试信息、硬件信息等。基本上任意一种可执
行文件格式都是按区间保存上述信息,称为段(Segment)或节(Section)。不同的文件格
式中段和节的含义可能有细微区别,但根据上下文关系可以很清楚的理解,这不是关键问
题。最后,可执行文件通常都有一个文件头部以描述本文件的总体结构。
相对可执行文件有三个重要的概念:编译( compile)、连接( link,也可称为链接、联
接)、加载(load)。源程序文件被编译成目标文件,多个目标文件被连接成一个最终的
可执行文件,可执行文件被加载到内存中运行。因为本文重点是讨论可执行文件格式,因
此加载过程也相对重点讨论。下面是 LINUX 平台下 ELF 文件加载过程的一个简单描述。
1:内核首先读 ELF 文件的头部,然后根据头部的数据指示分别读入各种数据结构,找到
标记为可加载(loadable)的段,并调用函数 mmap()把段内容加载到内存中。在加载之前,
内核把段的标记直接传递给 mmap(),段的标记指示该段在内存中是否可读、可写,可执行。
显然,文本段是只读可执行,而数据段是可读可写。这种方式是利用了现代操作系统和处
理器对内存的保护功能。著名的 Shellcode( 参考资料 17 )的编写技巧则是突破此保护功
能的一个实际例子。
2:内核分析出 ELF 文件标记为 PT_INTERP 的段中所对应的动态连接器名称,并加载动态
连接器。现代 LINUX 系统的动态连接器通常是 /lib/ld-linux.so.2,相关细节在后面有详细描
述。
3:内核在新进程的堆栈中设置一些标记-值对,以指示动态连接器的相关操作。
4:内核把控制传递给动态连接器。
5:动态连接器检查程序对外部文件(共享库)的依赖性,并在需要时对其进行加载。
6:动态连接器对程序的外部引用进行重定位,通俗的讲,就是告诉程序其引用的外部变量
/函数的地址,此地址位于共享库被加载在内存的区间内。动态连接还有一个延迟(Lazy)
定位的特性,即只在"真正"需要引用符号时才重定位,这对提高程序运行效率有极大帮助。
7:动态连接器执行在 ELF 文件中标记为 .init 的节的代码,进行程序运行的初始化。在早
期系统中,初始化代码对应函数 _init(void)(函数名强制固定),在现代系统中,则对应形式