ELF文件的基址

Question

ELF文件的基址

8

我正在尝试查找ELF文件的基地址。我知道您可以使用readelf查找程序入口点和不同部分的详细信息（基址、大小、标志等）。

例如，x86架构的程序由链接器基于0x8048000。使用readelf可以看到程序入口点，但输出中没有特定字段指示基地址。

$ readelf -e test
ELF Header:
  Magic:   7f 45 4c 46 01 01 01 00 00 00 00 00 00 00 00 00 
  Class:                             ELF32
  Data:                              2's complement, little endian
  Version:                           1 (current)
  OS/ABI:                            UNIX - System V
  ABI Version:                       0
  Type:                              EXEC (Executable file)
  Machine:                           Intel 80386
  Version:                           0x1
  Entry point address:               0x8048390
  Start of program headers:          52 (bytes into file)
  Start of section headers:          4436 (bytes into file)
  Flags:                             0x0
  Size of this header:               52 (bytes)
  Size of program headers:           32 (bytes)
  Number of program headers:         9
  Size of section headers:           40 (bytes)
  Number of section headers:         30

Section Headers:
  [Nr] Name              Type            Addr     Off    Size   ES Flg Lk Inf Al
  [ 0]                   NULL            00000000 000000 000000 00      0   0  0
  [ 1] .interp           PROGBITS        08048154 000154 000013 00   A  0   0  1
  [ 2] .note.ABI-tag     NOTE            08048168 000168 000020 00   A  0   0  4
  [ 3] .note.gnu.build-i NOTE            08048188 000188 000024 00   A  0   0  4
  [ 4] .gnu.hash         GNU_HASH        080481ac 0001ac 000024 04   A  5   0  4
  [ 5] .dynsym           DYNSYM          080481d0 0001d0 000070 10   A  6   1  4

在部分细节中，我可以看到偏移量是相对于ELF的基地址计算的。

因此，.dynsym部分从地址0x080481d0开始，偏移量为0x1d0。这意味着基地址为0x08048000。这是否正确？

同样地，对于在不同架构（如PPC、ARM、MIPS）上编译的程序，我无法看到它们的基地址，只能看到OEP、Section Headers。

- Neon Flash

可能是为什么Linux/GNU链接器选择地址0x400000？的重复问题。 - andrewrk

3个回答

5

< p > < em > .text 部分的 ELF 映射基地址由 Linux 上 binutils 项目中的脚本模板 elf.sc 中的 < strong > ld(1) 加载器脚本定义。

该脚本定义了加载器 ld(1) 使用的以下变量：

#       TEXT_START_ADDR - the first byte of the text segment, after any
#               headers.
#       TEXT_BASE_ADDRESS - the first byte of the text segment.
#       TEXT_START_SYMBOLS - symbols that appear at the start of the
#               .text section.

您可以使用以下命令检查当前值：

~$ ld --verbose |grep SEGMENT_START
  PROVIDE (__executable_start = SEGMENT_START("text-segment", 0x400000)); . = SEGMENT_START("text-segment", 0x400000) + SIZEOF_HEADERS;
  . = SEGMENT_START("ldata-segment", .);

文本段映射值为:

32位上的0x08048000
64位上的0x400000

此外，ELF程序的解释器基地址在辅助向量数组中定义，索引为AT_BASE。辅助向量数组是Elf_auxv_t结构的数组，位于进程堆栈中envp之后。它在Linux内核fs/binfmt_elf.c的函数create_elf_tables()中加载ELF二进制文件时进行配置。以下代码片段显示如何读取该值：

$ cat at_base.c
#include <stdio.h>                                                              
#include <elf.h>                                                                

int                                                                             
main(int argc, char* argv[], char* envp[])                                      
{                                                                               
        Elf64_auxv_t *auxp;                                                      
        while(*envp++ != NULL);                                                 

        for (auxp = (Elf64_auxv_t *)envp; auxp->a_type != 0; auxp++) {
            if (auxp->a_type == 7) {
                printf("AT_BASE: 0x%lx\n", auxp->a_un.a_val);
            }
        }

}
$ clang -o at_base at_base.c
$ ./at_base
AT_BASE: 0x7fcfd4025000

Linux辅助向量定义辅助向量参考

在x86 32位架构中，它曾经是一个固定地址，但现在由于ASLR，它已经被随机化了。如果你想要禁用随机化，可以使用setarch i386 -R。

- sbz

2

这是在链接脚本中定义的。您可以使用ld --verbose命令转储默认的链接脚本。以下是示例输出：

GNU ld (GNU Binutils) 2.23.1
  Supported emulations:
   elf_x86_64
   elf32_x86_64
   elf_i386
   i386linux
   elf_l1om
   elf_k1om
using internal linker script:
==================================================
/* Script for -z combreloc: combine and sort reloc sections */
OUTPUT_FORMAT("elf64-x86-64", "elf64-x86-64",
          "elf64-x86-64")
OUTPUT_ARCH(i386:x86-64)
ENTRY(_start)
SEARCH_DIR("/nix/store/kxf1p7l7lgm6j5mjzkiwcwzc98s9f1az-binutils-2.23.1/x86_64-unknown-linux-gnu/lib64"); SEARCH_DIR("/nix/store/kxf1p7l7lgm6j5mjzkiwcwzc98s9f1az-binutils-2.23.1/lib64"); SEARCH_DIR("/nix/store/kxf1p7l7lgm6j5mjzkiwcwzc98s9f1az-binutils-2.23.1/x86_64-unknown-linux-gnu/lib"); SEARCH_DIR("/nix/store/kxf1p7l7lgm6j5mjzkiwcwzc98s9f1az-binutils-2.23.1/lib");
SECTIONS
{
  /* Read-only sections, merged into text segment: */
  PROVIDE (__executable_start = SEGMENT_START("text-segment", 0x400000)); . = SEGMENT_START("text-segment", 0x400000) + SIZEOF_HEADERS;
  .interp         : { *(.interp) }
  .note.gnu.build-id : { *(.note.gnu.build-id) }
  .hash           : { *(.hash) }
  .gnu.hash       : { *(.gnu.hash) }
  .dynsym         : { *(.dynsym) }
  .dynstr         : { *(.dynstr) }
  .gnu.version    : { *(.gnu.version) }
  .gnu.version_d  : { *(.gnu.version_d) }
  .gnu.version_r  : { *(.gnu.version_r) }

(省略内容)

如果你错过了这个： __executable_start = SEGMENT_START("text-segment", 0x400000))。

对于我来说，当我将一个简单的.o文件链接到一个二进制文件时，入口点地址非常接近0x400000。

ELF元数据中的入口点地址是此值加上从.text部分开始到_start符号的偏移量。请注意，_start符号可以进行配置。再次从我的默认链接器脚本示例中可以看到：ENTRY(_start)。

- andrewrk

1

错误答案！如果你错过了：__executable_start = SEGMENT_START("text-segment", 0x400000))。我有PROVIDE (__executable_start = SEGMENT_START("text-segment", 0x20000)); . = SEGMENT_START("text-segment", 0x20000);，虽然在0x20000处有一些操作码，但没有看起来像ELF文件的东西。当然，我的可执行文件没有使用fpic编译，并且是静态链接的。它在Linux AMD64上运行。 - user2284570

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Igor Skochinsky · Accepted Answer

你需要检查段表，也称为程序头 (readelf -l)。

Elf file type is EXEC (Executable file)
Entry point 0x804a7a0
There are 9 program headers, starting at offset 52

Program Headers:
  Type           Offset   VirtAddr   PhysAddr   FileSiz MemSiz  Flg Align
  PHDR           0x000034 0x08048034 0x08048034 0x00120 0x00120 R E 0x4
  INTERP         0x000154 0x08048154 0x08048154 0x00013 0x00013 R   0x1
      [Requesting program interpreter: /lib/ld-linux.so.2]
  LOAD           0x000000 0x08048000 0x08048000 0x10fc8 0x10fc8 R E 0x1000
  LOAD           0x011000 0x08059000 0x08059000 0x0038c 0x01700 RW  0x1000
  DYNAMIC        0x01102c 0x0805902c 0x0805902c 0x000f8 0x000f8 RW  0x4
  NOTE           0x000168 0x08048168 0x08048168 0x00020 0x00020 R   0x4
  TLS            0x011000 0x08059000 0x08059000 0x00000 0x0005c R   0x4
  GNU_EH_FRAME   0x00d3c0 0x080553c0 0x080553c0 0x00c5c 0x00c5c R   0x4
  GNU_STACK      0x000000 0x00000000 0x00000000 0x00000 0x00000 RW  0x4

第一个（最低的）LOAD段的虚拟地址是文件的默认加载基址。您可以看到该文件的默认加载基址为0x08048000。