ELF文件概述,虚拟内存装载,段与节

在之前的专栏中,我们已经将结果了在Windows下可执行文件(PE)文件格式了,个人认为在学习了PE文件结构之后,学习ELF文件结构会容易很多,大家可以去这个专栏学习PE文件格式:PE文件结构学习,本章内容ELF文件概述也会结合着PE文件结构来讲解。
这里先给出PE文件格式的图,大家可以了解了解:
ELF文件概述,虚拟内存装载,段与节_第1张图片

ELF文件结构:

这里先给出一张图,来大致了解ELF文件结构:
本图出自:星盟安全团队公开课PPT

在图中,我们可以看到,ELF文件大致分为三个部分:文件Header,节区块,与节区头表部分。
我们现在就分别来讲讲这三大部分:

一.文件头

在文件头中,又包含了ELF文件头和程序头表。

ELF文件头(ELF Header):

ELF文件头是ELF文件开头的部分,包含了关于整个文件的基本信息。

#define EI_NIDENT 16
 
struct Elf32_Ehdr            //共52个字节    //Ehdr表示ELF header
{
  unsigned char  e_ident[EI_NIDENT]; //
  Elf32_Half e_type;        //类型包括:可执行文件、可重定向文件、共享目标文件等
  Elf32_Half e_machine;     //有X86、arm之类
  Elf32_Word e_version;
  Elf32_Addr e_entry;       //可执行程序的入口地址
  Elf32_Off e_phoff;        //Program头表的偏移地址
  Elf32_Off e_shoff;        //Section头表的偏移地址
  Elf32_Word e_flags;
  Elf32_Half e_ehsize;      //本结构体的size
  Elf32_Half e_phentsize;   //单个Program头的size
  Elf32_Half e_phnum;       //Segment头表中Segment头的个数
  Elf32_Half e_shentsize;   //单个Section头的szie
  Elf32_Half e_shnum;       //Section头表中Section头的个数
  Elf32_Half e_shstrndx;    //储存Section名字集合的Section的下标,指".shstrtab"的下标
};

我们来逐一讲解一下其中每一个字段的含义:

  • e_ident[EI_NIDENT]:占据16个字节,包含用于标识文件为ELF格式的特定字节序列,如果是32位ELF文件,对应魔数为:‘/x7FELF’,如果是64位ELF文件,对应的魔数为:‘/x7FELF/XO2’。
  • e_type:文件类型
    占据两个字节,指定文件的类型,可以是可执行文件,目标文件,动态链接库等等。
  • e_machine:机器架构
    占据两个字节,指定文件所运行的目标体系结构,如x86,x64,arm,mips等。
  • e_version:版本
    占据两个字节,指定ELF文件的版本
  • e_entry:入口地址
    占据4个字节(32位),或8个字节(64位),标识可执行文件的入口点,就像PE文件结构里,可选头(拓展头)里的OEP
  • e_phoof:程序头表偏移
    占据4个字节或8个字节,指定程序头表在文件中的偏移量
  • e_shoof:节区头表偏移
    占据4个字节或8个字节,指定节区投标在文件中的偏移量
  • e_flags:标志
    占据4个字节,包含于文件相关的一些标志,如是否使用地址重定位等
  • e_ehsize:本结构体(ELF文件头)的大小
    占据2个字节,指定ELF文件头的大小,用于解析文件的其他部分
  • e_phentsize:程序头表条目大小
    占据2个字节,指定程序头表中每个条目的大小
  • e_phnum:程序头表条目数量
    占据2个字节,指定程序头表中的条目数量
  • e_shentsize:节区投标条目大小
    占据2个字节,指定节区头表中每个条目的大小
  • e_shnum:节区投标条目数量
    占据2个字节,指定节区投标中的条目数量
  • e_shstrndx:字符串表索引
    储存Section名字集合的Section的下标,也就是".shstrtab"节的下标

程序头表(Program Header Table):

程序头表是ELF文件头的一部分,它描述了程序在内存中的布局信息,尤其是可执行文件在运行时需要加载到内存中的各个段(Segment)属性,每个程序头表条目对应一个段,指导操作系统加载和执行可执行文件。
这里关于节和段的描述,我们在后面马上讲解到,这里先记住:段是一些具有相同权限的节的集合。

struct Elf32_phdr            //32个字节    //phdr表示Program header
{
    Elf32_Word p_type;       //如PT_LOAD表示,对应Segment可被加载到内存中
    Elf32_Off p_offset;      //Segment在ELF文件中的偏移量
    Elf32_Addr p_vaddr;      //Segment映射到内存后的虚拟地址
    Elf32_Addr p_paddr;      //Segment映射到内存后的物理地址,此时与虚拟地址相同
    Elf32_Word p_filesz;     //Segment在ELF文件中占用的size
    Elf32_Word p_memsz;      //Segment映射到内存后占用的size
    Elf32_Word p_flage;      //读、写、执行权限
    Elf32_Word p_align;      //字节对齐,p_vaddr和p_paddr对p_align取模后为0
};

我们来逐一讲解每一个字段的含义:

  • p_type:段类型
    占据4个字节,描述段的类型,如可加载的代码段,可加载的数据段,动态链接信息等。
  • p_offset:文件偏移
    占据4个字节或8个字节,指定该段在文件中的偏移量
  • p_offset:虚拟地址
    占据4个字节或8个字节,指定该段在内存中的加载地址
  • p_paddr:物理地址
    占据4个字节或8个字节,指定该段在物理内存中的地址,对可执行文件可能没有意义
  • p_filesz:文件大小
    占据4个字节或8个字节,指定该段在文件中的大小
  • p_memsz:内存大小
    占据4个字节或8个字节,指定该段在内存中的大小,可能大于文件大小
  • p_flage:段标志
    占据4个字节或8个字节,描述段的属性,如权限(读,写,执行等)
  • p_align:对齐
    占据4个字节或8个字节,指定段在内存中的对齐方式
    这就是每一个条目的结构,这里要注意的是:程序头表的起始位置,由ELF文件头的e_phoff字段指定,在一个ELF文件中,程序头表中不止一个这样的结构,通常含有多个条目,因为不同的段,含有的权限不同,在程序加载的时候,需要按照段来加载

二.节区头表

这里为什么先将节区头表呢?了解PE文件结构的哥们应该知道,PE文件结构中也有节表,而节区要按照节表区寻找。

struct Elf32_Shdr              //共40个字节    //Shdl表示Section header
{
    Elf32_Word sh_name;        //所指向Section的名字,如".text"、".data"、".bss"等
    Elf32_Word sh_type;        //所指向Section的类型,如:符号表、字符串表等
    Elf32_Word sh_flags;       
    Elf32_Addr sh_addr;
    Elf32_Off sh_offset;       //所指向Section在ELF文件中的偏移量
    Elf32_Word sh_size;        //所指向Section的size
    Elf32_Word sh_link;        //和其关联的Section头的下标索引
    Elf32_Word sh_info;
    Elf32_Word sh_addralign;   //字节对齐
    Elf32_Word sh_entsize;
};

我们还是逐一来解释每一个字段的含义:

  • sh_name:名称索引
    占据4个字节,指定一个字符串表中的索引,该字符串表包含了所有节区的名称,这个字段实际上就是:在ELF文件头中e_shstrndx字段指向的字符串表中,该节的名称字符串索引
  • sh_type:类型
    指定节区的类型,常见的类型包括:SHT_NULL(未使用的节区),SHT_PROGBITS(包含程序定义的信息,如代码段,数据段),SHT_SYMTAB(包含符号表),SHT_STRTAB(包含字符串表)
  • sh_flags:标志
    描述节区的属性,包含权限(读,写,执行等)
  • sh_addr:虚拟地址
    指定节区在内存中的虚拟地址,对于不在内存中执行的节区,这个字段可能没有意义
  • sh_offset:文件偏移
    指定节区在ELF文件中的偏移量,标识该截取在文件中的位置
  • sh_size:文件大小
    指定节区在文件中的大小,表示该节区在ELF文件中所占据的字节数
  • sh_link:链接
    对于某些类型的节区,此字段可能是符号表索引或者字符串表索引,表示与该节区相关联的符号表或者字符串表
  • sh_info:信息
    对于某些类型的节区,此字段提供额外的信息,具体含义取决于节区的类型
  • sh_addralign:字节对齐
    指定节区在内存中的对齐大小,即节区在内存中的起始地址需要满足对齐的要求
  • sh_entsize:
    对于某些类型的节区,此字段指定节区中每个条目的大小,适用于包含数组的节区。
    到这里节区头表的各个字段的含义我们就介绍完了,需要注意的是,这里的节区的起始位置,由ELF文件头的e_shoff字段指定,与程序头表一样,这里不止一个该结构,每一个节区有一个节区头表,他们是相连的,根据节区头表,我们就可以在ELF文件中找到对应的节区了。
    至此,我们了解到了ELF文件结构中的所有字段,我们来给出一张图,让大家深入理解ELF文件结构:
    ELF文件概述,虚拟内存装载,段与节_第2张图片
    我们来看看:首先,通过ELF文件头,可以找到程序头表,在这里,是段的描述,包含了每个段的权限,然后通过程序头表,我们又可以找到节区头表,这样,我们就可以精确得找到每一个我们想找的节区。

段与节:

很多人都对段与节不是很理解,这里就给大家讲解讲解,ELF文件的程序头表不是描述了段的信息嘛?实际上这里的段就是几个相同权限的节区组合而成的,比如说,像只读,不可写,不可执行的几个节区,组成一个段,这个段描述保存在程序头表中,但是每一个节区的描述还是在节区头表中有记载,所以我们通过节区头表还是能精确地找到这个段中的每一个节。

虚拟内存装载

我们来举一个例子,就是说,我们现在使用的PC,运行内存有16个G,如果说每一个运行的程序时,都将自身的文件复制到内存中执行,那我们的16个G内存,肯定运行不了几个进程,所以就提出来了虚拟内存的概念,就是让每一个应用程序相信自己有独立的4GB空间,然后将自己的映像贴在该内存中,然后执行。

  • 我们先来讲讲,如何将磁盘上存的文件如何贴到内存中:
    在磁盘上,为了节省空间,每一个节区或者段之间的距离都缩短了很多,大家在学习PE文件结构和ELF文件结构的时候都发现了两个概念:虚拟内存地址和文件地址,那么将磁盘上的文件加载到内存中的可执行状态,如何加载呢?我们这里以ELF文件为例来讲解一下,首先,将ELF文件头加载到内存(不管是ELF文件还是PE文件,文件头在磁盘和内存中的状态都是一样的),然后找到程序头表,在每一个程序头表的文件偏移上找到该段的文件位置,然后加载到内存中(就是程序头表中记载的虚拟内存地址),在这中间还要注意对齐问题,将所有的段加载完之后,还要兼顾后面的节区头表进行修改,最终符合程序头表的内存地址,大小,对齐和节区头表的内存地址,大小和对齐就算加载完成。

在加载到内存中后,已经是可以执行的状态了,但是还是不能执行,因为还有高2G的内核空间
所有的应用程序,都共用一个内核内存,这一个内核,就可以处理所有的应用程序需求。如图所示;
ELF文件概述,虚拟内存装载,段与节_第3张图片
更底层的知识,就需要大家进行体系化学习了,今天的讲解就到此结束,如果发现有什么理解上的错误,还请大佬指正,我们大家共同进步!!!

你可能感兴趣的:(pwn从0到1,网络安全,安全,windows)