# ELF文件及objdump/readelf命令 ELF(Executable and Linked Format）是UNIX系统实验室（USL）作为应用程序二进制接口（Application Binary Interface）开发和发布的可执行链接格式。ELF文件是Linux目标文件格式既参与程序执行也参与程序链接。

可以从程序执行和程序链接两个角度来分析ELF文件：

从链接角度 从执行角度 ELF Header ELF Header Program Header Table(Optional) Program Header Table Section 1 Segment 1 Section 2 Segment 2 Section ... Segment ... Section N Segment N Section header table Section header table(optional) # ELF文件结构分析 ELF Header部分位于文件的开头，包括用于标识文件是不是ELF文件的标识位，program header/Section header的偏移量，program headers个数，section headers个数等信息。

program headers记录了segment的分布，用来保存程序加载到内存中所需要的信息。因此从程序运行的角度来看是必须的。譬如其中DYNAMIC部分，指定了ELF文件加载时动态链接器需要的信息。

section header记录了ELF包含的哪些section及其位置。从文件链接角度来看，Section部分主要由text\data\rodata\bss等不同部分组成。

# 使用od命令读取ELF文件 od命令用于将指定文件内容以八进制、十进制、十六进制、浮点格式或ASCII编码字符方式显示。通常用于显示或查看文件中不能直接显示在终端的字符。od命令系统默认的显示方式是八进制，名称源于Octal Dump。

后面支持的参数：

-A,文件偏移量的输出格式，可选值为doxn之一，分别表示decimal/octal/hex和none。 -t输出的格式，如-x1用一个十六进制数表示的输出的值，类型后追加参数z会在每一行后输出对应十六进制数对应的可打印字符。 更多od命令的使用方法可以参考man od手册，使用od命令查看ELF文件的方式如下：

od -t x1z -A x tc

# 000000 7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00 >.ELF............<

# 000010 02 00 3e 00 01 00 00 00 90 10 40 00 00 00 00 00 >..>.......@.....<

# 000020 40 00 00 00 00 00 00 00 50 31 00 00 00 00 00 00 >@.......P1......<

# 000030 00 00 00 00 40 00 38 00 0b 00 40 00 1b 00 1a 00 >....@.8...@.....<

十六进制数7f 45 4c 46对应的Ascii码分别是.ELF用来标识文件是ELF文件。

# 使用readelf命令读取ELF文件 readelf命令是专门用来读取ELF文件中内容的命令。readelf命令和objdump提供的功能类似，但是它显示的信息更为具体。

readelf命令支持的参数选项：

-h打印ELF Header信息 -l打印ELF文件中的program-headers|--segments信息 -S打印ELF文件中的--section-headers|--sections信息 -s打印符号信息，符号指向一个语言层面的实体，如变量Object和函数Func。ELF文件中的符号表（symbol table）存放着前面提到的Elf64_Sym，表示该文件内已经定义或者需要引用的符号。 -a打印所有的headers信息 使用示例：

readelf -r tc

# Relocation section '.rela.dyn' at offset 0x618 contains 3 entries:

# Offset Info Type Sym. Value Sym. Name + Addend

# 000000403ff0 000700000006 R_X86_64_GLOB_DAT 0000000000000000 __libc_start_main@GLIBC_2.2.5 + 0

# 000000403ff8 000800000006 R_X86_64_GLOB_DAT 0000000000000000 __gmon_start__ + 0

# 000000404080 000a00000005 R_X86_64_COPY 0000000000404080 _ZSt4cout@GLIBCXX_3.4 + 0

# Relocation section '.rela.plt' at offset 0x660 contains 6 entries:

# Offset Info Type Sym. Value Sym. Name + Addend

# 000000404018 000900000007 R_X86_64_JUMP_SLO 0000000000401030 _ZSt4endlIcSt11char_tr@GLIBCXX_3.4 + 0

# 000000404020 000100000007 R_X86_64_JUMP_SLO 0000000000000000 _ZStlsISt11char_traits@GLIBCXX_3.4 + 0

# 000000404028 000200000007 R_X86_64_JUMP_SLO 0000000000000000 _Znwm@GLIBCXX_3.4 + 0

# 000000404030 000300000007 R_X86_64_JUMP_SLO 0000000000000000 _ZdlPvm@CXXABI_1.3.9 + 0

# 000000404038 000400000007 R_X86_64_JUMP_SLO 0000000000000000 _ZNSolsEPFRSoS_E@GLIBCXX_3.4 + 0

# 000000404040 000600000007 R_X86_64_JUMP_SLO 0000000000000000 _ZNSolsEi@GLIBCXX_3.4 + 0

# 使用objdump命令分析ELF文件 od和readelf命令可以读取ELF文件中的信息，如果想看具体每一个Section/Segment部分的内容，可以使用objdump命令。该命令还能执行反汇编操作。

这里先说个题外话，dump单词的含义，这里是指to move information from a computer's memory to another place or device翻译过来是将内存信息转存，如coredump文件。

objdump命令支持的参数选项：

‵-a`展示文件的头信息,类型 -f展示文件的头信息更详细 -h查看ELF支持哪些Section信息 -j name只展示名字为name的Section部分的信息。 ‵-x展示所有的section`信息 -d反编译程序 -s展示指定section部分的所有信息 使用：

objdump -f tc

# tc: file format elf64-x86-64

# architecture: i386:x86-64, flags 0x00000112:

# EXEC_P, HAS_SYMS, D_PAGED

# start address 0x0000000000401090

objdump -d -S tc

# Disassembly of section .fini:

# 00000000004012e8 <.fini>:

# 4012e8: f3 0f 1e fa endbr64

# 4012ec: 48 83 ec 08 sub $0x8,%rsp

# 4012f0: 48 83 c4 08 add $0x8,%rsp

# 4012f4: c3 retq

# reference 1.https://ivanzz1001.github.io/records/post/linuxops/2018/08/27/linux-od-comand (opens new window) 2.https://www.bluepuni.com/archives/elf-symbols/ (opens new window) 3.https://evshary.com/2018/05/06/ELF-format/ (opens new window)