这篇文章会包含很多项目的源码阅读, 覆盖 elf 的解析, elf 的加载, elf 的链接, 一次说清楚. 并换一种风格, 只在代码关键地方做注释. 并不会直接总结一个 elf 包含了哪些信息, 然后去哪找云云, 只是纯粹的源码阅读的记录, 看看在实际生产中 elf 如何被使用的, 必要的地方做一些总结和提示, 仅仅如此, 这点您要做好心理准备.

所有注释, 总结, 补充说明都是我改过, 读过的, 放心食用.

编译完能跳转了, 但是还是有红线, 不理会.

这个我也写了, 实现的很乱, 各种历史的沉淀, 不好读, 就删了, 感兴趣可以自己看看, glibc/elf/rtld.c 中的 _dl_start 是入口函数.

编译也很快, 但是有红线, 推荐看网页版: 5faK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6W2L8r3W2^5K9i4u0Q4x3X3g2T1L8$3!0@1L8r3W2F1i4K6u0W2j5$3!0E0i4K6u0r3k6$3I4A6j5X3y4Q4x3V1k6Y4L8r3W2T1j5#2)9J5k6o6u0Q4x3X3f1K6x3W2)9J5c8Y4y4G2N6i4u0U0k6b7`.`.

不想编译 AOSP, 直接看网页版: c9dK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6U0M7#2)9J5k6h3q4F1k6s2u0G2K9h3c8Q4x3X3g2U0L8$3#2Q4x3V1k6S2L8X3c8J5L8$3W2V1i4K6u0r3M7r3I4S2N6r3k6G2M7X3#2Q4x3V1k6K6N6i4m8W2M7Y4m8J5L8$3A6W2j5%4c8Q4x3V1k6Q4x3V1u0Q4x3V1k6S2L8X3c8J5L8$3W2V1i4K6u0V1L8r3q4@1k6i4y4@1i4K6u0V1M7X3g2D9k6h3q4K6k6g2)9K6b7h3u0A6L8$3&6A6j5#2)9J5c8W2)9J5b7H3`.`. 个人观点" 代码比 glibc 中的好读一万倍, 代码写的非常好, 看着很舒服.

elf 的解析 实现, 大而全, 很好读. 作为开胃菜, 让我们从这里开始.

找到 main 函数:

前边就是在处理输入的参数, 然后调用 process_file 解析, 传入的参数 argv[optind++] 是一个个文件名, 跟进去:

主要就是在根据魔数识别文件类型, 分发给对应处理函数, 我们继续跟入 process_object, 看看如何处理可执行文件的:

这是是核心"地图", 顺着这个函数我们可以找到任何一个想要的功能, 虽然代码排版很奇怪, 但逻辑很明了, 从上大小一点点解析, 好了, 接下来我们看看这些函数了, 他们会非常多.

其中一些工具函数(byte_get_little_endian, byte_put_little_endian 等), 我们不再看, 大致流程就是根据前 16 字节确定大小端, 32 位还是 64 位, 然后用已有结构体读取文件头, 下面贴一下 Elf32_External_Ehdr, Elf64_External_Ehdr, 也就是程序头的结构体:

保留了英文注释, 更原汁原味.

这个真是再熟悉不过了.

接着看看 get_32bit_section_headers, get_64bit_section_headers:

这一段就是根据之前读取的 ELF 文件头的记录的节头表偏移(e_shoff), 单个节头项大小(e_shentsize), 节头项总数(e_shnum)填充 filedata 的section_headers 字段, 节头表类似书的目录, 它记录了 ELF 文件中所有节(如代码段, 数据段, 符号表, 字符串表等)的关键信息(位置, 大小, 类型, 属性等), 后续解析文件内容时, 通过节头表就能快速定位到各个节的具体位置.

贴一下 Elf32_External_Shdr Elf64_External_Shdr, 节头表项:

依旧原汁原味.

将文件头的信息进行打印, 值得注意的是:

该来的还是来了, 一个非常长的函数

节头表中记录了一个个节以及他们对应的数据, 主要用于链接和调试, 告诉链接器如何把不同文件的节组合起来, 以及告诉调试器代码和数据在文件中的具体位置.

整体看下来就是对节头表的校验和打印后, 将信息存入 filedata 中, 值得一说的是, 每一个节头表项都有一个名字, 这个名字记录的是偏移, 在上边说的 e_shstrndx 中对应的 .shstrtab 节的字符串池中做偏移, 查找字符串.

其中调用了 get_elf_symbols, 解析符号表, 我们也来看看.

get_32bit_elf_symbols get_64bit_elf_symbols:

总结一下就是将符号表和扩展表的符号信息提取出来然后返回.

值得一提的是, 扩展表(.symtab_shndx 节)与符号表(.symtab 节), .symtab_shndx 节是 .symtab 节的辅助补充表, 核心作用是解决符号表中 节索引字段位数不足 的问题, ELF 符号表中每个符号都有 st_shndx 字段, 用于存储该符号所属的节索引, 当 st_shndx 溢出时就需要 .symtab_shndx 节来补充存储"超长节索引". 符号表与扩展表的关联通过节头的 sh_link 字段绑定, 扩展表的 sh_link 字段会存储其关联的符号表在节头表中的索引.

Elf32_External_Sym, Elf64_External_Sym, 符号表项结构体:

依旧贴出.

程序头表记录了一个个段, 他们描述了如何装载到内存中, 比如可执行代码段, 只读数据段, 可读写数据段等, 主要用于加载和运行, 告诉操作系统的加载器应该把文件的哪些部分映射到内存的哪个地址, 以及这些部分在内存中的访问权限.

解析和校验程序头表保存到 filedata 中, 都在代码中了, 我干了(狗头).

不管前面的校验直接看 get_32bit_program_headers get_64bit_program_headers:

朴实无华, 接着看一下 Elf32_External_Phdr Elf64_External_Phdr:

依旧贴出.

readelf 就到这吧, 如果全部记笔记要写很长, 删了很多, 整体读代码的方式大概就是这样, readelf.c 是一个非常全的 elf 解析.

总结一下读代码的流程: 首先跟着 process_object 找到你需要的功能对应的函数, 然后跟进去开读, 先把握整体, 在关心局部, 先 ai 注释, 在人工精读, 最后用自己的话总结一下. readelf 的代码整体看下来是非常好读, 质朴的 c 代码, 没有多少让人看不懂的工程化部分, 点赞. 好了开胃菜到此为止.

没有时间在为没读完 readelf 哀悼, 接下来映入眼帘的是 elf 的加载, 在 linux 系统中在运行一个 elf 时如何加载可执行文件或者 .so 文件

搞清楚这个函数就知道 linux 怎么加载 elf 的了.

总结一下核心就是 检查和加载, 只用到 ELF 文件头, 程序头表的 PT_LOAD 段, 读取要执行的 ELF 文件, 然后通过 ELF 头找到程序头表, 然后将 PT_LOAD 段加载到内存, 再移交控制权到其入口(有动态链接器, 会先进入动态链接器代码). 核心思想就这么点, 不过细节却有很多, 下面通过几个点讲一下:

首先看一下入参 struct linux_binprm:

可以看到这个结构体中包含了很多结构体, 不再一一贴出, 总结一下就是记录新程序的种种信息, 内存, 文件对象, 路径, 参数...

这段代码要摘出来单独说一下:

如果是动态链接 ELF, 这段的计算流程大概是这样(一个例子):

BSS 段专门用来存放未初始化的全局变量和静态变量, 它在程序加载时由操作系统自动清零. 他们存在于"缝隙"之中:

举个例子:

再来看一下加载动态链接器这个函数

可以看到这个就像是简化版的 load_elf_binary, 没有那么多需要处理的额外情况.

elf 的加载 大致就这样, 可以看到没什么神秘的地方, 尽管在读这段代码之前, 我一直觉得它很神秘, 还记得在 load_elf_binary 中我们将程序入口设置在了哪吗, 没错, 动态链接器, 如果一个 ELF 有动态链接器的话, 会先执行动态链接器的代码, 接下来我们看看动态链接器的实现. let's go.

不同的架构有不同的入口, 对应一段简短的汇编

在 bionic/linker/arch/arm64/begin.S:

搜索 __linker_init 找到 bionic/linker/linker_main.cpp:

代码虽然简短, 但事却不少, 初始化 TCB, 计算基地址, 重定位自身...我们调重点看.

通过程序头表中的 PT_PHDR 段计算链接器基地址(linker_addr)和加载偏移(load_bias):

获取程序头表中的动态段, 解析重定位符号, 我们分别看看三个处理函数.

RELR 格式的重定位有两种模式: 单一项 / 位图项, 单一项不用说, 对单个地址重定位, 位图项是用来将相近的一段基址重定位, 以上一个单一项的偏移为基地址, 然后用当前取出来的值作为位图, 比特位为 0 位代表不需要重定位, 为 1 代表需要重定位.

可以看到, 逻辑写的非常清晰, 好代码, 我们在看看 apply_relr_reloc:

还记得 load_bias, 在上边计算的: load_bias = 程序头表实际内存地址 - 程序头表的虚拟地址(p_vaddr), 也就是地址的内存偏移, 在 RELR 重定位中得到的值 offset 是预计的虚拟地址, 就像 p_vaddr, 需要加上 load_bias 后才是真实内存地址, 然后将这个地址存的值在加上 load_bias 完成重定位.

这里要讲一下 IFUNC 机制, Indirect Function, 即间接函数. 运行时动态选择函数实现, 也就是添加了一个中间层, 为兼容性和优化创造了条件.

回到 __linker_init 接着往下看, 来到了 prelink_image 函数

整体看下来, 主要是就是在遍历解析动态段的信息, 先找到动态段位置, 然后遍历, 保存信息, 然后在做一些校验.

额外说明 ARM64 MTE: MTE 通过给内存地址和指针添加 "标签", 并在内存访问时验证标签匹配性, 实现对非法内存访问的实时检测, 将物理内存按 16 字节划分, 每个 16 字节块分配一个 5 位的 "内存标签", 64 位虚拟地址的高 8 位(bit 56-63)中预留 5 位作为 "指针标签", 用于存储对应内存块的标签值.

还有哈希表, 这个也要介绍一下, 传统哈希表(DT_HASH)和 GNU 哈希表(DT_GNU_HASH)都是用于"根据符号名快速找到对应的符号地址"这一问题, 当程序调用外部函数或者访问全局变量时, 需要通过符号名在符号表中找到对应的内存地址, 哈希表的作用就是将符号名映射为哈希值, 通过哈希表快速定位符号在符号表中的位置, 避免线性遍历符号表.

回到 __linker_init 接着往下看, 来到了 link_image 函数

这个只是一个包装方法, 实际是调用 relocate 方法处理, 跟入 relocate:

总结一下就是根据重定位项不同的类型做重定位处理, 计算重定位值写会目标地址, 与上边的 apply_relr_reloc 中的处理逻辑其实很类似.

到此完成了链接器的重定位.

回到主线, 再看 __linker_init_post_relocation

可以看到做了很多的初始化, 感兴趣可以自己看一下, 我们跟入 linker_main, 看后续如何处理目标程序,

加载并链接目标可执行文件, 算是最核心的部分, 也是最后一部分, 坐稳发车.

读下来和动态链接器的最大的区别就是是否加载依赖库是吧, 剩下的重定位逻辑基本一致, 初始化也差不多, 我们重点分析一下加载依赖库部分.

把大象装进冰箱分为哪几步?

前边的几步好说, 但是 Step 5-7 工作机制要举个例子讲一下.

这就是库重定位, 链接的逻辑.

回过头, 我们在看一下是如何加载库到内存的.

通过名称判断当前命名空间及其链接的命名空间中是否已加载该库, 如果未加载就调用 load_library 加载, 如果已经加载就复用, 总结来说就是这样.

再看 load_library

解析要加载库的 ELF 文件, 做一些校验, 得到它的 soinfo, 然后将它依赖库加入加载任务列表. 至于怎么解析的 ELF, 这里就不再看了, 已经读过太多遍了.

到此为止, 旅途结束.

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！