如何掌握二进制文件
本篇内容介绍了“如何掌握二进制文件”的有关知识,在实际案例的操作过程中,不少人都会遇到这样的困境,接下来就让小编带领大家学习一下如何处理这些情况吧!希望大家仔细阅读,能够学有所成!
网站建设哪家好,找成都创新互联!专注于网页设计、网站建设、微信开发、小程序设计、集团企业网站建设等服务项目。为回馈新老客户创新互联还提供了北川羌族免费建站欢迎大家使用!
在讲述进程之前,先来了解一下二进制可执行文件和目标文件。我们知道程序运行起来后就有了进程,所以了解程序的结构对于认识操作系统大有好处。先抛三个问题:编译器编译代码后生成的文件是目标文件,目标文件里面是什么?可执行文件里面又是什么?可执行文件与目标文件的区别在哪呢?
这篇文件会使用如下一个简单的 C 文件进行贯穿讲解:
#includeint main(){ printf("hello"); return 0; }
1.编译过程
代码要想成为可执行文件就需要经过编译。编译过程分为预处理、编译、汇编、链接。
预处理:主要处理源码中的预处理指令,在 C/C++ 中主要指的是“#include”、“#define” 等,它的处理方法是将这些指令所在的位置进行内容替换,比如 “#include” 就会把整个头文件给引进来。
编译:把上一步预处理过的文件进行词法分析、语法分析、语义分析&优化一系列步骤后生成汇编代码。这是整个编译过程中最难最复杂的 部分。在现在版本的 GCC 中,预处理和编译这两个过程已经合并为一步。
汇编:把汇编代码转变为机器可以执行的指令,这是一个翻译的过程,有个汇编指令与机器指令的对照表进行一一对应。
链接:把每个独立编译的模块进行组装,这些模块之间会有相互引用,链接就是让这些独立模块能够相互正确引用,形成一个完整的可执行文件。链接分为动态链接和静态链接,这两个会在下篇文章进行讲解。
使用以上那个 C 文件进行整个编译过程如下:
预处理:gcc -E hello.c -o hello.i 编译:gcc -S hello.i -o hello.s 汇编:gcc -c hello.s -o hello.o 链接:ld -static /usr/lib64/crt1.o /usr/lib64/crti.o /usr/lib/gcc/x86_64-redhat-linux/4.8.5/crtbeginT.o -L /usr/lib/gcc/x86_64-redhat-linux/4.8.5 -L /usr/lib -L hello.o --start-group -lgcc -lgcc_eh -lc --end-group /usr/lib/gcc/x86_64-redhat-linux/4.8.5/crtend.o /usr/lib64/crtn.o
不想这么麻烦的话,直接一行代码搞定:
gcc hello.c -o hello
2.什么是可执行文件
可执行文件指的是可以由操作系统进行加载执行的文件。在不同的系统中,可执行文件是不同的。比如在 windows 中可执行文件是以 exe 后缀的文件,而在 linux 中可执行文件可以是任何后缀的文件,只是需要给文件添加“可执行”权限。注意,在同一种操作系统中如果 CPU 的架构不同的话,可执行文件是不能通用的,比如:在 linux 中,ARM 架构上的可执行文件就不能直接在 X86 架构执行,因为可执行文件内通常含有二进制编码的 CPU 指令,而每种 CPU 的指令集都是不一样的。这种情况下通常需要进行交叉编译:在一个平台上生成另一个平台的可执行文件,比如在 X86 平台上生成 ARM 的可执行文件。
3.可执行文件类型
在 windows 系统中可执行文件类型为 PE(Portable Executable),在 Linux 系统中可执行文件类型为 ELF(Executable Linkable Format)。
在 linux 下可以使用 file 命令查看文件的文件格式。 普通的源码文件显示是:
[root@centos7-dev hello]# file hello.c hello.c: C source, ASCII text
目标文件是:
[root@centos7-dev hello]# file hello.o hello.o: ELF 64-bit LSB relocatable, x86-64, version 1 (SYSV), not stripped
可执行文件是:
[root@centos7-dev hello]# file hello hello: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.6.32, BuildID[sha1]=6115b831b9be5d023a87ce84ecd72d44cbfa1548, not stripped
不是只有可执行文件可以按照上述这两种类型进行存储,目标文件(.obj/.o)可以,链接库(.dll/.so)也可以,甚至在 linux 下的 coredump 也是可执行文件格式。目标文件既然和可执行文件的存储结构一致,那两者有什么差异呢?一句话:目标文件是尚未进行链接操作的可执行文件。
4.关于链接
为什么会有链接这个动作呢?
先把时间拉回到打孔条带的时代,在计算机刚出来的时候,程序都是写在条带上。最开始的程序是一条纸带,很简单很完整。然后随着时间的推移,程序越来越多了,条带也是越来越多。在某个时刻有个程序员想偷懒,他正在写的 A 程序想使用之前写好的 B 程序的一个功能,所以他把 B 条带上的那段代码给剪出来然后拼接上了 A 程序。这是最早的链接,应该也是最早的静态链接。
在现代的软件开发过程中,程序文件的数量是非常庞大的,往往一个工程就有上千个模块和文件。这些模块和文件是相互独立和依赖的,相互调用的情况是很常见的。你想想,这样一个庞大的项目要编译出一个可执行文件应该怎么做?先对每个代码文件进行单独编译得到目标文件,然后把这些目标文件给捏到一块去,形成一个可执行文件。而这个捏到一块去的过程就是链接。
如果没有这个链接过程,上千模块的目标文件根本没法正常工作,因为它们无法执行。那有人说了:整个项目工程可以只写一个文件呀,只对这个文件进行编译就可以不用链接了。没错,但那就没法比较好的进行多人协作开发了。
5.ELF 结构
由于对 windows 系统的可执行文件结构不熟,所以这里拿 linux 系统下的可执行文件结构 ELF 进行分析一下。ELF 里面包含了编译后的机器指令和数据、符号表、调试信息、字符串等,这些不同类型的信息都会单独分开存放在某个模块内,一般称呼这些模块为”段“。
首先我们得先了解 ELF 都有哪些段,请看如下资料:
.bss 构成程序的内存映像的未初始化数据。根据定义,系统在程序开始运行时会将数据初始化为零。如节类型 SHT_NOBITS 所指明的那样,此节不会占用任何文件空间。 .comment 注释信息,通常由编译系统的组件提供。 .data、.data1 构成程序的内存映像的已初始化数据。 .dynamic 动态链接信息。 .dynstr 进行动态链接所需的字符串,通常是表示与符号表各项关联的名称的字符串。 .dynsym 动态链接符号表。 .eh_frame_hdr、.eh_frame 用于展开栈的调用帧信息。 .fini 可执行指令,用于构成包含此节的可执行文件或共享目标文件的单个终止函数。 .fini_array 函数指针数组,用于构成包含此节的可执行文件或共享目标文件的单个终止数组。 .got 全局偏移表。 .hash 符号散列表。 .init 可执行指令,用于构成包含此节的可执行文件或共享目标文件的单个初始化函数。 .init_array 函数指针数组,用于构成包含此节的可执行文件或共享目标文件的单个初始化数组。 .interp 程序的解释程序的路径名。 .lbss 特定于 x64 的未初始化的数据。此数据与 .bss 类似,但用于大小超过 2 GB 的节。 .ldata、.ldata1 特定于 x64 的已初始化数据。此数据与 .data 类似,但用于大小超过 2 GB 的节。 .lrodata、.lrodata1 特定于 x64 的只读数据。此数据与 .rodata 类似,但用于大小超过 2 GB 的节。 .note 注释节中说明了该格式的信息。 .plt 过程链接表。 .preinit_array 函数指针数组,用于构成包含此节的可执行文件或共享目标文件的单个预初始化数组。 .rela 不适用于特定节的重定位。此节的用途之一是用于寄存器重定位。 .relname、.relaname 重定位信息,如重定位节中所述。如果文件具有包括重定位的可装入段,则此节的属性将包括 SHF_ALLOC 位。否则,该位会处于禁用状态。通常,name 由应用重定位的节提供。因此,.text 的重定位节的名称通常为 .rel.text 或 .rela.text。 .rodata、.rodata1 通常构成进程映像中的非可写段的只读数据。 .shstrtab 节名称。 .strtab 字符串,通常是表示与符号表各项关联的名称的字符串。如果文件具有包括符号字符串表的可装入段,则此节的属性将包括 SHF_ALLOC 位。否则,该位会处于禁用状态。 .symtab 符号表,如符号表节中所述。如果文件具有包括符号表的可装入段,则此节的属性将包括 SHF_ALLOC 位。否则,该位会处于禁用状态。 .symtab_shndx 此节包含特殊符号表的节索引数组,如 .symtab 所述。如果关联的符号表节包括 SHF_ALLOC 位,则此节的属性也将包括该位。否则,该位会处于禁用状态。 .tbss 此节包含构成程序的内存映像的未初始化线程局部数据。根据定义,为每个新执行流实例化数据时,系统都会将数据初始化为零。如节类型 SHT_NOBITS 所指明的那样,此节不会占用任何文件空间。 .tdata、.tdata1 这些节包含已初始化的线程局部数据,这些数据构成程序的内存映像。对于每个新执行流,系统会对其内容的副本进行实例化。 .text 程序的文本或可执行指令。
有了以上资料,我们可以使用 objdump 命令查看 hello 可执行文件中都有哪些模块:
[root@centos7-dev hello]# objdump -h hello hello: file format elf64-x86-64 Sections: Idx Name Size VMA LMA File off Algn 0 .interp 0000001c 0000000000400238 0000000000400238 00000238 2**0 CONTENTS, ALLOC, LOAD, READONLY, DATA 1 .note.ABI-tag 00000020 0000000000400254 0000000000400254 00000254 2**2 CONTENTS, ALLOC, LOAD, READONLY, DATA 2 .note.gnu.build-id 00000024 0000000000400274 0000000000400274 00000274 2**2 CONTENTS, ALLOC, LOAD, READONLY, DATA 3 .gnu.hash 0000001c 0000000000400298 0000000000400298 00000298 2**3 CONTENTS, ALLOC, LOAD, READONLY, DATA 4 .dynsym 00000060 00000000004002b8 00000000004002b8 000002b8 2**3 CONTENTS, ALLOC, LOAD, READONLY, DATA 5 .dynstr 0000003f 0000000000400318 0000000000400318 00000318 2**0 CONTENTS, ALLOC, LOAD, READONLY, DATA 6 .gnu.version 00000008 0000000000400358 0000000000400358 00000358 2**1 CONTENTS, ALLOC, LOAD, READONLY, DATA 7 .gnu.version_r 00000020 0000000000400360 0000000000400360 00000360 2**3 CONTENTS, ALLOC, LOAD, READONLY, DATA 8 .rela.dyn 00000018 0000000000400380 0000000000400380 00000380 2**3 CONTENTS, ALLOC, LOAD, READONLY, DATA 9 .rela.plt 00000048 0000000000400398 0000000000400398 00000398 2**3 CONTENTS, ALLOC, LOAD, READONLY, DATA 10 .init 0000001a 00000000004003e0 00000000004003e0 000003e0 2**2 CONTENTS, ALLOC, LOAD, READONLY, CODE 11 .plt 00000040 0000000000400400 0000000000400400 00000400 2**4 CONTENTS, ALLOC, LOAD, READONLY, CODE 12 .text 00000182 0000000000400440 0000000000400440 00000440 2**4 CONTENTS, ALLOC, LOAD, READONLY, CODE 13 .fini 00000009 00000000004005c4 00000000004005c4 000005c4 2**2 CONTENTS, ALLOC, LOAD, READONLY, CODE 14 .rodata 00000016 00000000004005d0 00000000004005d0 000005d0 2**3 CONTENTS, ALLOC, LOAD, READONLY, DATA 15 .eh_frame_hdr 00000034 00000000004005e8 00000000004005e8 000005e8 2**2 CONTENTS, ALLOC, LOAD, READONLY, DATA 16 .eh_frame 000000f4 0000000000400620 0000000000400620 00000620 2**3 CONTENTS, ALLOC, LOAD, READONLY, DATA 17 .init_array 00000008 0000000000600e10 0000000000600e10 00000e10 2**3 CONTENTS, ALLOC, LOAD, DATA 18 .fini_array 00000008 0000000000600e18 0000000000600e18 00000e18 2**3 CONTENTS, ALLOC, LOAD, DATA 19 .jcr 00000008 0000000000600e20 0000000000600e20 00000e20 2**3 CONTENTS, ALLOC, LOAD, DATA 20 .dynamic 000001d0 0000000000600e28 0000000000600e28 00000e28 2**3 CONTENTS, ALLOC, LOAD, DATA 21 .got 00000008 0000000000600ff8 0000000000600ff8 00000ff8 2**3 CONTENTS, ALLOC, LOAD, DATA 22 .got.plt 00000030 0000000000601000 0000000000601000 00001000 2**3 CONTENTS, ALLOC, LOAD, DATA 23 .data 00000004 0000000000601030 0000000000601030 00001030 2**0 CONTENTS, ALLOC, LOAD, DATA 24 .bss 00000004 0000000000601034 0000000000601034 00001034 2**0 ALLOC 25 .comment 0000005a 0000000000000000 0000000000000000 00001034 2**0 CONTENTS, READONLY
然后再用同样的命令来查看目标文件:
[root@centos7-dev hello]# objdump -h hello.o hello.o: file format elf64-x86-64 Sections: Idx Name Size VMA LMA File off Algn 0 .text 0000001a 0000000000000000 0000000000000000 00000040 2**0 CONTENTS, ALLOC, LOAD, RELOC, READONLY, CODE 1 .data 00000000 0000000000000000 0000000000000000 0000005a 2**0 CONTENTS, ALLOC, LOAD, DATA 2 .bss 00000000 0000000000000000 0000000000000000 0000005a 2**0 ALLOC 3 .rodata 00000006 0000000000000000 0000000000000000 0000005a 2**0 CONTENTS, ALLOC, LOAD, READONLY, DATA 4 .comment 0000002e 0000000000000000 0000000000000000 00000060 2**0 CONTENTS, READONLY 5 .note.GNU-stack 00000000 0000000000000000 0000000000000000 0000008e 2**0 CONTENTS, READONLY 6 .eh_frame 00000038 0000000000000000 0000000000000000 00000090 2**3 CONTENTS, ALLOC, LOAD, RELOC, READONLY, DATA
可以发现目标文件内部的模块信息比可执行文件少很多,这是因为在目标文件经过链接过程变成可执行文件的过程中进行很多处理,比如:地址和空间分配、重定位、符号决议等。
我们还可以用 objdump 来查看每个模块的代码信息:
objdump -s -d hello
查看符号表:
objdump -x hello
更多关于 objdump 命令的使用可以 man objdump查看。
“如何掌握二进制文件”的内容就介绍到这里了,感谢大家的阅读。如果想了解更多行业相关的知识可以关注创新互联网站,小编将为大家输出更多高质量的实用文章!
文章名称:如何掌握二进制文件
转载注明:http://scyanting.com/article/gdedsg.html