PowerPC上ELF可执行文件的符号解析(一)
来源:互联网 发布:cf 刷枪软件 编辑:程序博客网 时间:2024/05/18 10:42
Global Offset Table(GOT全局偏移量表)[From PowerPC上ELF可执行文件的符号解析]
2008-03-04 14:12:13| 分类:Work-2008 |字号 订阅
Global Offset Table(GOT全局偏移量表):
PowerPC上ELF可执行文件的符号解析(一)
文档选项级别: 初级
陈剑 (chenjian@cn.ibm.com), 软件工程师, IBM
金戈, 高级软件工程师, IBM
2004 年 2 月 01 日
作者首先简单介绍了符号静态解析和动态解析的不同之处,接着分析了和动态解析相关的概念,然后讲述PowerPC Linux是如何作动态符号解析的,并辅以实例详细说明,最后总结了i386和PowerPC实现动态解析的异同之处;本篇文章侧重分析32位PowerPC Linux上的符号动态解析。
一. 前言
符号解析是Linux系统导入二进制可执行文件的重要过程,它完成的工作包括将一个符号定位到实际的内存地址,并且要保证可以正确引用这些符号。按解析对象的不同它可以分为变量符号解析和函数符号解析;按解析方式的不同可以分为静态解析和动态解析。
对于静态解析的符号,它们的地址在文件生成时就由link editor(在Linux下通常是ld)已经确定下来了;对于动态解析的符号,他们的地址在程序运行时才由dynamic linker(动态链接器,32位Linux平台下通常是/lib/ld.so.1)确定下来。我们可以这么认为,如果一个符号在共享库中定义,那么当其他可执行文件或共享库引用这个符号时,就需要对它作动态解析。
变量符号的动态解析过程比较简单,系统在载入程序过程中将变量symbol地址存入到GOT(Global Offset Table)中,引用变量symbol时首先计算出GOT表的实际地址,然后以它作为基址加上(变量symbol在GOT表中的偏移量)就可以从GOT表中取得该symbol的实际地址。下面以SUSE Linux Enterprise Server 8.1 for IBM pSeries为例,主要讲述和演示32位PowerPC Linux下函数符号的动态解析过程。
回页首
二. 概念
在讲述解析过程之前,先介绍一下在解析过程中要用到的基本概念。
1. ELF(Executable and Linkable Format)文件
ELF是Linux缺省采用的可执行文件(包括共享库,object文件)的格式,具体规范参见参考文献〔1〕、〔2〕。这里需要提一下的是section这个概念:section是ELF文件中一段互相联系信息,它可以是一段数据,也可以是一段代码。比如可执行代码信息就放在.text section中,被用户初始化的变量会放在.data section中,没有被用户初始化的变量会放在.bss section(bss是below stack segment的缩写)中。还有其他的一些 section: .debug、 .hash、 .symtab、 .dynsym、 .plt、 .rel.plt 等等。 .dynsym(动态符号表)、 .plt(过程链接表)和.rel.plt(重定位表)和我们的话题有关。
2. 符号表(symbol table)
符号表记录了程序中符号的定义信息和引用信息,它是一个结构数组,数组中的每个元素对应一个符号所有的信息。我们可以在glibc的源代码glibc-2.2/elf/elf.h中看到这个结构的c语言定义:
typedef struct{Elf32_Word st_name; /* 符号名 (.string表的索引) */Elf32_Addr st_value; /* 符号值(Symbol value) */Elf32_Word st_size; unsigned char st_info; unsigned char st_other; Elf32_Section st_shndx; } Elf32_Sym;
对于可执行文件和共享库而言,符号值记录了该符号的内存地址。可执行文件知道运行时刻他们的地址,所以他们内部的引用符号在编译时候就已经确定了;共享库symbol的符号值(symbol value)就要等到共享库被载入到内存中才确定下来。
我们可以用"readelf -s 文件名"来查看elf文件的symbol值,一般会有两个symbol表:.symtab(包含静态符号和动态符号)和.dynsym(仅包含动态符号)表。下面是我自己机器上的一个输出:
cj@bluesky:~/program/GOT> readelf -s test32Symbol table '.dynsym' contains 6 entries: Num: Value Size Type Bind Vis Ndx Name 0: 00000000 0 NOTYPE LOCAL DEFAULT UND 1: 10010894 488 FUNC GLOBAL DEFAULT UND __libc_start_main@GLIBC_2.0 ……………………Symbol table '.symtab' contains 228 entries: Num: Value Size Type Bind Vis Ndx Name 0: 00000000 0 NOTYPE LOCAL DEFAULT UND 1: 10000114 0 SECTION LOCAL DEFAULT 1 ……………………
3.过程链接表(Procedure Linkage Table,PLT)
静态解析函数符号很简单,因为引用是在内部进行的,只要用下面的命令就可实现:
bl resolved_symbol //resolved_symbol是被引用函数的入口点
动态解析符号则不然,由于link editor不能在编译时就确定被引用函数的入口点,所以它只能将控制权交给第三方,再由这个第三方来完成确定被引用函数入口点的任务,这个第三方就是过程链接表。
过程链接表的格式如下:
- PLT表开头的18个字(72字节)为dynamic linker保留
- 如果可执行文件或共享库需要N个.PLTi入口,那么紧跟着这18个字,link editor就会保留3*N个字(12*N字节),开头的2*N个字就是所有的.PLT入口,对于第i个引用符号,它的.PLT入口是(72+(i-1)*8)(1<=i<=N),剩下的N个字留给dynamic linker使用。
过程链接表虽然存在于文件当中,但它的初始化是由dynamic linker在装载可执行文件和共享库时完成的。下面是一个可能的被初始化的PLT表的内容:.PLT:.PLTresolve:addis r12,r0,dynamic_linker@haaddi r12,r12,dynamic_linker@l mtctr r12 //到此为此,r12和ctr中是dynamic linker的地址addis r12,r0,symtab_addr@haaddi r12,r12,symtab_addr@lbctr //此时r12中是共享库symbol表的地址.PLTcall:addis r11,r11,.PLTtable@halwz r11,.PLTtable@l(r11)mtctr r11bctr8 个nop指令.PLT1:addi r11,r0,4*0b .PLTresolve. . ..PLTi:addi r11,r0,4*(i-1)b .PLTresolve. . ..PLTN:addi r11,r0,4*(N-1)b .PLTresolve.PLTtable:<N word table begins here>
4. Relocation表
Relocation表总是和PLT表紧紧联系在一起,也就是说,PLT表有多少个入口,Relocation表就有多少个入口,他们是一对一的关系。下面是Relocation结构的c语言定义:
typedef struct {Elf32_Addr r_offset; //.PLTi的地址Elf32_Word r_info; //包含symbol index信息} Elf32_Rel;
在上述过程链接表的例子中r11是Relocation表和PLT表的index,dynamic linker需要r11来找到对应于这次解析的Relocation表的元素,然后得到r_info,由于r_info中包含了symbol index信息,我们就可确定是寻找哪个symbol的地址;得到symbol的地址后还需要r11来确定将这个地址正确重定位到那个PLT入口(r_offset保存了.PLTi的地址)。
回页首
三. 函数符号动态解析过程
当调用一个外部的函数时,它传输控制到PLT 中跟该symbol 相关的那个entry (是在编译时候由link editor完成的),然后将偏移量(就是Relocation表的index)置入r11,转入到.PLTresolve处执行;.PLTresolve取得dynamic linker的地址,将共享库的symbol表地址赋给r12后调用dynamic linker的解析函数_dl_runtime_resolve;_dl_runtime_resolve会根据r11取得和该PLT entry对应的Relocation entry,然后得到symbol index,结合r12找到该函数符号的载入地址loaded_addr,并从Relocation entry中得到.PLTi的地址,将.PLTi处的命令修改为b loaded_addr,完成该次符号解析。这样以后若还有调用该函数的语句,就会直接跳往loaded_addr。
下面将以程序为例,演示SUSE SLES 8.1 for IBM pSeries是如何动态解析函数符号printf 的。
例子程序Sample.c
1 #include <stdio.h> 2 3 int main(int argc, char *argv[]) 4 { 5 printf("Hello, world!\n"); 6 return 0; 7 }
回页首
四. 过程演示
1.Run gdb:gdb sample
2.反汇编printf符号
(gdb) disassemble printfDump of assembler code for function printf:0x1001089c <printf>: .long 0x0……………………..0x100108b4 <printf+24>: .long 0x0End of assembler dump.
由于sample还没有运行,所以printf函数还没有被载入到内存中,它的.PLTi入口初始为0
3.反汇编main函数
(gdb) disassemble mainDump of assembler code for function main:0x10000448 <main>: stwu r1,-32(r1)……………………..0x10000470 <main+40>: bl 0x1001089c <printf>……………………..
4. 设置断点并运行sample
(gdb) b *0x10000470Breakpoint 1 at 0x10000470(gdb) rStarting program: /home/cj/program/GOT/sample Breakpoint 1, 0x10000470 in main ()(gdb) disassemble 0x1001089cDump of assembler code for function printf:0x1001089c <printf>: li r11,40x100108a0 <printf+4>: b 0x1001086c <_GLOBAL_OFFSET_TABLE_+48>0x100108a4 <printf+8>: li r11,80x100108a8 <printf+12>: b 0x1001086c <_GLOBAL_OFFSET_TABLE_+48>……………………..End of assembler dump.
我们发现0x1001089c处的代码已经改变,表明在载入sample程序的过程中ld.so.1已经修改了printf函数的.PLTi入口。r11值为4,即是printf 在relocation表中的index。
5.反汇编0x1001086c
0x1001086c相当于.PLTresolve,它会调用_dl_runtime_resolve来解析符号
(gdb) disassemble 0x1001086cDump of assembler code for function _GLOBAL_OFFSET_TABLE_:……………………..0x1001084c <_GLOBAL_OFFSET_TABLE_+16>: addis r11,r11,40970x10010850 <_GLOBAL_OFFSET_TABLE_+20>: lwz r11,2220(r11)0x10010854 <_GLOBAL_OFFSET_TABLE_+24>: mtctr r110x10010858 <_GLOBAL_OFFSET_TABLE_+28>: bctr0x1001085c <_GLOBAL_OFFSET_TABLE_+32>: .long 0x00x10010860 <_GLOBAL_OFFSET_TABLE_+36>: .long 0x00x10010864 <_GLOBAL_OFFSET_TABLE_+40>: addis r11,r11,-40970x10010868 <_GLOBAL_OFFSET_TABLE_+44>: addi r11,r11,-22200x1001086c <_GLOBAL_OFFSET_TABLE_+48>: rlwinm r12,r11,1,0,300x10010870 <_GLOBAL_OFFSET_TABLE_+52>: add r11,r12,r110x10010874 <_GLOBAL_OFFSET_TABLE_+56>: li r12,-203440x10010878 <_GLOBAL_OFFSET_TABLE_+60>: addis r12,r12,163850x1001087c <_GLOBAL_OFFSET_TABLE_+64>: mtctr r12 //此时ctr中存放_dl_runtime_resolve的地址0x10010880 <_GLOBAL_OFFSET_TABLE_+68>: li r12,229040x10010884 <_GLOBAL_OFFSET_TABLE_+72>: addis r12,r12,16386 //此时r12存放/lib/libc.so.6的symbol表的地址0x10010888 <_GLOBAL_OFFSET_TABLE_+76>: bctr0x1001088c <_GLOBAL_OFFSET_TABLE_+80>: .long 0x00x10010890 <_GLOBAL_OFFSET_TABLE_+84>: .long 0x00x10010894 <__libc_start_main>: b 0xfed8ff0 <__libc_start_main>0x10010898 <__libc_start_main+4>: b 0x1001086c <_GLOBAL_OFFSET_TABLE_+48>0x1001089c <printf>: li r11,40x100108a0 <printf+4>: b 0x1001086c <_GLOBAL_OFFSET_TABLE_+48>0x100108a4 <printf+8>: li r11,80x100108a8 <printf+12>: b 0x1001086c <_GLOBAL_OFFSET_TABLE_+48>……………………..End of assembler dump.
(gdb) b *0x10010888Breakpoint 2 at 0x10010888(gdb) i r ctrctr 0x4000b088 1073787016(gdb) disassemble 0x4000b088Dump of assembler code for function _dl_runtime_resolve:0x4000b088 <_dl_runtime_resolve>: stwu r1,-64(r1)……………………..0x4000b0c4 <_dl_runtime_resolve+60>: stw r0,8(r1)0x4000b0c8 <_dl_runtime_resolve+64>: bl 0x4000ad3c <fixup>0x4000b0cc <_dl_runtime_resolve+68>: mtctr r3……………………..0x4000b104 <_dl_runtime_resolve+124>: addi r1,r1,640x4000b108 <_dl_runtime_resolve+128>: bctrEnd of assembler dump.
我们可以通过查看glibc的源代码来看_dl_runtime_resolve是如何得到symbol的地址值的,它在文件glibc-2.2/sysdeps/powerpc/dl-machine.h中定义。
(gdb) niHello, world!0x10000474 in main ()
6.再次反汇编0x1001089c
(gdb) disassemble 0x1001089cDump of assembler code for function printf:0x1001089c <printf>: b 0xff0ec9c <printf>0x100108a0 <printf+4>: b 0x1001086c <_GLOBAL_OFFSET_TABLE_+48>……………………..End of assembler dump.
对比上述第四个步骤,0x1001089c <printf>: li r11,4已经被修正为 0x1001089c <printf>: b 0xff0ec9c <printf>了,以后若还有调用printf的语句,控制权就会直接转到0xff0ec9c,0xff0ec9c是printf函数的真正入口点。
回页首
五. 总结
从以上的分析和演示过程中我们可以看到32 位PowerPC的函数符号动态解析和i386 Linux体系结构的函数符号动态过程大体一致,它们都是先跳转到对应的.PLTi入口,保存Relocation偏移量,然后跳转到_dl_runtime_resolve,由它来完成寻找函数符号的任务。不同的地方是:1. 由于b命令的限制(b 命令可能第一次跳转不到函数入口点),所以对于不能一次跳到函数入口点的情况就需要两次跳转(先将跳转地址存到.PLTtable+4*(i-1),然后将.PLTi处的b .PLTresolve修改为b .PLTcall,由它用bctr命令来完成跳转到函数入口点的任务); 2. i386 Linux将跳转地址存入到GOT[x+i]中,PowerPC则根本不使用GOT表,而是通过直接修改.PLTi处的代码来达到相同的功能。
From:http://yuxu9710108.blog.163.com/blog/static/2375153420082421213370/
- PowerPC上ELF可执行文件的符号解析(一)
- PowerPC上ELF可执行文件的符号解析
- ELF可执行文件的解析与加载
- ELF格式可执行文件,更改符号名称要注意的地方
- elf可执行文件的理解(附上elf文件格式图解)
- 可执行文件(ELF)格式的理解
- 可执行文件(ELF)格式的理解
- 可执行文件(ELF)格式的理解
- 可执行文件(ELF)格式的理解
- 可执行文件(ELF)格式的理解
- 可执行文件(ELF)格式的理解
- 可执行文件(ELF)格式的理解
- 可执行文件(ELF)格式的理解
- 可执行文件(ELF)格式的理解
- 可执行文件(ELF)格式的理解
- 可执行文件(ELF)格式的理解
- 可执行文件(ELF)格式的理解
- 可执行文件(ELF)格式的理解
- MFC 调用 printf 输出
- Android学习资料来源
- rtsp简介
- 这两天在学向VC中嵌入ACCESS,从网上搜到了一片登陆界面的文章,挺实用
- poj 1958 Strange Towers of Hanoi dp,需要仔细读题
- PowerPC上ELF可执行文件的符号解析(一)
- 读取Excel文件的一个例子
- RTSP协议状态机
- 虚拟机VMware7.1.4下安装RedHat Linux 9.0
- URI和URL的区别
- 老罗的android之旅-----Android应用程序启动过程源代码分析
- RTSP实例
- another app is currently holding the yum lock;waiting for it to exit...
- rtsp