ELF格式文件简析

astrotycoon 2018-01-29

展开全文

ELF linux

ELF文件格式是Linux系统下的可执行文件格式，在系统中属于最重要的文件类型。因为ELF文件是程序的载体，所有通过编译器编译过的代码，最后生成的程序就是ELF格式的文件。操作系统会读取ELF格式的文件（也就是程序）到内存中，根据ELF文件中的指令，数据与符号，生成可以运行的进程。通过操作系统对进程的管理机制，进程被分配给空闲的CPU执行。由此可以看出，ELF文件格式代表了程序模型。了解ELF文件格式定义，一方面对程序的运行机制有较为透彻的理解，另一方面对系统性能优化与系统安全有很大的帮助。

ELF（Executable and Linkable Format）的含义是可执行与可链接的格式。其实ELF是一种通用的标准格式，不只是用于Linux系统。ELF文件格式最初是用在Unix操作系统System V Release 4上，后来迅速的被各种Unix系统所采用。如今，ELF文件格式可以算是类Unix系统的事实标准了。ELF文件格式灵活，易扩展，不与特定的CPU或指令集绑定，可以被移植到任何操作系统或硬件架构上,包括Windows[1]。工具接口标准委员会将ELF标准定为一种可移植的目标文件格式。ELF标准的目的是为软件开发人员提供一组二进制接口定义，覆盖了多种操作系统，减少了重新编码、重新编译的负担。工具接口标准委员会给出的Portable Format Specification中主要针对三种不同类型的目标文件做出规定，并规定了程序加载与动态链接相关过程细节。

根据ELF标准中的定义，目标文件有三种类型：
1. 可重定位文件（Relocatable File)：此文件包含了重定向信息，可以与其他目标文件进行链接，创建可执行的文件或者共享目标文件
2. 可执行文件（Executable File):可以被操作系统加载执行的文件
3. 共享目标文件（Shared Object File）：有两种用途：编译器可以将它与其他可重定向文件和共享目标文件一起处理，生成另一个目标文件；动态连接器（Dynamic Linker) 可以将它与某个可执行文件以及其他共享目标文件组合，被操作系统用来创建进程。

二进制文件分析起来相对枯燥，很多文档是介绍文件格式定义，枯燥的定义很容易让人乏味。本文分析的主要思路是采用一个实际的ELF文件作为分析对象，逐步展开对ELF定义进行说明。通过这种方式了解二进制可能相对更直观一些。

测试程序main.c：

#include<stdio.h>
int main(void)
{
    printf("hello world\n");
    return 0;
}

使用gcc来编译程序：gcc main.c

$ file a.out 
a.out: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=31a79aafe17372bd63c14e63fa3763ae5fb5bddb, not stripped

编译器gcc与clang生成的二进制有所区别。clang生成executable，而gcc生成 shared object。编译的程序中虚拟内存地址也有区别。

使用hexdump工具读取二进制文件的原始数据：

hexdump a.out
0000000 457f 464c 0102 0001 0000 0000 0000 0000
0000010 0002 003e 0001 0000 03f0 0040 0000 0000
0000020 0040 0000 0000 0000 1918 0000 0000 0000
0000030 0000 0000 0040 0038 0009 0040 001d 001c
0000040 0006 0000 0005 0000 0040 0000 0000 0000
0000050 0040 0040 0000 0000 0040 0040 0000 0000
0000060 01f8 0000 0000 0000 01f8 0000 0000 0000
0000070 0008 0000 0000 0000 0003 0000 0004 0000
0000080 0238 0000 0000 0000 0238 0040 0000 0000
0000090 0238 0040 0000 0000 001c 0000 0000 0000
00000a0 001c 0000 0000 0000 0001 0000 0000 0000
.
.
.

hexdump的输出是以十六进制的方式显示，最左边一栏显示字节序号。第一行一共有十六个字节，从0000000到000000f。因此第二行的第一个字节的序号就是0000010。

在介绍具体细节前，需要了解一下ELF标准中在64位机器上的数据类型定义

Name(名称)      Size(大小)  Alignment（对齐)    Purpose（含义）  
Elf64_Addr      8            8                   Unsigned program address(无符号程序地址）
Elf64_Off       8            8                   Unsigned file offset（无符号文件偏移量)
Elf64_Half      2            2                   Unsigned medium integer(无符号半整型)
Elf64_Word      4            4                   Unsigned integer(无符号整型)
Elf64_Sword     4            4                   Signed integer(有符号整型）
Elf64_Xword     8            8                   Unsigned long integer(无符号长整型)
Elf64_Sxword    8            8                   Signed long integer(有符号长整型)
unsigned char   1            1                   Unsigned small integer(无符号字符)

上面基本上有四种大小的数据，地址与地址偏移量的类型大小都是8个字节，单个字符是1个字节，半整型为2个字节，一个整型是4个字节，长整型是8个字节。

ELF头部

ELF文件最开始的部分：ELF头部。ELF头部是ELF文件最开始的64个字节。hexdump命令可以按照一行16个字节来显示，-n 64是显示64 个字节。

$ hexdump -e '16/1 "%02x " "\n"' -n 64 -v a.out
7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00
03 00 3e 00 01 00 00 00 80 05 00 00 00 00 00 00
40 00 00 00 00 00 00 00 f8 19 00 00 00 00 00 00
00 00 00 00 40 00 38 00 09 00 40 00 1f 00 1e 00

下面是ELF头部的结构体定义，可以对照来解释上面这64个字节其对应的具体含义。

typedef struct
{
unsigned char e_ident[16]; /* ELF identification */
Elf64_Half e_type; /* Object file type */
Elf64_Half e_machine; /* Machine type */
Elf64_Word e_version; /* Object file version */
Elf64_Addr e_entry; /* Entry point address */
Elf64_Off e_phoff; /* Program header offset */
Elf64_Off e_shoff; /* Section header offset */
Elf64_Word e_flags; /* Processor-specific flags */
Elf64_Half e_ehsize; /* ELF header size */
Elf64_Half e_phentsize; /* Size of program header entry */
Elf64_Half e_phnum; /* Number of program header entries */
Elf64_Half e_shentsize; /* Size of section header entry */
Elf64_Half e_shnum; /* Number of section header entries */
Elf64_Half e_shstrndx; /* Section name string table index */
} Elf64_Ehdr;

最开始的16个字节是ELF标识e_ident，其中的包括以下几个部分：

魔数（Magic Number）：7f 45 4c 46 。这四个十六进制数通知读这个文件的程序，我是一个ELF格式的文件。其中[45 4c 46]在ASCII编码中代表了ELF这三个字母。
文件类别: 02。这个字节代表这个目标文件是64位目标（ELFCLASS64）。如果是32位目标（ELFCLASS32），此字节值为01。
编码方式:01。这个字节代表此目标文件的字节序编码方式。01表示小端模式，02表示大端模式。小端模式与大端模式主要影响了字节在内存中存放的顺序。小端模式特点是低位字节存放在内存的低位地址，大端模式则相反，低位字节存放在内存的高位地址。一般来说通用计算机是采用小端模式。下文会用到这个特点。
ELF格式版本号：01。这个字节代表了执行ELF标准的版本号。目前使用的最新版本是1。
填充字节：00 00 00 00 00 00 00 00 00。这一行最后的所有0都是填充字节。填充字节是为了ELF格式今后的扩展预留空位。并且这些字节也起到了字节对齐的作用。

第17,18字节是ELF格式的文件定义e_type：03 00。ELF主要定义了三种类型的目标文件。在这里可重定位文件的值为1，可执行文件的值为2，共享目标文件的值为3。此外还定义一些特殊的，例如未知文件类型的值为0，core类型文件的值为4。这里用两个字节来表示一个整数，涉及到字节序大小端的问题。采用小端存储时，数字低位对应内存低地址，由于内存低地址是在左边，所以这两个字节所代表的数字就是0x0002,也就是2。

第19,20字节表示了此文件的目标机器的架构体系e_machine：3e 00。这个值换算为十进制是62，代表了"x86-64"架构。

第20-23这四个字节是ELF版本编号e_version：01 00 00 00。依然是在定义ELF标准版本，1代表了使用当前版本，0是表示使用非法版本。

后续8个字节代表了程序入口的虚拟地址e_entry：80 05 00 00 00 00 00 00。这个部分是告诉系统程序的入口地址，也就是程序的开始位置。64位系统的地址是8个字节，在32位的程序上，这个程序入口是4个字节来表示。

下面的16个字节表示在elf文件中程序头的偏移量e_phoff：40 00 00 00 00 00 00 00和节头偏移量：f8 19 00 00 00 00 00 00。

程序头（program header）是对二进制文件中段（segment)的描述,是程序装载到内存中运行所必需的部分。段（segment）是可执行程序的内存布局,程序头描述了这些段如何映射到内存中。段是程序执行的必要组成，在每个段中，会有代码或者数据被划分为不同的节。
节头(section header)是对节（section）的位置和大小的描述，主要用于调试和链接。节头对于程序执行来说不是必需的，没有节头程序也可以正常执行，但是对于调试器与反编译器，需要依赖节头提供调试信息。

在这里，可以根据偏移量获取程序头表与节头表。程序头在文件中的偏移量为0x40 =4×16 = 64。这意味着程序头表起始的索引是64。节头偏移量同理可以算出来，0x19f8 = 6648。

接下来4个字节是处理器的标志位e_flags：00 00 00 00。保存与文件相关的，用于处理器的标志。

之后2个字节代表ELF头的大小e_ehsize：40 00。通常就是64。
再往后2个字节代表程序头的大小e_phentsiz：38 00。这里是56个字节。
后面2个字节代表了程序头的项数 e_phnum:09 00。这里有9个程序头

紧跟在后面的就是节头表大小与节头表项目e_shentsize，e_shnum ：40 00 1f 00，这里节头表为64个字节，一共有31个节头。

最后两个字节代表节头表格中与节中名称字符串的索引：1e 00。

以上就是ELF文件头的全部内容，文件头主要包含了类型，结构，程序起始的地址等信息。

程序头表(Program Header Table)

根据ELF文件头中e_phoff的值，我们发现程序头表是在第64个字节，也就是说程序头表紧跟在ELF文件头后面。下面我们来看下程序头的内容。
ELF程序头是对二进制文件中段的描述，是程序装载必须的一部分。有5种比较常见的类型。

PT_LOAD：描述可以装载的段，可以被加载到内存中。
PT_DYNAMIC：动态段是动态链接可执行文件特有的，包含了动态链接器所必须的一些信息。
PT_INTERP：只将位置和大小信息存放在一个null结尾的字符串中，是对程序解释器位置的描述。
PT_NOTE：这个类型的段可能保存了与特定供应商或者系统相关的附加信息。
PT_PHDR：保存程序头表本身的位置和大小。

程序头的作用是描述各种类型的段的基本信息，即描述了程序在内存中是如何分布的。

程序头的定义：

typedef struct
{
Elf64_Word p_type; /* Type of segment */
Elf64_Word p_flags; /* Segment attributes */
Elf64_Off p_offset; /* Offset in file */
Elf64_Addr p_vaddr; /* Virtual address in memory */
Elf64_Addr p_paddr; /* Reserved */
Elf64_Xword p_filesz; /* Size of segment in file */
Elf64_Xword p_memsz; /* Size of segment in memory */
Elf64_Xword p_align; /* Alignment of segment */
} Elf64_Phdr;

PT_PHDR

PT_PHDR类型的程序头是程序头表的开始，描述了程序头表的起始地址与占用的字节大小。
程序头整个结构是56个字节，因此我们截取从第64个字节开始56个字节的内容：

$ hexdump -e '16/1 "%02x " "\n"'  -s 64 -n 56 -v a.out
06 00 00 00 05 00 00 00 40 00 00 00 00 00 00 00
40 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00
f8 01 00 00 00 00 00 00 f8 01 00 00 00 00 00 00
08 00 00 00 00 00 00 00

根据结构定义来看下程序头的具体内容：

p_type : 06 00 00 00。表示段的类型，这里段的类型的值是6，类型为PT_PHDR。phdr类型的段保存了程序头表本身的位置和大小。
p_flags: 05 00 00 00。表示段的属性标志。高位2个字节预留给特殊处理器，低位2个字节则预留给特殊环境。0x05表示段属性为可读(0x04)，可执行(0x01)。
p_offset:40 00 00 00 00 00 00 00。段的偏移量。这里的值是64。
p_vaddr:40 00 00 00 00 00 00 00。段在内存中的虚拟地址。
p_paddr:40 00 00 00 00 00 00 00。预留给段在内存中实际的物理地址。里面的值其实没有被用到，在Linux中，应用程序的内存是使用内存管理分配给的虚拟内存。本段的虚拟地址是0x00400040，
p_filesz:f8 01 00 00 00 00 00 00。此段在文件中所占字节数，值为504，代表了9个程序头：56*9=504
p_memsz:f8 01 00 00 00 00 00 00。此段在内存中所占字节数。
p_align:08 00 00 00 00 00 00 00。字段对齐。这个字段中的值必须是2的幂次。当为0和1时，表示不需要对齐。
p_vaddr和p_offset对p_align取模后应该相等。

PT_INTERP

$hexdump -e '16/1 "%02x " "\n"'  -s 120 -n 56  -v a.out
03 00 00 00 04 00 00 00 38 02 00 00 00 00 00 00
38 02 00 00 00 00 00 00 38 02 00 00 00 00 00 00
1c 00 00 00 00 00 00 00 1c 00 00 00 00 00 00 00
01 00 00 00 00 00 00 00

按照定义，我们可以看出此段为PT_INTERP:

p_type : 3代表PT_INTERP类型
p_flag : 4代表此段的权限为可读
p_offset : 段的偏移量为0x0238
p_vaddr : 段在内存的虚拟机地址为0x00000000 00000238
p_paddr : 与虚拟地址相同的物理地址
p_filesz: 本段在文件中所占字节数为28
p_memsz: 本段在内存中所占字节数为28
p_align: 值为1，表示本段不需要对齐。

这个INTERP类型的段具体保存的内容是什么呢？定为到0x238的偏移地址处，查看28个字节，这部分内容就是该段的详细内容。

hexdump -e '16/1 "%02x " "\n"'  -s 568  -n 28  -v a.out
2f 6c 69 62 36 34 2f 6c 64 2d 6c 69 6e 75 78 2d
78 38 36 2d 36 34 2e 73 6f 2e 32 00

这些数字代表了什么含义呢？根据前面介绍的，INTERP段保存了一个字符串，可以用objdump工具来反汇编查看详细信息：objdump -s a.out。截取相关部分内容如下：

Contents of section .interp:
 0238 2f6c6962 36342f6c 642d6c69 6e75782d  /lib64/ld-linux-
 0248 7838362d 36342e73 6f2e3200           x86-64.so.2.

这部分就是链接器的路径的ASCII码。

PT_LOAD

为LOAD类型的段，表示可以被装载或者映射到内存中，一个可执行文件可以有多个LOAD类型的段。一个需要动态链接的ELF文件通常会有两个LOAD，一个用来存放程序代码的text，一般设置为可读与可执行权限。另一个用来存放全局变量和动态链接信息的data段，设置为可读可写权限。

hexdump -e '16/1 "%02x " "\n"'  -s 176  -n 56  -v a.out
01 00 00 00 05 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
a8 08 00 00 00 00 00 00 a8 08 00 00 00 00 00 00
00 00 20 00 00 00 00 00

此段读写权限为可读可执行。偏移量为0，内存虚拟地址为0x00000000 00000000。文件大小为0x08a8,即2216个字节。

$ hexdump -e '16/1 "%02x " "\n"'  -s 232  -n 56  -v a.out
01 00 00 00 06 00 00 00 d8 0d 00 00 00 00 00 00
d8 0d 20 00 00 00 00 00 d8 0d 20 00 00 00 00 00
58 02 00 00 00 00 00 00 60 02 00 00 00 00 00 00
00 00 20 00 00 00 00 00

此段是可读可写的权限。偏移量为0x200dd8,内存虚拟地址为0x200dd8。文件大小为0x0258。装载到内存中是0x0260个字节。

根据上面程序头的定义，ELF文件加载到内存中的状态是这样的：

        -------Memory--------
        |    ELF Header     |  --|
        |    PHDR           |    |
        |    INTERP         |    |
        |    NOTE           |    | PT_LOAD 0
        |     .             |    |
        | ----------------- |  --|
        |   alignment       |
        | ----------------- |
        |   DYNAMIC         |  --|
        | ----------------- |    |
        |     .             |    |
        |     .             |    | PT_LOAD 1 
        | ----------------- |    |
        |   alignment       |  --|
        | ----------------- |

PT_DYNAMIC

PT_DYNAMIC是描述动态段的程序头：

$ hexdump -e '16/1 "%02x " "\n"'  -s 288  -n 56  -v a.out
02 00 00 00 06 00 00 00 f0 0d 00 00 00 00 00 00
f0 0d 20 00 00 00 00 00 f0 0d 20 00 00 00 00 00
e0 01 00 00 00 00 00 00 e0 01 00 00 00 00 00 00
08 00 00 00 00 00 00 00

动态段的权限是可读可写：0x04+0x02。段的偏移量为0x0df0,虚拟内存地址为0x200df0。动态段的大小为0x01e0。

动态段中包含了一些标记值和指针，包括但不限于以下内容：

运行时需要链接的共享库列表
全局偏移表（GOT）的地址
重定位条目的相关信息

PT_NOTE

在动态段的程序头后面是PT_NOTE的程序头：

$ hexdump -e '16/1 "%02x " "\n"'  -s 344  -n 56  -v a.out
04 00 00 00 04 00 00 00 54 02 00 00 00 00 00 00
54 02 00 00 00 00 00 00 54 02 00 00 00 00 00 00
44 00 00 00 00 00 00 00 44 00 00 00 00 00 00 00
04 00 00 00 00 00 00 00

PT_NOTE段的类型值是4，其权限为可读，偏移量为0x0254,虚拟地址为0x000254，大小为0x44。

NOTE段的内容为：

Contents of section .note.ABI-tag:
 0254 04000000 10000000 01000000 474e5500  ............GNU.
 0264 00000000 02000000 06000000 20000000  ............ ...
Contents of section .note.gnu.build-id:
 0274 04000000 14000000 03000000 474e5500  ............GNU.
 0284 31a79aaf e17372bd 63c14e63 fa3763ae  1....sr.c.Nc.7c.
 0294 5fb5bddb                             _...

这部分内容只保存了操作系统的规范信息，在可执行文件运行时是不需要这段的。有的系统需要在目标文件上标记特定的信息，以便于其他程序对一致性、兼容性等进行检查。

另外三个程序头

ELF文件头显示有9个程序头，除了上面介绍的五个在ELF标准中定义的程序头，还有三个Linux系统支持的程序头。简单起见，我们使用readelf 工具来查看相关信息：

 Type           Offset             VirtAddr           PhysAddr
                 FileSiz            MemSiz              Flags  Align
GNU_EH_FRAME   0x0000000000000760 0x0000000000000760 0x0000000000000760
                 0x000000000000003c 0x000000000000003c  R      0x4
GNU_STACK      0x0000000000000000 0x0000000000000000 0x0000000000000000
                 0x0000000000000000 0x0000000000000000  RW     0x10
GNU_RELRO      0x0000000000000dd8 0x0000000000200dd8 0x0000000000200dd8
                 0x0000000000000228 0x0000000000000228  R      0x1

PT_GNU_EH_FRAME类型的段保存了一组数据（array element)。数据是在.eh_frame_hdr节中定义的异常处理信息的位置与大小。
PT_GNU_STACK类型的段保存了包含堆栈的段的权限，规定了哪些栈是可以执行的。权限设置方式与p_flag相同，缺少这个段意味着堆栈都是可以执行的，本例就是这样的情况。(参考)
PT_GNU_RELRO类型的段意味着这个段内的数据在重定向后是只读的。这个段通常包括了一些动态链接库，包括了.ctors, .dtors, .dynamic, .got 等节。这个段的区域与第二个LOAD段基本重合，只是PT_LOAD 1 段中多了.got.plt和.data。

节头表（section)

ELF格式中的节（section)是ELF文件的主要组成部分，主要的数据与代码都存在节里。
根据ELF文件头，节头表的偏移量在0x19f8处。节头表对于程序来说是可有可无的，节头表主要描述ELF文件中节的相关信息，数据结构如下：

typedef struct
{
Elf64_Word sh_name; /* Section name */
Elf64_Word sh_type; /* Section type */
Elf64_Xword sh_flags; /* Section attributes */
Elf64_Addr sh_addr; /* Virtual address in memory */
Elf64_Off sh_offset; /* Offset in file */
Elf64_Xword sh_size; /* Size of section */
Elf64_Word sh_link; /* Link to other section */
Elf64_Word sh_info; /* Miscellaneous information */
Elf64_Xword sh_addralign; /* Address alignment boundary */
Elf64_Xword sh_entsize; /* Size of entries, if section has table */
} Elf64_Shdr;

一个节头的大小64个字节，下面读取前节头表的前两个节头

hexdump -e '16/1 "%02x " "\n"'  -s 0x19f8  -n 128  -v a.out
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
1b 00 00 00 01 00 00 00 02 00 00 00 00 00 00 00
38 02 00 00 00 00 00 00 38 02 00 00 00 00 00 00
1c 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

第一个节头类型为NULL，所有的内容都是0。
以第二个节头为例介绍：

sh_name:1b 00 00 00包含一个字节偏移量，是相对于名称字符串表.shstrtab的偏移量，下文会继续介绍。
sh_type:01 00 00 00节的类型，这里的值为1，类型是SHT_PROGBITS，表示此节的内容由程序来定义
sh_flags:02 00 00 00 00 00 00 00节的属性标志。02表示节的属性为SHF_ALLOC,代表此节会被分配到内存中。
sh_addr:38 02 00 00 00 00 00 00节在内存中起始虚拟地址
sh_offset:38 02 00 00 00 00 00 00节在ELF文件中的偏移量
sh_size:1c 00 00 00 00 00 00 00是此节的大小
sh_link:00 00 00 00包括一个相关的节的索引，这个字段的用途根据节的类型来定。
sh_info:00 00 00 00包括了此节的额外信息，这个字段的用途根据节的类型来定。
sh_addralign:01 00 00 00 00 00 00 00包含了此节需要对齐的字节数，必须为2的幂。如果是0或者1，表示此节无需对齐。
sh_entsize:00 00 00 00 00 00 00 00包含了每个条目的大小，有些节包含了固定大小的表（数组）。除了这种节以外，这个字段一般为0。

节头一共有31个，用readelf工具来列举ELF文件中的节头表：

$ readelf -S a.out
共有 31 个节头，从偏移量 0x19f8 开始：
节头：
  [号] 名称              类型             地址              偏移量
       大小              全体大小          旗标   链接   信息   对齐
  [ 0]                   NULL             0000000000000000  00000000
       0000000000000000  0000000000000000           0     0     0
  [ 1] .interp           PROGBITS         0000000000000238  00000238
       000000000000001c  0000000000000000   A       0     0     1
  [ 2] .note.ABI-tag     NOTE             0000000000000254  00000254
       0000000000000020  0000000000000000   A       0     0     4
  [ 3] .note.gnu.build-i NOTE             0000000000000274  00000274
       0000000000000024  0000000000000000   A       0     0     4
  [ 4] .gnu.hash         GNU_HASH         0000000000000298  00000298
       000000000000001c  0000000000000000   A       5     0     8
  [ 5] .dynsym           DYNSYM           00000000000002b8  000002b8
       00000000000000c0  0000000000000018   A       6     1     8
  [ 6] .dynstr           STRTAB           0000000000000378  00000378
       0000000000000096  0000000000000000   A       0     0     1
  [ 7] .gnu.version      VERSYM           000000000000040e  0000040e
       0000000000000010  0000000000000002   A       5     0     2
  [ 8] .gnu.version_r    VERNEED          0000000000000420  00000420
       0000000000000020  0000000000000000   A       6     1     8
  [ 9] .rela.dyn         RELA             0000000000000440  00000440
       00000000000000d8  0000000000000018   A       5     0     8
  [10] .rela.plt         RELA             0000000000000518  00000518
       0000000000000018  0000000000000018  AI       5    24     8
  [11] .init             PROGBITS         0000000000000530  00000530
       0000000000000017  0000000000000000  AX       0     0     4
  [12] .plt              PROGBITS         0000000000000550  00000550
       0000000000000020  0000000000000010  AX       0     0     16
  [13] .plt.got          PROGBITS         0000000000000570  00000570
       0000000000000008  0000000000000008  AX       0     0     8
  [14] .text             PROGBITS         0000000000000580  00000580
       00000000000001c2  0000000000000000  AX       0     0     16
  [15] .fini             PROGBITS         0000000000000744  00000744
       0000000000000009  0000000000000000  AX       0     0     4
  [16] .rodata           PROGBITS         0000000000000750  00000750
       0000000000000010  0000000000000000   A       0     0     4
  [17] .eh_frame_hdr     PROGBITS         0000000000000760  00000760
       000000000000003c  0000000000000000   A       0     0     4
  [18] .eh_frame         PROGBITS         00000000000007a0  000007a0
       0000000000000108  0000000000000000   A       0     0     8
  [19] .init_array       INIT_ARRAY       0000000000200dd8  00000dd8
       0000000000000008  0000000000000008  WA       0     0     8
  [20] .fini_array       FINI_ARRAY       0000000000200de0  00000de0
       0000000000000008  0000000000000008  WA       0     0     8
  [21] .jcr              PROGBITS         0000000000200de8  00000de8
       0000000000000008  0000000000000000  WA       0     0     8
  [22] .dynamic          DYNAMIC          0000000000200df0  00000df0
       00000000000001e0  0000000000000010  WA       6     0     8
  [23] .got              PROGBITS         0000000000200fd0  00000fd0
       0000000000000030  0000000000000008  WA       0     0     8
  [24] .got.plt          PROGBITS         0000000000201000  00001000
       0000000000000020  0000000000000008  WA       0     0     8
  [25] .data             PROGBITS         0000000000201020  00001020
       0000000000000010  0000000000000000  WA       0     0     8
  [26] .bss              NOBITS           0000000000201030  00001030
       0000000000000008  0000000000000000  WA       0     0     1
  [27] .comment          PROGBITS         0000000000000000  00001030
       0000000000000025  0000000000000001  MS       0     0     1
  [28] .symtab           SYMTAB           0000000000000000  00001058
       0000000000000660  0000000000000018          29    47     8
  [29] .strtab           STRTAB           0000000000000000  000016b8
       000000000000022f  0000000000000000           0     0     1
  [30] .shstrtab         STRTAB           0000000000000000  000018e7
       000000000000010c  0000000000000000           0     0     1
Key to Flags:
  W (write), A (alloc), X (execute), M (merge), S (strings), I (info),
  L (link order), O (extra OS processing required), G (group), T (TLS),
  C (compressed), x (unknown), o (OS specific), E (exclude),
  l (large), p (processor specific)

最后一个.shstrtab保存了所有节的名称：

$ hexdump -e '16/1 "%02x " "\n"'  -s 0x18e7  -n 268  -v a.out
00 2e 73 79 6d 74 61 62 00 2e 73 74 72 74 61 62
00 2e 73 68 73 74 72 74 61 62 00 2e 69 6e 74 65
72 70 00 2e 6e 6f 74 65 2e 41 42 49 2d 74 61 67
00 2e 6e 6f 74 65 2e 67 6e 75 2e 62 75 69 6c 64
2d 69 64 00 2e 67 6e 75 2e 68 61 73 68 00 2e 64
79 6e 73 79 6d 00 2e 64 79 6e 73 74 72 00 2e 67
6e 75 2e 76 65 72 73 69 6f 6e 00 2e 67 6e 75 2e
76 65 72 73 69 6f 6e 5f 72 00 2e 72 65 6c 61 2e
64 79 6e 00 2e 72 65 6c 61 2e 70 6c 74 00 2e 69
6e 69 74 00 2e 70 6c 74 2e 67 6f 74 00 2e 74 65
78 74 00 2e 66 69 6e 69 00 2e 72 6f 64 61 74 61
00 2e 65 68 5f 66 72 61 6d 65 5f 68 64 72 00 2e
65 68 5f 66 72 61 6d 65 00 2e 69 6e 69 74 5f 61
72 72 61 79 00 2e 66 69 6e 69 5f 61 72 72 61 79
00 2e 6a 63 72 00 2e 64 79 6e 61 6d 69 63 00 2e
67 6f 74 2e 70 6c 74 00 2e 64 61 74 61 00 2e 62
73 73 00 2e 63 6f 6d 6d 65 6e 74 00

之前示例的节的sh_name的值为1b，在这个表中就可以查到这个节的名称：

2e 69 6e 74 65 72 70 00 # . i n t e r p

节与段之间的的关系到底是怎样的呢？根据readelf工具，我们可以看到每个段对应都包含哪些节：

Section to Segment mapping:
段          段节...
PHDR        00     
INTERP      01     .interp 
LOAD        02     .interp .note.ABI-tag .note.gnu.build-id .gnu.hash .dynsym .dynstr .gnu.version .gnu.version_r .rela.dyn .rela.plt .init .plt .plt.got .text .fini .rodata .eh_frame_hdr .eh_frame 
LOAD        03     .init_array .fini_array .jcr .dynamic .got .got.plt .data .bss 
DYNAMIC     04     .dynamic 
NOTE        05     .note.ABI-tag .note.gnu.build-id 
GNU_EH_FRAME 06    .eh_frame_hdr 
GNU_STACK   07     
GNU_RELRO   08     .init_array .fini_array .jcr .dynamic .got

段描述了程序在内存中的布局，节包含了具体的数据、代码等信息。下面介绍几个主要的节

.text ：此节保存了程序代码指令。
.rodata：此节保存了只读数据，例如打印的字符串的命令printf("helloworld\n"):Contents of section .rodata: 0750 01000200 68656c6c 6f20776f 726c6400 ....hello world.
.plt : 包含了动态链接器调用从共享库导入的函数所必须的相关代码
.data ：保存了初始化的全局变量等数据
.bss : 保存了未进行初始化的全局数据，占用空间不超过4字节，进表示了这个节本身的空间。程序加载时数据会被初始化为0，在程序执行期间可以进行赋值。由于.bss没有保存实际数据，此节类型为SHT_NOBITS。
.got.plt : .got节保存了全局偏移表。.got和.plt节一起提供了对导入的共享库函数的访问入口，有动态链接器在运行时进行修改。
.dynsym : 保存了从共享库导入的动态符号信息。
.dynstr : 保存了动态符号字符串表，表中存了一系列字符串，代表了符号名称，以空字符为结尾。
.rela.plt .rela.dyn : 保存了与重定位相关的信息，这些信息描述了如何在链接或运行时，对ELF目标文件的某部分内容进行补充或修改
.gnu.hash : 保存了一个用于查找符号的散列表。
.symtab : 保存了ElfN_Sym 类型的符号信息。.symtab保存了所有的符号，包括了.dynsym中的动态/全局符号。
.strtab ：保存符号字符串表，其内容会被ElfN_Sym结构中的st_name条目引用。
.shstrtab: 保存了节头字符串表，字符串就是每个节的名称。