ELF(Executable Linkable Format)文件为Linux下的可执行文件,对标Windows下的PE文件(而非exe,具体可自行查阅资料了解),我们做pwn的题目需要了解其中的ELF头,Section(节),Segment(段)即可。
ELF文件头主要包含了程序运行的计算机框架,程序入口等信息。在Linux终端我们可以使用"readelf -h"读取相应的内容。
ELF文件由多个节(有时也称段)构成,其中存放着各种数据,不同的数据在不同的区域,而且赋予使用者的权限也不相同。
●.text节:代码段,存放着程序运行所需的所有代码,这部分区域的大小在程序运行前就已经确定,并且内存区域通常属于只读 ,在代码段中,也有可能包含一些只读的常数变量,例如字符串常量等。
●.data节:数据段,通常是指用来存放程序中已初始化的全局变量的一块内存区域。数据段属于静态内存分配,所以有初值的全局变量和static变量在data区,可读可写。
●.rdata节:只读数据段,是用来存放只读实始化变量的,当我们在源程序中的变量前面加了const后,编译器知道个字符串是永远不会改变的,或说是只读的,所以将其分配到.rdata段中,在内存区域通常属于只读。
●.bss段:用于存放程序的可修改数据,与.data不同的是这些数据没有被初始化(或者初始值为0),这些数据没有被初始化,所以没有占用ELF文件空间,当程序开始执行后,系统才会申请一块空内存给bss段。
●.plt和.got段:这两段共同承担着调用程序动态链接库中函数调用的责任,程序想要调用动态链接库中的外部函数时必须要要现在两个表中找到函数的真实地址之后才能实现跳转和调用,这个在后面的学习中会深入讲解。
使用"readelf -S "可查看每个段的详细信息。
出于安全,程序中一般不会存在既可写又可执行的段,因为这样不法分子很容易就能控制程序。