ELF格式文件符号表分析

ELF格式文件符号表分析

1、ELF格式文件的结构和内容
a)现在PC平台流行的可执行文件格式(Executable)主要是Windows下的PE(Portable Executable)和linux下的ELF(Executable Linkable Format),他们都是COFF(Common file format)的变种。
b)ELF文件的存储结构和内容
ELF文件包含了代码、数据,而有些更包含了符号表、调试信息、行号信息、字符串等。ELF文件一般将这些信息按不同的属性,以段的形式存储。程序源代码编译后的机器指令一般放在代码段,代码段常见的名字有“.code”或“.text”。全局变量和局部静态变量数据经常放在数据段,名字为“.data”。
下面以helloworld.c编译后生成的helloworld可执行文件为例来分析:
生成可供调试的可执行文件:gcc -g helloworld.c -o helloworld
查看可执行文件hellworld的结构和内容:readelf –t helloworld

用strip命令删除符号表和调试信息:
strip helloworld
$readelf –t helloworld

对比上面两个的输出结果,strip之后少了.debug_aranges,.debug_info,.debug_abbrev,.debug_str,.debug_line, .debug_loc等调试信息和.symtab(符号表),.strtab(字符串表)。

2、ELF符号表的构成
对没有经过strip处理的ELF文件是存在符号表的。
$readelf –s helloworld

.symtab是符号表。Ndx列是每个符号所在的Section编号,例如main函数在第13个段(.text代码段)。Value列是每个符号所代表的地址,在目标文件中,符号地址都是绝对地址,例如main函数的地址是00000000004004f4。从Bind这一列可以看出只有几个符号是GLOBAL的,而其它符号是LOCAL的,GLOBAL符号是在汇编程序中用.globl指示声明过的符号。

3、不同编译选项对ELF符号表的影响
-s(小写字符s):
删除可执行程序中的所有符号表和所有重定位信息。其结果与运行命令 strip 所达到的效果相同。
如:gcc -s helloworld –o helloworld
-Wa,–strip-local-absolute
从输出符号表中移除局部绝对符号。如gcc -Wa,–strip-local-absolute helloworld.c –o helloworld
-fvisibility-inlines-hidden
默认隐藏所有内联函数,从而减小导出符号表的大小,既能缩减文件的大 小,还能提高运行性能,我们强烈建议你在编译任何共享库的时候使用该选项。参见 -fvisibility=hidden 选项。(这个是针对C++程序的)g++ -fvisibility-inlines-hidden helloworld.cpp –o helloworld

4、使用strip对可执行文件进行裁减
strip 命令减少 XCOFF 对象文件的大小。strip 命令从 XCOFF 对象文件中有选择地除去行号信息、重定位信息、调试段、typchk 段、注释段、文件头以及所有或部分符号表。 一旦您使用该命令,则很难调试文件的符号;因此,通常应该只在已经调试和测试过的生成模块上使用 strip 命令。使用 strip 命令减少对象文件所需的存储量开销。使用strip大概可以是可执行文件减少1/3。
用法: strip
file(s)
strip一般有以下选项
-I –input-target=<bfdname>           假定输入文件的格式为bfdname
-O –output-target=<bfdname>    以格式bfname创建输出文件
-F –target=<bfdname>           设置输入、输出的文件格式为bfdname
-p –preserve-dates                   复制上次修改或者操作的时间到输出文件中
-R –remove-section=<name>         删除输出文件中name段信息
-s –strip-all                              删除所有符号信息和重定位信息
-g -S -d –strip-debug                      删除所有调试信息和段信息
–strip-unneeded                            删除所有重定位中不需要的符号信息
–only-keep-debug                           删除调试信息以外的其他所有信息
-N –strip-symbol=<name>              不拷贝name符号信息
-K –keep-symbol=<name>               不去除name符号信息
–keep-file-symbols                        不去除符号信息
-w –wildcard                               在符号中使用通配符
-x –discard-all                            去除所有非全局符号
-X –discard-locals                         去除所有编译产生的符号
-v –verbose                                列出所有修改过的所有目标文件
-V –version                                显示版本号
-h –help                                   显示帮助
-o                                          把输出的文件名修改成

5、给调试的ELF文件的符号表“减肥”
对ELF文件来说,符号表里的GLOBAL符号和WEAK符号在”.symtab”和”.dynsym”这两个符号表里都有,而且删除”.symtab”里的这些符号,”.dynsym”里的依然存在。因此可以删除”.symtab”里的GLOBAL符号和WEAK符号来达到替符号表“减肥”的效果,命令如下:
strip –strip-symbol=<symbol_name> elf_file或者strip -N <symbol_name> elf_file

From:http://guizhongyun.elastos.org/2013/03/27/elf%E6%A0%BC%E5%BC%8F%E6%96%87%E4%BB%B6%E7%AC%A6%E5%8F%B7%E8%A1%A8%E5%88%86%E6%9E%90/

发表评论

电子邮件地址不会被公开。