i386 Linux下 ELF 动态链接分析

work Add comments

http://blog.csdn.net/chief1985/archive/2008/05/16/2452558.aspx

Ian Lance Taylor正在写连载文章介绍linkers。
一直想了解dynamic linking的过程，于是正好就学习了一下。
program loader、program linker和dynamic linker的具体工作过程暂不在讨论范围。

首先，随便写个小程序然后用objdump看一下：

$ objdump -d main.o
00000000 :
0: 8d 4c 24 04 lea 0×4(%esp),%ecx
4: 83 e4 f0 and $0xfffffff0,%esp
7: ff 71 fc pushl 0xfffffffc(%ecx)
a: 55 push %ebp
b: 89 e5 mov %esp,%ebp
d: 51 push %ecx
e: 83 ec 14 sub $0×14,%esp
11: e8 fc ff ff ff call 12
16: 89 04 24 mov %eax,(%esp)
19: e8 fc ff ff ff call 1a
1e: e8 fc ff ff ff call 1f
23: 89 44 24 04 mov %eax,0×4(%esp)
27: c7 04 24 00 00 00 00 movl $0×0,(%esp)
2e: e8 fc ff ff ff call 2f
33: 83 c4 14 add $0×14,%esp
36: 59 pop %ecx
37: 5d pop %ebp
38: 8d 61 fc lea 0xfffffffc(%ecx),%esp
3b: c3 ret

我们看到main call了一些函数，但地址都是12，1a这样的数字。这些数字表示的是本.text section中的offset，需要被linker patch。这些relocations信息可以用readelf -r查看：

$ readelf -r main.o

Relocation section ‘.rel.text’ at offset 0×388 contains 5 entries:
Offset Info Type Sym.Value Sym. Name
00000012 00000902 R_386_PC32 00000000 foo
0000001a 00000a02 R_386_PC32 00000000 printf
0000001f 00000b02 R_386_PC32 00000000 bar
0000002a 00000501 R_386_32 00000000 .rodata
0000002f 00000a02 R_386_PC32 00000000 printf

这些函数地址在link时会被patch成真正的地址（静态联入），或者在plt中的地址（动态联入）。我们readelf -r a.out还能看到打印出如下信息，这些信息我们在后面还会看到有所呼应：

$ readelf -r a.out

Relocation section ‘.rel.dyn’ at offset 0×34c contains 1 entries:
Offset Info Type Sym.Value Sym. Name
08049744 00000206 R_386_GLOB_DAT 00000000 __gmon_start__

Relocation section ‘.rel.plt’ at offset 0×354 contains 5 entries:
Offset Info Type Sym.Value Sym. Name
08049754 00000107 R_386_JUMP_SLOT 00000000 bar
08049758 00000207 R_386_JUMP_SLOT 00000000 __gmon_start__
0804975c 00000407 R_386_JUMP_SLOT 00000000 __libc_start_main
08049760 00000507 R_386_JUMP_SLOT 00000000 foo
08049764 00000607 R_386_JUMP_SLOT 00000000 printf

以动态连接方式产生的可执行文件会在.interp这个section中写入dynamic loader的路径。例如：

wh5a@power3 /tmp/dyn $ readelf -S a.out|grep interp
[ 1] .interp PROGBITS 08048134 000134 000013 00 A 0 0 1
wh5a@power3 /tmp/dyn $ gdb -q a.out
(gdb) x/s 0×8048134
0×8048134: “/lib/ld-linux.so.2″

这样的话在程序被载入时，dynamic loader将会被调用以便装入程序依赖的动态库。

下面来看foo函数是如何被调用的：
0×080484e5 : call 0×80483d4
我 们前面提到从main中call的函数地址都需要被patch，这个过程被static linker做了第一步，使得call指令指向plt中。第二步的patch缺省时将会在动态时按需进行，也就是lazy symbol binding。这一行为可以通过环境变量LD_BIND_NOW=1进行修改，这样在debugging时会有些帮助。plt的基地址可以使用 readelf -S看出来，got也是很重要的信息，在此一并列出：

[11] .plt PROGBITS 08048394 000394 000060 04 AX 0 0 4
[21] .got PROGBITS 08049744 000744 000004 04 WA 0 0 4
[22] .got.plt PROGBITS 08049748 000748 000020 04 WA 0 0 4

plt每个entry是16 bytes，got每个entry是4 bytes。

PLT0的信息比较特殊（这里把具体的地址列出以便理解）：

push GOT[1] ; 0×804974c
jmp GOT[2] ; *0×8049750
0×00000000 ; padding

这之后的plt表项对应于每个动态函数。它们的顺序与readelf -r列出的顺序相同。我们知道foo是第4个函数，也就是PLT[4]，通过计算地址知道是0×80483d4，确实就是main函数call它的地址。
其中内容为：

PLT4:
080483d4 :
80483d4: ff 25 60 97 04 08 jmp *0×8049760 ; GOT[6]
80483da: 68 18 00 00 00 push $0×18 ; foo’s relocation offset
80483df: e9 b0 ff ff ff jmp 8048394 ; PLT0

PLT entry的第一条指令跳转到GOT中，也就是说GOT起到了又一层indirection的作用。GOT的每个表项被初始化为指向到PLT entry的第二条指令。
这 里PLT4对应于GOT6（还记得readelf -r显示的信息么？找到0×8049760了吗？）是因为GOT[0..2]都有特殊的作用（GOT[0]似乎指向.dynamic section，存放的是给dynamic loader有用的一些信息 [5]）。那么这个GOT的基址又是怎么来的呢？它对应于.got.plt这个section。.got section存放的应该是global variables，还有待继续研究。

初始状态下，foo尚未resolve，所以GOT尚未被dynamic linker patch。这样一来，GOT6使得0×80483da这条指令被执行。这条指令的作用是将foo所对应的offset压栈。接下来跳到PLT0继续执行。
PLT0 首先将GOT1中的内容（指向一个link_map结构）压栈，然后跳到GOT2继续执行。GOT[2]指向_dl_runtime_resolve函 数。这个函数是由dynamic linker提供的，通过查看proc文件系统的maps文件也可以看出GOT[2]确实指向的是/lib/ld-2.6.so的地址空间。这个函数是很 简单的一段汇编，用来建立必要的堆栈环境以便让_dl_fixup（源码在glibc/elf/dl-runtime.c）来完成真正的工作。前面我们压 入了两个参数，一个是GOT[1]的内容，也就是一个link_map的地址，另一个是待解决symbol的offset，在这里是0×18。这之后的详 细工作过程参见源码及[2]。这个函数最终将会patch GOT[6]，使得下次PLT4（也就是foo）再次被调用时可以直接取到foo的真正地址。接下来，_dl_fixup返回foo的真正地址给 _dl_runtime_resolve，它将返回值放到栈顶，xchg %eax,(%esp)，然后直接一个ret就跳到了foo了。

最后再总结一下.got.plt的作用：

.got.plt (0×8049748)
0×0804966c GOT[0], .dynamic
0×00ba3650 GOT[1], the link map
0×00b9a2b0 GOT[2], always jump here to resolve symbols. /lib/ld-linux.so.2 is loaded here.
…
0×080483da GOT[6], not resolved yet, so points right back to the instruction after the jmp

前面分析的是从应用程序调用动态库的情况。动态库本身是怎么完成符号解析的呢？
根据Ian Lance Taylor的 说法，最好是以PIC（-fpic）的方式编译shared lib，不这样也可以，但会增加dynamic linker做重定位的负担。以PIC方式编译的lib可以大量减少必要的relocation info，但调用non-static functions和访问global/static variables的时候都需要通过plt/got间接进行 (All problems in computer science can be solved by another level of indirection.)

如果libfoo.so是以PIC模式编译的，并调用了一个外部函数bar，则bar会出现在.rel.plt section中（readelf -r）；而如果不是以PIC模式编译，则bar将出现在.rel.dyn section中。如果是后者的话，dynamic linker会在load libfoo.so的时候利用该section提供的偏移量信息，直接将其中引用bar的地方patch上，这样一来也就意味着指令本身被修改了 （dynamic linker之后是不是应该重新将指令改为只读？），因此也就丧失了可被多个进程共享的特性。而如果是PIC模式，则会有一次间接的过程，我们现在分析的 就是这一过程。与函数调用不同，我们发现全局变量不论是以哪种方式编译，它们的重定位信息都被置于.rel.dyn中，我想这是因为数据的访问不像控制转 移一样可以借助几层跳转来完成，因此也无法进行lazy binding而必须在load时做完。

PIC模式与非PIC模式最大的不同就是前者不直接patch指令，而是patch GOT。所有的指令都访问GOT从而来达到position independence，与前文中动态解析库函数的idea非常类似。可是既然是地址无关的，怎么知道GOT的位置呢？关键在于每一个shared lib都带有自己的GOT，而且整个lib是作为一个整体被load到内存，因此GOT的基址与每条指令的相对偏移总是确定的。这样一来，一条指令在访问 GOT的时候，只要算出自己当前的IP地址，再加上这个被静态确定下来的偏移量，就可以定位到自己要访问的symbol的GOT entry了。


计算当前IP地址的函数一般是__i686.get_pc_thunk.bx，它会附带在每个PIC module中，因此它与调用它的函数的相对偏移也是固定下来的。它非常简单：

mov (%esp),%ebx
ret

这样就把它的返回地址，也就是caller function的IP地址给放到了ebx中。有时还能见到__i686.get_pc_thunk.cx，会写入ecx，这是因为ebx是callee saved reg，而ecx是caller saved，因此如果一个函数要调用别的函数则最好使用ebx，否则最好使用其它寄存器。接下来的指令（0x00113458）使用自己的IP加上一个固 定的偏移便得到了本lib的GOT地址。这一值通常会一直缓存在寄存器（ebx）中。

(gdb) disassemble
Dump of assembler code for function foo:
0x0011344c : push %ebp
0x0011344d : mov %esp,%ebp
0x0011344f : push %ebx
0x00113450 : sub $0x4,%esp
0x00113453 : call 0x113447 <__i686.get_pc_thunk.bx>
0x00113458 : add $0x1180,%ebx
0x0011345e : mov 0xfffffff0(%ebx),%eax ; a negative number because we are accessing .got from .got.plt
0x00113464 : movb $0x32,(%eax)
0x00113467 : call 0x113320
0x0011346c : lea 0xffffef08(%ebx),%eax
...

0x00113458这条指令的$0x1180是如何得来的呢？
我们运行readelf -r foo.o得到：

Relocation section '.rel.text' at offset 0x484 contains 7 entries:
Offset Info Type Sym.Value Sym. Name
00000008 00000b02 R_386_PC32 00000000 __i686.get_pc_thunk.bx
0000000e 00000c0a R_386_GOTPC 00000000 _GLOBAL_OFFSET_TABLE_
...

说明linker应该在.text section的0xe偏移出patch上_GLOBAL_OFFSET_TABLE_的真实地址。而0xe对应的恰恰就是foo.o的.text section的那条add指令的操作数：

$ objdump -d foo.o
Disassembly of section .text:
00000000 :
0: 55 push %ebp
1: 89 e5 mov %esp,%ebp
3: 53 push %ebx
4: 83 ec 04 sub $0x4,%esp
7: e8 fc ff ff ff call 8 ; 0x8: __i686.get_pc_thunk.bx
c: 81 c3 02 00 00 00 add $0x2,%ebx ; 0xe: _GLOBAL_OFFSET_TABLE_
...

我们再看一下_GLOBAL_OFFSET_TABLE_这个symbol的值在libfoo.so中是多少

$ nm libfoo.so |grep _GLOBAL_OFFSET_TABLE_
000015d8 a _GLOBAL_OFFSET_TABLE_
$ readelf -S libfoo.so|grep 15d8
[20] .got.plt PROGBITS 000015d8 0005d8 00001c 04 WA 0 0 4

正是.got.plt的地址！因此可以看出来，所有访问got的指令都留了个空，告诉linker在决定了got的地址时（其实也就是偏移量而非绝对地址），把got相对于该指令的偏移量填进来。

注意计算了半天得到got的地址只是为了能访问全局变量，因为需要绝对地址(0x0011345e)。而调用plt中的函数只需要一个相对地址就够了，因此不需要通过ebx来间接访问(0x00113467)。

References：
[1] Linkers part 4
[2]
[3]
[4]
[5]
[6] Before main() 分析