readelf objdump nm-wzzushx-ChinaUnix博客

objdump和readelf都可以用来查看二进制文件的一些内部信息. 区别在于objdump
借助BFD而更加通用一些, 可以应付不同文件格式, readelf则并不借助BFD,
而是直接读取ELF格式文件的信息, 按readelf手册页上所说, 得到的信息也略细致一些.
几个功能对比.

1. 反汇编代码
查看源代码被翻译成的汇编代码, 大概有3种方法,
1) 通过编译器直接从源文件生成, 如gcc -S
2) 对目标代码反汇编, 一种是静态反汇编, 就是使用objdump
3) 另外一种就是对运行时的代码反汇编, 一般通过gdb
readelf并不提供反汇编功能.

objdump可以指定反汇编哪个节, 一般只有对包含指令的节反汇编才有意义. 而对于一些
其他的类型的节, objdump也可以将特殊节的数据以解析后的形式呈现出来,
例如对于.plt, 输出如下:

[qtl@courier lib]$ objdump -d -j .plt libfoobar.so

libfoobar.so:     file format elf32-i386

Disassembly of section .plt:

000003a4 <__gmon_start__@plt-0x10>:
3a4:   ff b3 04 00 00 00       pushl  0x4(%ebx)
3aa:   ff a3 08 00 00 00       jmp    *0x8(%ebx)
3b0:   00 00                   add    %al,(%eax)
        ...

000003b4 <__gmon_start__@plt>:
3b4:   ff a3 0c 00 00 00       jmp    *0xc(%ebx)
3ba:   68 00 00 00 00          push   $0x0
3bf:   e9 e0 ff ff ff          jmp    3a4 <_init+0x18>

000003c4 :
3c4:   ff a3 10 00 00 00       jmp    *0x10(%ebx)
3ca:   68 08 00 00 00          push   $0x8
3cf:   e9 d0 ff ff ff          jmp    3a4 <_init+0x18>

000003d4 :
3d4:   ff a3 14 00 00 00       jmp    *0x14(%ebx)
3da:   68 10 00 00 00          push   $0x10
3df:   e9 c0 ff ff ff          jmp    3a4 <_init+0x18>

000003e4 :
3e4:   ff a3 18 00 00 00       jmp    *0x18(%ebx)
3ea:   68 18 00 00 00          push   $0x18
3ef:   e9 b0 ff ff ff          jmp    3a4 <_init+0x18>

000003f4 <__cxa_finalize@plt>:
3f4:   ff a3 1c 00 00 00       jmp    *0x1c(%ebx)
3fa:   68 20 00 00 00          push   $0x20
3ff:   e9 a0 ff ff ff          jmp    3a4 <_init+0x18>

2. 显示relocation节的条目
-r参数显示elf文件的类型为REL的节的信息, 使用-S参数可以列出elf文件的
所有节的信息, 其中也就包括了REL节.

对于可重定位文件两者显示条目一致, 最重要的offset和type以及Sym.Name都有.
下面是两者输出的对比.

[qtl@courier lib]$ readelf -r bar.o

Relocation section '.rel.text' at offset 0x4bc contains 6 entries:
Offset     Info    Type            Sym.Value  Sym. Name
00000008  00000b02 R_386_PC32        00000000   __i686.get_pc_thunk.bx
0000000e  00000c0a R_386_GOTPC       00000000   _GLOBAL_OFFSET_TABLE_
00000025  00000d04 R_386_PLT32       00000000   cos
0000002e  00000e03 R_386_GOT32       00000000   stdout
00000044  00000509 R_386_GOTOFF      00000000   .rodata
00000050  00000f04 R_386_PLT32       00000000   fprintf

[qtl@courier lib]$ objdump -r bar.o

bar.o:     file format elf32-i386

RELOCATION RECORDS FOR [.text]:
OFFSET   TYPE              VALUE
00000008 R_386_PC32        __i686.get_pc_thunk.bx
0000000e R_386_GOTPC       _GLOBAL_OFFSET_TABLE_
00000025 R_386_PLT32       cos
0000002e R_386_GOT32       stdout
00000044 R_386