PLT(过程链接表)是Linux动态链接中实现延迟绑定的核心机制,它通过与GOT配合,在函数首次调用时按需解析地址,从而显著提升程序启动效率。
深入理解linux plt原理
延迟绑定的由来
在动态链接的世界里,程序在启动时并不需要加载所有外部函数的地址,如果没有PLT,链接器必须在程序开始运行前解析每一个符号,这会导致启动时间显著增加,尤其是当程序链接了大量共享库时,PLT正是为了解决这个问题而生,它把函数地址的解析工作推迟到函数第一次被调用时,也就是所谓的“延迟绑定”(Lazy Binding)。
PLT与GOT的协作细节
每个动态链接的函数在PLT中都有一个对应的条目,这个条目最初包含一段代码,直接跳转到GOT中对应的地址,而GOT初始存放的是PLT中下一条指令的地址,或者指向一个解析函数(通常是_dl_runtime_resolve),当函数第一次被调用时,会通过PLT跳转到GOT,此时GOT指向解析函数,解析函数找到函数的真实地址,将其写入GOT,然后跳转到该函数,后续调用时,PLT再次跳转到GOT,此时GOT已经存放真实地址,所以直接跳转到函数,完成加速。
在这个过程中,PLT自身是只读的,它只负责提供跳转逻辑;GOT是可写的,以便动态更新,这种设计既保证了安全性,又实现了性能优化。
为什么需要PLT而非直接调用
直接调用外部函数意味着编译器需要在编译时确定地址,但动态链接下地址在加载时才能确定,PLT提供了一层间接跳转,使得代码位置无关,并且支持延迟绑定,如果没有PLT,要么每次调用都经过动态链接器解析,要么提前解析所有符号,这都会牺牲性能。
plt和got区别:从协作到分工
一张表看懂区别
很多开发者容易混淆PLT和GOT,但实际上它们职责非常清晰,下表展示了它们的核心区别:
| 特性 | PLT | GOT |
|---|---|---|
| 所在段 | 通常位于.plt段(代码段) |
通常位于.got.plt段(数据段) |
| 可写性 | 只读(不可修改) | 可写(由动态链接器更新) |
| 作用 | 提供跳板逻辑 | 保存最终跳转目标 |
| 访问方式 | 通过函数调用指令(如call printf@plt) |
通过PLT间接访问,也可直接读取 |
为什么需要这种分工
行业共识认为,将跳转逻辑与地址数据分离,可以显著提升内存使用效率,PLT的代码段可以共享,而GOT的每个进程副本独立,便于实现不同进程的地址空间独立,只读的PLT防止了恶意篡改,而可写的GOT允许运行时更新,这是延迟绑定能够实现的基础。
实际场景中的协作
当你在代码中调用printf时,编译器生成的指令是call printf@plt,这个地址落在PLT段,执行流程如下:
- 第一次调用:PLT跳转到GOT,GOT指向
_dl_runtime_resolve,解析printf真实地址并写入GOT,然后跳转到printf。 - 第二、第三次调用:PLT跳转到GOT,GOT已经保存了
printf的真实地址,直接跳转,不再触发解析。
这种模式下,从未调用的函数永远不会被解析,对于有大量库依赖但只使用少数函数的程序,启动速度提升非常明显。
实操:如何查看linux plt表结构
使用objdump解析PLT条目
要查看二进制文件中PLT的具体内容,最直接的方法是使用objdump,对于编译后的可执行文件test,运行:
objdump -d -j .plt test
这会输出PLT段的反汇编代码,每个条目通常包含三行指令:
- 第一行:跳转到GOT中对应条目(类似
jmp GOT[n]) - 第二行:压入一个索引值(用于标识是哪个PLT条目)
- 第三行:跳转到公共解析函数
_dl_runtime_resolve
如果PLT条目较多,可以直接用grep过滤:
objdump -d test | grep '@plt>'
用readelf查看GOT内容
GOT的具体数据可以通过readelf的-r选项查看重定位表,或者用objdump -R
。
readelf -r test
输出中会列出所有需要重定位的符号,以及它们对应的GOT条目偏移,这些信息在调试异常问题时有很大价值,比如怀疑某个函数地址被错误覆盖时,可以通过对比GOT中的值与期望值来定位。
在gdb中动态观察PLT行为
当程序运行时,可以在gdb中设置断点,观察PLT如何被调用。
(gdb) break 0x555555555060
(gdb) run
如果地址是某个PLT条目,你会发现第一次调用时进入解析流程,第二次调用则直接跳转到目标函数,通过stepi单步指令,可以清晰看到GOT地址的变化,具体操作是:
- 在
call printf@plt处设断点。 - 单步进入后,查看当前指令(通常是一条
jmp)。 - 用
info registers或x/gx查看GOT中存放的地址,第一次调用时它指向PLT中的push指令,第二次调用后指向真正的printf。
plt hook技术:原理与实现
通过PLT/GOT实现函数拦截
PLT的动态特性为函数拦截提供了天然入口,由于GOT在运行时可以被修改,因此我们可以通过替换GOT中的地址,实现对函数调用的劫持,常见的做法是使用LD_PRELOAD环境变量,但更底层的PLT hook则直接修改内存中的GOT条目。
具体步骤通常包括:
- 找到目标函数在GOT中的偏移(通过
objdump或readelf)。 - 使用
mprotect将GOT所在页设置为可写。 - 将GOT中的地址替换为自定义函数的地址。
- 调用结束后恢复原地址,或永久替换。
这种方法在性能分析、安全审计、调试工具中广泛应用,知名的内存泄漏检测工具valgrind就利用了类似的机制。
注意事项与性能影响
虽然PLT hook非常强大,但业内专家指出,它并非适用于所有场景,由于GOT是每个进程独立的,hook只影响当前进程,且需要处理多线程同步问题,频繁修改GOT会带来一定的性能开销,据统计,每次hook操作可能增加数十纳秒的延迟,在实时系统中需要谨慎评估。
一个简单的hook示例
假设我们想拦截puts调用,可以这样操作:
- 用
objdump -R找到puts的GOT地址。 - 用
dlopen和dlsym获取puts的原始地址(用于后续恢复)。 - 用
mprotect使GOT页可写,然后写入自定义函数地址。 - 自定义函数中记录日志后,再调用原始
puts。
这种方式在调试私有库或第三方二进制时非常实用,无需重新编译即可改变行为。
常见问题:linux plt相关疑点解答
问题1:在linux plt 调试时,如何区分PLT与GOT的地址?
在调试器中,PLT地址通常位于可执行代码段,而GOT地址属于数据段,通过info files可以查看段映射,PLT一般在.plt段,GOT在.got.plt段,实际地址可以通过objdump -t或readelf -S确认,PLT中的指令通常是jmp和push,而GOT中存储的是地址值,可以直接用x/gx查看。
问题2:plt和got区别在于,PLT是否一定需要GOT配合?
是的,PLT的每个条目都指向GOT,没有GOT提供目标地址,PLT无法完成跳转,两者是绑定关系,PLT负责跳转逻辑,GOT负责地址存储,即使对于延迟绑定,PLT的初始跳转目标也是GOT,而GOT指向解析函数,如果GOT被错误修改,PLT就会跳转到错误地址,导致程序崩溃。
问题3:plt hook技术是否会影响动态链接的性能?
在大多数情况下,PLT hook的额外开销可以忽略不计,但大量高频hook可能会增加上下文切换延迟,根据glibc相关文档,每次PLT解析本身就有微秒级的开销,而hook只是替换一个地址,解析过程不变,如果hook函数本身高效,性能影响通常低于5%,对于非实时性应用,这完全在可接受范围内。
PLT作为Linux动态链接的基石,通过延迟绑定机制在启动速度和运行时效率之间取得了完美平衡,理解PLT与GOT的协作关系,不仅有助于日常开发调试,更是掌握动态链接精髓的关键一步,无论你是排查性能问题,还是实现函数拦截,PLT都是绕不开的核心概念。
首发原创文章,作者:世雄 - 原生数据库架构专家,如若转载,请注明出处:https://idctop.com/article/500784.html



