vmlinux是Linux 内核编译后生成的原始、未压缩的 ELF 可执行文件,它是内核的完整二进制映像,包含了所有内核代码、数据、符号表和调试信息。
1. 基本概念
文件性质
- 格式:ELF(Executable and Linkable Format)可执行文件
- 位置:位于内核源码编译目录(通常是
arch/<架构>/boot/的上级目录) - 大小:通常很大(几十到几百MB),因为包含调试符号
- 状态:未压缩、未处理的原始内核映像
与其它内核文件的关系
vmlinux (原始ELF文件) ↓ 压缩 + 添加解压代码 arch/x86/boot/compressed/vmlinux.bin ↓ 转换为特定格式 arch/x86/boot/bzImage (最终引导文件)2. 主要特点
包含完整信息
- 所有内核代码段(.text)
- 所有数据段(.data, .bss)
- 完整的符号表(函数名、变量名及其地址)
- 调试信息(DWARF 格式,如果编译时开启)
- 重定位信息
- 节区头表、程序头表等 ELF 元数据
不可直接引导
- 需要经过处理才能被引导加载器使用
- 处理步骤包括:
- 压缩(可选)
- 添加解压引导代码
- 转换为引导加载器可识别的格式
3. 主要用途
内核调试
# 使用 gdb 调试内核gdb vmlinux# 连接到 QEMU 运行的内核(gdb)target remote :1234# 设置断点(gdb)b sys_open(gdb)c符号分析
# 查看所有符号nm vmlinux# 查看特定符号nm vmlinux|grep"sys_call_table"# 查看符号详细信息readelf-svmlinux|less# 查看节区信息readelf-Svmlinux反汇编分析
# 反汇编特定函数objdump-dvmlinux--disassemble=sys_open# 查看整个代码段objdump-dvmlinux-j.text|less生成 System.map
# System.map 通常从 vmlinux 生成nm-nvmlinux|grep-v'\( [aNUw] \)\|\(__crc_\)\|\( \$[adt]\)'>System.map性能分析支持
- perf 等工具需要 vmlinux 中的调试信息进行符号解析
- 火焰图生成需要符号信息
4. 文件结构示例
使用readelf -h vmlinux查看 ELF 头:
ELF Header: Magic: 7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00 Class: ELF64 Data: 2's complement, little endian Version: 1 (current) OS/ABI: UNIX - System V ABI Version: 0 Type: EXEC (Executable file) Machine: Advanced Micro Devices X86-64 Version: 0x1 Entry point address: 0x1000000 Start of program headers: 64 (bytes into file) Start of section headers: 145765632 (bytes into file) Flags: 0x0 Size of this header: 64 (bytes) Size of program headers: 56 (bytes) Number of program headers: 5 Size of section headers: 64 (bytes) Number of section headers: 45 Section header string table index: 445. 与相关文件的区别
| 文件 | 性质 | 用途 | 大小 | 可引导 |
|---|---|---|---|---|
| vmlinux | 原始ELF文件 | 调试、分析 | 大 | 否 |
| vmlinuz | 压缩内核 | 实际引导 | 较小 | 是 |
| bzImage | 大内核映像 | x86引导 | 较小 | 是 |
| zImage | 小内核映像 | 旧x86/嵌入式 | 较小 | 是 |
| System.map | 文本符号表 | 地址解析 | 小 | - |
| /proc/kallsyms | 运行时符号表 | 动态调试 | - | - |
6. 实际应用场景
场景1:内核崩溃分析
# 使用 crash 工具分析 vmcorecrash vmlinux vmcore# 查看崩溃时的堆栈crash>bt crash>log场景2:函数地址验证
# 编译时地址nm vmlinux|grep"start_kernel"# 输出:ffffffff81000000 T start_kernel# 运行时地址(需root)grep"start_kernel"/proc/kallsyms# 输出:ffffffff8b200000 T start_kernel (KASLR偏移)场景3:内核模块开发
# 查看内核导出符号nm vmlinux|grep" __ksymtab"|less# 验证模块使用的符号是否存在场景4:安全研究
# 分析内核漏洞利用objdump-dvmlinux --start-address=0xffffffff81000000|less# 查找特定指令序列objdump-dvmlinux|grep"ret"|grep-c""7. 如何获取 vmlinux
从源码编译
# 1. 配置内核makedefconfig# 或 make menuconfig# 2. 编译make-j$(nproc)# 3. vmlinux 生成在源码根目录ls-lhvmlinux从发行版获取
# Debian/Ubuntuaptinstalllinux-image-$(uname-r)-dbgsym# 文件通常位于/usr/lib/debug/boot/vmlinux-$(uname-r)# 或从内核包提取dpkg-xlinux-image-*.deb /tmp/从调试信息包
# RHEL/CentOSdebuginfo-install kernel-$(uname-r)# 文件位于/usr/lib/debug/lib/modules/$(uname-r)/vmlinux8. 注意事项
- 版本匹配:vmlinux 必须与运行内核版本完全一致
- 配置一致:编译配置影响符号和地址
- KASLR 影响:运行时地址 = 编译地址 + KASLR 偏移
- 存储空间:vmlinux 文件很大,通常不包含在发行版中
- 安全考虑:包含完整符号信息,生产环境通常不提供
9. 相关工具链
# 完整分析流程示例1. 获取 vmlinux2. 提取符号:nm vmlinux>symbols.txt3. 反汇编关键函数:objdump-dvmlinux--disassemble=do_fork>do_fork.asm4. 调试分析:gdb vmlinux5. 性能关联:perf report--symfs=/path/to/vmlinux/dirvmlinux是内核开发者、安全研究员和系统调试者的基础分析工具,提供了对内核内部结构的完整访问能力。虽然普通用户很少直接使用它,但几乎所有内核级分析工具都依赖于它或它衍生的信息。
)
