ELFバイナリのロードとリンカ・ローダの内部

実行ファイルが走り出すまでの空白

./a.out を実行してから最初のユーザー命令が走るまでには、いくつもの段階が挟まります。カーネルが実行ファイルを読んでメモリに配置し、必要なら動的リンカ（ローダ）に橋渡しし、リンカが共有ライブラリを集めてアドレスを埋め込み、ようやく main へ到達します。この空白を担うのが ELF（Executable and Linkable Format）というファイル形式と、それを解釈するリンカ・ローダです。

ELF ファイルは二つの顔を持ちます。リンク時にリンカ（ld）が見るのはセクションヘッダ（.text, .data, .rela.dyn など細かい単位）で、実行時にカーネルとローダが見るのはプログラムヘッダ（実行に必要な粗い単位＝セグメント）です。同じファイルを別の地図で読むわけです。実行に効くのは後者なので、本稿はプログラムヘッダ側を中心に追います。

プログラムヘッダとセグメントのmmap配置

プログラムヘッダテーブルは、ファイル内の領域（セグメント）をどうメモリへ写すかを記述したエントリの並びです。実行ファイルのロードに最も重要なのが PT_LOAD エントリで、これ一つひとつが「ファイルのこのオフセットから、この仮想アドレスへ、この保護属性で写せ」という指示になります。

readelf -l で見える典型的な PT_LOAD は次のような情報を持ちます。

Type   Offset    VirtAddr   FileSiz   MemSiz    Flags  Align
PT_LOAD 0x000000 0x...000   0x001a40  0x001a40  R E    0x1000   ← コード（.text）
PT_LOAD 0x002db0 0x...2db0  0x000280  0x000610  RW     0x1000   ← データ＋BSS

ここで効くのが FileSiz と MemSiz の差です。MemSiz が FileSiz より大きいセグメントは、その差分がゼロ初期化領域（BSS）を表します。ファイルにはゼロを記録せず、ローダが余りをゼロ埋めするため、実ファイルを節約できます（プロセスアドレス空間のレイアウトとASLR の BSS と同じ原理です）。

カーネルは各 PT_LOAD を mmap でファイルにマップします。Flags の R/W/E がそのままページの保護属性（r--/rw-/r-x）になり、コードは書き込み不可、データは実行不可として置かれます。実体ページはこの時点では割り当てられず、最初にアクセスした瞬間にフォルト経由で読み込まれます（デマンドページングとページフォルト処理のファイルバックドページに相当）。同じ読み取り専用コードページは複数プロセスで物理ページを共有できるため、同じ実行ファイルを多数起動してもコードのメモリは増えません。

静的リンクと動的リンクで経路が分かれる

プログラムヘッダに PT_INTERP エントリがある（＝動的実行ファイル）と、カーネルはそこに書かれたインタプリタ（例 /lib64/ld-linux-x86-64.so.2）も同様に mmap し、エントリポイントを実行ファイル本体ではなくこの ld.so に設定します。静的リンク実行ファイルには PT_INTERP がなく、カーネルは本体のエントリポイントへ直接ジャンプします。動的リンクの面倒な後処理は、すべてこの ld.so がユーザー空間で担います。

動的リンカ（ld.so）の仕事

ld.so に制御が渡ると、リンカはまずカーネルが渡した補助ベクタ（auxiliary vector, AT_PHDR などプログラムヘッダの位置情報）を読み、自分自身と本体の配置を把握します。続いて三つの仕事を順に行います。

依存ライブラリのロード: 本体の .dynamic セクションにある DT_NEEDED を辿り、必要な共有ライブラリ（libc.so.6 など）を再帰的に探索・mmap する。探索パスは LD_LIBRARY_PATH、DT_RUNPATH、ld.so.cache、既定ディレクトリの順で決まる（旧式の DT_RPATH だけは LD_LIBRARY_PATH より前に効くが非推奨）。
再配置（relocation）の適用: 各オブジェクトに記録された再配置エントリを処理し、まだ確定していなかったアドレスを実際の番地で埋める。
シンボル解決（symbol resolution）: 関数や変数の参照を、定義側の実アドレスに結びつける。

このうち再配置とシンボル解決が動的リンクの核心です。

再配置：埋めるべき空欄を埋める

共有ライブラリは、どの番地にロードされるか事前に決められません（ASLR でロードごとに動きます）。そこでコンパイラは、絶対番地を直書きせずロード時に埋める空欄として残し、その空欄の場所と埋め方を再配置エントリとして記録します。ld.so はロード後の実アドレスを使って空欄を埋めていきます。

x86-64 の主要な再配置型を押さえます。

再配置型	埋める対象	計算（概念）
R_X86_64_RELATIVE	自オブジェクト内の絶対アドレス（PIE等）	ロード基準アドレス + 加数
R_X86_64_GLOB_DAT	GOT 内のデータ/関数シンボル	解決したシンボルの実アドレス
R_X86_64_JUMP_SLOT	PLT 用 GOT エントリ（関数）	解決した関数の実アドレス（遅延可）
R_X86_64_64	64bit 絶対参照	シンボルアドレス + 加数

R_X86_64_RELATIVE は最も多い型で、シンボル探索を伴わず「ロード基準アドレスを足すだけ」で済むため高速です。PIE 実行ファイルが起動時に処理する再配置の大半はこれで、起動コストの主因にもなります。

PLT/GOTと遅延束縛

外部関数の呼び出しを毎回フルにシンボル解決していては、起動時に全関数のアドレスを引く必要があり重くなります。そこで使われるのが PLT（Procedure Linkage Table） と GOT（Global Offset Table） による間接呼び出しと、初回呼び出し時にだけ解決する**遅延束縛（lazy binding）**です。

仕組みは二段構えです。コードは外部関数を直接呼ばず、PLT 内のスタブを呼びます。PLT スタブは GOT エントリを間接ジャンプ先として参照します。

call printf@plt          ; コードは PLT スタブを呼ぶ
─────────────────────────
printf@plt:
    jmp  *GOT[printf]    ; GOT に入っている番地へ間接ジャンプ
    ; ↑初回は「解決ルーチン」を指す。解決後は printf 本体を指す
    push <reloc index>   ; 初回のみここに落ちる
    jmp  PLT[0]          ; ld.so の解決ルーチンへ（_dl_runtime_resolve）

初回呼び出しでは GOT エントリがまだ本体を指しておらず、解決ルーチン（_dl_runtime_resolve）に落ちます。ld.so がそこで printf の実アドレスを解決し、GOT エントリをその実アドレスで上書きしてから printf へ飛びます。二回目以降は GOT が本体を指しているので、jmp *GOT[printf] 一発で直接ジャンプし、解決のオーバーヘッドは消えます。これが遅延束縛で、一度も呼ばれない関数を解決しない分、起動を速くできます。

GOTはデータ、PLTはコード

GOT は書き込み可能なデータ領域に置かれ、ld.so が解決結果を書き込みます。PLT は読み取り・実行のみのコードで、内容は固定です。「コードは不変・データだけ書き換える」という分担により、位置独立なコードページを共有したまま、プロセスごとに異なる解決結果を GOT に持てます。

遅延束縛とセキュリティはトレードオフ

書き込み可能な GOT は攻撃の標的になり得ます（GOT 上書きで制御を奪う手口）。これを防ぐのが Full RELRO で、起動時にすべてのシンボルを即時解決（遅延束縛を無効化）したうえで GOT を読み取り専用に再マップします。起動はわずかに遅くなりますが、解決後の GOT 改ざんを封じられます。Full RELRO は本質的に即時束縛（LD_BIND_NOW 相当）を前提とするため、遅延束縛とは両立しません。

PIEとASLRの関係

ASLR で実行ファイル本体のコード／データまでランダム化するには、本体を任意の基準アドレスに置けなければなりません。これを可能にするのが PIE（Position Independent Executable） です。

PIE はすべての内部参照を、絶対番地ではなく**現在の命令位置からの相対（RIP 相対）**か、GOT を経由した間接参照として生成します。だからどこにロードしても正しく動き、ld.so は R_X86_64_RELATIVE 再配置でロード基準を足し込むだけで配置を確定できます。逆に PIE でない（位置依存の）実行ファイルは、テキスト／データが固定番地を前提にコンパイルされているため、本体だけは決まった番地にしか置けず、ここだけ ASLR が効きません（プロセスアドレス空間のレイアウトとASLR を参照）。

観点	PIE 実行ファイル	非PIE（位置依存）実行ファイル
本体のロード位置	任意（ASLRでランダム化）	リンク時に決めた固定番地
内部参照の方式	RIP相対 / GOT経由	絶対番地を直書き
起動時の再配置	RELATIVE再配置が多く発生	本体の再配置はほぼ不要
本体のASLR	効く	効かない（共有ライブラリは別途有効）
ビルド	-fPIE -pie	-no-pie

注意したいのは、共有ライブラリ（.so）はもともと位置独立としてビルドされるため、PIE でなくても mmap 配置はランダム化される点です。PIE が追加で動かすのは実行ファイル本体だけです。再配置と GOT という仕組みがあるからこそ、コードを固定番地に縛らずに済み、それが本体の ASLR を支えています。

つまずきポイント

セクションとセグメントは別の地図。.text や .bss はセクション（リンク時の単位）、PT_LOAD はセグメント（実行時の単位）で、一つのセグメントは複数セクションをまとめます。実行に効くのはセグメント側です。
遅延束縛は関数だけ。データシンボル（外部変数）の参照は遅延できず、起動時に必ず解決されます。遅延できるのは PLT を経由する関数呼び出しのみです。
R_X86_64_RELATIVE はシンボル解決ではない。番地に基準を足すだけの再配置で、シンボルテーブルの探索を伴いません。PIE の起動コストの主因はこの大量の RELATIVE 処理で、シンボル解決の重さとは別物です。
PIE と ASLR は別レイヤー。ASLR はカーネルの緩和策、PIE はコンパイラ／リンカが作る性質です。PIE は ASLR が本体に効くための前提条件であって、PIE 自体がランダム化するわけではありません。

まとめ

カーネルは ELF のプログラムヘッダ（PT_LOAD）を保護属性付きで mmap し、MemSiz と FileSiz の差を BSS としてゼロ埋めする。PT_INTERP があれば ld.so に制御を渡す。
ld.so は依存ライブラリを再帰ロードし、再配置で空欄を実アドレスで埋め、シンボルをスコープ探索順で解決する。R_X86_64_RELATIVE は基準加算だけの軽い再配置で、PIE 起動コストの主因になる。
PLT/GOT による間接呼び出しと遅延束縛で、外部関数は初回呼び出し時にだけ解決し、GOT を上書きして以後は直接ジャンプする。Full RELRO は遅延束縛を捨てて GOT を読み取り専用化する。
PIE は内部参照を相対・間接にすることで任意配置を可能にし、それが本体の ASLR を成立させる。再配置と GOT がこの自由配置を支えている。

ロード後のアドレス変換のハードウェア側は仮想記憶のアドレス変換とMMU/TLBの内部、カーネルとユーザー空間の境界をまたぐ呼び出し機構はシステムコールのABIと呼び出し機構の内部と合わせて読むと、配置・呼び出し・変換が一本につながります。

ELFバイナリのロードとリンカ・ローダの内部

実行ファイルが走り出すまでの空白

プログラムヘッダとセグメントのmmap配置

動的リンカ（ld.so）の仕事

再配置：埋めるべき空欄を埋める

PLT/GOTと遅延束縛

PIEとASLRの関係

つまずきポイント

まとめ

ELFバイナリのロードとリンカ・ローダの内部を実務で読む

解決すること

比較で見る軸

導入後に効く点

先に潰すリスク

判断チェックリスト

次に確認する観点