要想在Linux系统上实现逆向工程，分析，设计或查杀病毒和恶意代码，你不得不深入掌握其可执行文件的ELF格式，这样你才能了解进程在内存空间的布局和运行的基本规律，这样你才能有针对性的设计有效的病毒或恶意代码入侵系统 ET_EXEC表示可执行文件，它是由多个.o文件链接起来，可以被加载到内存进行执行的进程数据文件；ET_DYN表示动态链接库，它里面包含一系列向外导出的函数代码，当进程需要调用其内部函数时会将其加载到内存 ELF格式的可执行文件在概念上由各种”段“组成，例如用于存储代码的文本段，用于存储数据的数据段等，这些段的数量和相关信息就由程序表头来描述，在加载运行ELF可执行文件时，系统会读取程序表头，获得各个段的信息 ，将段对应的内容加载到内存，这样可执行文件才能变成可以运行的进程，我们可以使用命令readelf -l 来读取程序表头的内容，具体情况如下： ? ，后者指向结束代码，当进程执行结束后，必须执行结束代码后进程才能完全被杀掉。