ELF -tiedostomuodon ymmärtäminen

Lähdekoodista binaarikoodiin

Ohjelmointi alkaa fiksusta ideasta ja lähdekoodin kirjoittamisesta valitsemallasi ohjelmointikielellä, esimerkiksi C, ja lähdekoodin tallentamisesta tiedostoon. Riittävän kääntäjän, esimerkiksi GCC: n, avulla lähdekoodisi käännetään ensin objektikoodiksi. Lopulta linkitin kääntää objektikoodin binääritiedostoksi, joka linkittää objektikoodin viitattuihin kirjastoihin. Tämä tiedosto sisältää yksittäiset ohjeet konekoodina, jotka CPU ymmärtää ja suoritetaan heti, kun käännetty ohjelma suoritetaan.

Edellä mainittu binaaritiedosto noudattaa tiettyä rakennetta, ja yksi yleisimmistä on nimeltään ELF, joka lyhentää suoritettavaa ja linkitettävää muotoa. Sitä käytetään laajalti suoritettaviin tiedostoihin, siirrettäviin objektitiedostoihin, jaettuihin kirjastoihin ja ydinjätteisiin.

Kaksikymmentä vuotta sitten-vuonna 1999-86open-projekti on valinnut ELF: n vakiotiedostomuodoksi Unix- ja Unix-tyyppisille järjestelmille x86-prosessoreilla. Onneksi ELF -muoto oli aiemmin dokumentoitu sekä System V -sovelluksen binaariliitännässä että Tool Interface Standardissa [4]. Tämä tosiasia yksinkertaisti huomattavasti Unix-pohjaisten käyttöjärjestelmien eri toimittajien ja kehittäjien välistä standardointisopimusta.

Syy tähän päätökseen oli ELF: n suunnittelu-joustavuus, laajennettavuus ja eri alustojen välinen tuki erilaisille endialaisille muodoille ja osoitteille. ELF: n suunnittelu ei rajoitu tiettyyn suorittimeen, käskyjoukkoon tai laitteistoarkkitehtuuriin. Katso suoritettavien tiedostomuotojen yksityiskohtainen vertailu täältä [3].

Siitä lähtien useat eri käyttöjärjestelmät ovat käyttäneet ELF -muotoa. Tähän kuuluvat muun muassa Linux, Solaris/Illumos, Free-, Net- ja OpenBSD, QNX, BeOS/Haiku ja Fuchsia OS [2]. Lisäksi se löytyy mobiililaitteista, joissa on Android-, Maemo- tai Meego OS/Sailfish -käyttöjärjestelmä, sekä pelikonsoleista, kuten PlayStation Portable, Dreamcast ja Wii.

Tekniset tiedot eivät selvennä ELF -tiedostojen tiedostotunnistetta. Käytössä on erilaisia ​​kirjainyhdistelmiä, kuten .axf, .bin, .elf, .o, .prx, .puff, .ko, .so ja .mod tai ei mitään.

ELF -tiedoston rakenne

Linux -päätteessä komento man elf antaa sinulle kätevän yhteenvedon ELF -tiedoston rakenteesta:

Listaus 1: ELF -rakenteen manpage

Kuten yllä olevasta kuvauksesta näet, ELF -tiedosto koostuu kahdesta osasta - ELF -otsikosta ja tiedostotiedoista. Tiedostotieto -osio voi koostua ohjelman otsikkotaulukosta, joka kuvaa nollaa tai useampia segmenttejä, osion otsikkotaulukosta, joka kuvaa nolla tai useampia osia, jota seuraa tiedot, joihin viitataan ohjelman otsikkotaulukon merkinnöistä, ja osion otsikkotaulukosta. Jokainen segmentti sisältää tietoja, joita tarvitaan tiedoston suorittamiseen ajon aikana, kun taas osiot sisältävät tärkeitä tietoja linkittämistä ja siirtämistä varten. Kuva 1 havainnollistaa tätä kaavamaisesti.

ELF -otsikko

ELF -otsikko on 32 tavua pitkä ja tunnistaa tiedoston muodon. Se alkaa neljän ainutlaatuisen tavun sekvenssillä, jotka ovat 0x7F, jota seuraa 0x45, 0x4c ja 0x46, mikä tarkoittaa kolmea kirjainta E, L ja F. Muiden arvojen lisäksi otsikko osoittaa myös, onko kyseessä ELF -tiedosto 32- vai 64-bittinen muoto, käyttää vain vähän tai suurta endianssia, näyttää ELF-version sekä sen, mihin käyttöjärjestelmään tiedosto on koottu, jotta se voi toimia yhdessä oikean sovelluksen binääriliittymän (ABI) ja suorittimen ohjeiden kanssa.

Binaaritiedoston kosketusnäytön heksdump näyttää seuraavalta:

.Listaus 2: Binääritiedoston kuusikulma

Debian GNU/Linux tarjoaa readelf -komennon, joka sisältyy GNU -pakettiin binutils. Kytkimen -h (lyhyt versio –file -header) mukana se näyttää hienosti ELF -tiedoston otsikon. Listaus 3 havainnollistaa tätä komennon kosketuksessa.

.Lista 3: ELF -tiedoston otsikon näyttäminen

Ohjelman otsikko

Ohjelman ylätunniste näyttää ajon aikana käytetyt segmentit ja kertoo järjestelmälle kuinka luoda prosessikuva. Listan 2 otsikko osoittaa, että ELF -tiedosto koostuu yhdeksästä ohjelman otsikosta, joiden koko on 56 tavua, ja ensimmäinen otsikko alkaa tavusta 64.

Readelf -komento auttaa jälleen poimimaan tiedot ELF -tiedostosta. Kytkin -l (lyhenne sanoista –program -headers tai –segments) paljastaa lisätietoja luettelossa 4 esitetyllä tavalla.

.Lista 4: Näytä ohjelman otsikoiden tiedot

Osion otsikko

ELF -rakenteen kolmas osa on osion otsikko. Tarkoituksena on luetella binäärin yksittäiset osat. Kytkin -S (lyhenne –section -headers tai –sections) luettelee eri otsikot. Kosketuskomennossa on 27 osion otsikkoa, ja luettelo 5 näyttää vain neljä ensimmäistä niistä ja viimeisen. Jokainen rivi kattaa osan koon, osan tyypin sekä sen osoitteen ja muistin siirtymän.

Luettelo 5: Osan tiedot, jotka paljastetaan itse

Työkalut ELF -tiedoston analysointiin

Kuten olet ehkä huomannut yllä olevista esimerkeistä, GNU/Linux sisältää monia hyödyllisiä työkaluja, jotka auttavat sinua analysoimaan ELF -tiedostoa. Ensimmäinen ehdokas, jota tarkastellaan, on tiedostoapuohjelma.

tiedosto näyttää perustiedot ELF -tiedostoista, mukaan lukien käskyjoukon arkkitehtuuri, jolle siirrettävän, suoritettavan tai jaetun objektitiedoston koodi on tarkoitettu. Luettelossa 6 se kertoo, että/bin/touch on 64-bittinen suoritettava tiedosto Linux Standard Base (LSB) -standardin mukaisesti, dynaamisesti linkitetty ja rakennettu GNU/Linux-ytimen versiota 2.6.32 varten.

Luettelo 6: Perustiedot tiedoston avulla

Toinen ehdokas on itse. Se näyttää yksityiskohtaisia ​​tietoja ELF -tiedostosta. Kytkimien luettelo on verrattain pitkä ja kattaa kaikki ELF -muodon näkökohdat. Kytkimen -n (lyhenne sanoista –notes) käyttäminen Listaus 7 näyttää vain muistiinpano -osiot, jotka ovat tiedoston kosketuksessa -ABI -versiotunniste ja rakennustunnuksen bittijono.

.Lista 7: Näytä ELF -tiedoston valitut osat

Huomaa, että Solaris- ja FreeBSD -käyttöjärjestelmissä apuohjelma elfdump [7] vastaa readelfiä. Vuodesta 2019 lähtien uutta julkaisua tai päivitystä ei ole julkaistu vuoden 2003 jälkeen.

Kolmas on paketti nimeltä elfutils [6], joka on saatavana puhtaasti Linuxille. Se tarjoaa vaihtoehtoisia työkaluja GNU Binutilsille ja mahdollistaa myös ELF -tiedostojen vahvistamisen. Huomaa, että kaikki paketissa olevien apuohjelmien nimet alkavat eu: lla ”elf utils”.

Viimeisenä mutta ei vähäisimpänä mainitsemme objdumpin. Tämä työkalu on samanlainen kuin readelf, mutta keskittyy objektitiedostoihin. Se tarjoaa samanlaisen valikoiman tietoja ELF -tiedostoista ja muista objektimuodoista.

.Lista 8: Objdumpin poimimat tiedostotiedot

Siellä on myös elfkickers -niminen ohjelmistopaketti [9], joka sisältää työkaluja ELF -tiedoston sisällön lukemiseen ja sen käsittelyyn. Valitettavasti julkaisujen määrä on melko pieni, ja siksi me vain mainitsemme sen emmekä näytä muita esimerkkejä.

Kehittäjänä voit katsoa sen sijaan 'pax-utils' [10,11]. Tämä apuohjelmasarja sisältää useita työkaluja, jotka auttavat vahvistamaan ELF -tiedostot. Esimerkiksi dumpelf analysoi ELF -tiedoston ja palauttaa C -otsikkotiedoston, joka sisältää tiedot - katso kuva 2.

Johtopäätös

Älykkään suunnittelun ja erinomaisen dokumentaation yhdistelmän ansiosta ELF -muoto toimii erittäin hyvin ja on edelleen käytössä 20 vuoden jälkeen. Yllä esitetyt apuohjelmat antavat sinulle käsityksen ELF -tiedostosta ja voit selvittää, mitä ohjelma tekee. Nämä ovat ensimmäiset vaiheet ohjelmistojen analysointiin - onnellista hakkerointia!

Linkit ja viitteet

• [1] Suoritettava ja linkitettävä muoto (ELF), Wikipedia
• [2] Fuchsia käyttöjärjestelmä
• [3] Suoritettavien tiedostomuotojen vertailu, Wikipedia
• [4] Linux Foundation, viitatut tiedot
• [5] Ciro Santilli: ELF Hello World -opetusohjelma
• [6] elfutils Debian -paketti
• [7] elfdump
• [8] Michael Boelen: 101 ELF -tiedostoa Linuxissa: Understanding and Analysis
• [9] haltiat
• [10] Karkaistut/PaX -apuohjelmat
• [yksitoista] pax-utils, Debian-paketti

Kiitokset

Kirjoittaja haluaa kiittää Axel Beckertia hänen tuestaan ​​tämän artikkelin valmistelussa.