Forstå ELF -filformatet

Fra kildekode til binær kode

Programmering starter med at have en smart idé og skrive kildekode på et programmeringssprog efter eget valg, for eksempel C, og gemme kildekoden i en fil. Ved hjælp af en passende kompilator, f.eks. GCC, oversættes din kildekode først til objektkode. Til sidst oversætter linkeren objektkoden til en binær fil, der forbinder objektkoden med de refererede biblioteker. Denne fil indeholder de enkelte instruktioner som maskinkode, der forstås af CPU'en og udføres, så snart det kompilerede program køres.

Den ovennævnte binære fil følger en specifik struktur, og en af ​​de mest almindelige hedder ELF, der forkorter eksekverbart og sammenkædeligt format. Det bruges i vid udstrækning til eksekverbare filer, flytbare objektfiler, delte biblioteker og kernedumpe.

For tyve år siden-i 1999-har 86open-projektet valgt ELF som standard binært filformat for Unix og Unix-lignende systemer på x86-processorer. Heldigvis var ELF -formatet tidligere blevet dokumenteret i både System V Application Binary Interface og Tool Interface Standard [4]. Denne kendsgerning forenklede enormt aftalen om standardisering mellem de forskellige leverandører og udviklere af Unix-baserede operativsystemer.

Årsagen bag denne beslutning var designet af ELF-fleksibilitet, udvidelsesmuligheder og cross-platform support til forskellige endianformater og adressestørrelser. ELFs design er ikke begrænset til en specifik processor, instruktionssæt eller hardware -arkitektur. For en detaljeret sammenligning af eksekverbare filformater, se her [3].

Siden da har ELF -formatet været i brug af flere forskellige operativsystemer. Blandt andet inkluderer dette Linux, Solaris/Illumos, Free-, Net- og OpenBSD, QNX, BeOS/Haiku og Fuchsia OS [2]. Desuden finder du det på mobile enheder, der kører Android, Maemo eller Meego OS/Sailfish OS samt på spilkonsoller som PlayStation Portable, Dreamcast og Wii.

Specifikationen tydeliggør ikke filnavnudvidelsen til ELF -filer. I brug er en række forskellige bogstavkombinationer, f.eks. .Axf, .bin, .elf, .o, .prx, .puff, .ko, .so og .mod, eller ingen.

Strukturen af ​​en ELF -fil

På en Linux -terminal giver kommandoen man elf dig et praktisk resumé om strukturen i en ELF -fil:

Liste 1: ELF -strukturens manpage

Som du kan se fra beskrivelsen ovenfor, består en ELF -fil af to sektioner - en ELF -overskrift og fildata. Fildatasektionen kan bestå af en programoverskriftstabel, der beskriver nul eller flere segmenter, en sektionsoverskriftstabel, der beskriver nul eller flere sektioner, der efterfølges af data, der henvises til ved poster fra programoverskriftstabellen, og sektionsoverskriftstabellen. Hvert segment indeholder oplysninger, der er nødvendige for filtimering, mens sektioner indeholder vigtige data til sammenkædning og flytning. Figur 1 illustrerer dette skematisk.

ELF Header

ELF -headeren er 32 bytes lang og identificerer filformatet. Det starter med en sekvens på fire unikke bytes, der er 0x7F efterfulgt af 0x45, 0x4c og 0x46, som oversættes til de tre bogstaver E, L og F. Blandt andre værdier angiver overskriften også, om det er en ELF -fil til 32 eller 64-bit-format, bruger lidt eller stor endianness, viser ELF-versionen samt for hvilket operativsystem filen blev kompileret til for at interoperere med den rigtige applikations binære grænseflade (ABI) og cpu-instruktionssæt.

Hexdumpen i den binære filberøring ser således ud:

.Liste 2: Den binære fils hexdump

Debian GNU/Linux tilbyder kommandoen readelf, der findes i GNU 'binutils' -pakken. Ledsaget af switch -h (kort version til –file -header) viser det pænt overskriften på en ELF -fil. Liste 3 illustrerer dette for kommando -berøring.

.Liste 3: Visning af overskriften på en ELF -fil

Programoverskriften

Programoverskriften viser segmenterne, der bruges i løbetid, og fortæller systemet, hvordan man opretter et procesbillede. Overskriften fra liste 2 viser, at ELF -filen består af 9 programoverskrifter, der hver har en størrelse på 56 bytes, og den første overskrift starter ved byte 64.

Igen hjælper readelf -kommandoen med at udtrække oplysningerne fra ELF -filen. Omskifteren -l (forkortelse for –program -overskrifter eller –segmenter) afslører flere detaljer som vist i liste 4.

.Liste 4: Vis oplysninger om programoverskrifterne

Sektionsoverskriften

Den tredje del af ELF -strukturen er sektionsoverskriften. Det er meningen at liste de enkelte sektioner af binæret. Omskifteren -S (forkortelse for –section -headers eller –sections) viser de forskellige headers. Hvad angår berøringskommandoen, er der 27 sektionsoverskrifter, og liste 5 viser kun de første fire af dem plus den sidste. Hver linje dækker sektionsstørrelse, sektionstype samt adresse og hukommelsesforskydning.

.Liste 5: Afsnittet detaljer afsløret af readelf

Værktøjer til at analysere en ELF -fil

Som du måske har bemærket fra eksemplerne ovenfor, er GNU/Linux udbygget med en række nyttige værktøjer, der hjælper dig med at analysere en ELF -fil. Den første kandidat, vi vil se på, er filværktøjet.

fil viser grundlæggende oplysninger om ELF -filer, herunder instruktionssætets arkitektur, hvortil koden i en flytbar, eksekverbar eller delt objektfil er beregnet. I liste 6 fortæller det dig, at/bin/touch er en 64-bit eksekverbar fil, der følger Linux Standard Base (LSB), dynamisk forbundet og er bygget til GNU/Linux-kerneversionen 2.6.32.

.Liste 6: Grundlæggende oplysninger ved hjælp af fil

Den anden kandidat er færdig. Det viser detaljerede oplysninger om en ELF -fil. Listen over switches er forholdsvis lang og dækker alle aspekter af ELF -formatet. Brug af switch -n (forkortelse for –notes) Liste 7 viser kun de notatsektioner, der findes i filberøring -ABI -versionstagget og build -ID -bitstrengen.

.Liste 7: Vis udvalgte sektioner af en ELF -fil

Bemærk, at under Solaris og FreeBSD svarer elfdumpen [7] til readelf. Fra 2019 har der ikke været en ny udgivelse eller opdatering siden 2003.

Nummer tre er pakken med navnet elfutils [6], der er rent tilgængelig til Linux. Det giver alternative værktøjer til GNU Binutils og tillader også validering af ELF -filer. Bemærk, at alle navnene på værktøjerne i pakken starter med eu for 'elf utils'.

Sidst men ikke mindst vil vi nævne objdump. Dette værktøj ligner readelf, men fokuserer på objektfiler. Det giver en lignende række oplysninger om ELF -filer og andre objektformater.

.Liste 8: Filinformation udvundet af objdump

Der er også en softwarepakke kaldet 'elfkickers' [9], som indeholder værktøjer til at læse indholdet af en ELF -fil samt manipulere den. Desværre er antallet af udgivelser ret lavt, og derfor nævner vi det bare og viser ikke flere eksempler.

Som udvikler kan du i stedet se på 'pax-utils' [10,11]. Dette sæt værktøjer indeholder en række værktøjer, der hjælper med at validere ELF -filer. Som et eksempel analyserer dumpelf ELF -filen og returnerer en C -headerfil med detaljerne - se figur 2.

Konklusion

Takket være en kombination af smart design og fremragende dokumentation fungerer ELF -formatet meget godt og er stadig i brug efter 20 år. Værktøjerne vist ovenfor giver dig et indblik i en ELF -fil, og lader dig finde ud af, hvad et program laver. Dette er de første trin til analyse af software - glad hacking!

Links og referencer

• [1] Eksekverbart og sammenkædeligt format (ELF), Wikipedia
• [2] Fuchsia OS
• [3] Sammenligning af eksekverbare filformater, Wikipedia
• [4] Linux Foundation, refererede specifikationer
• [5] Ciro Santilli: ELF Hello World Tutorial
• [6] elfutils Debian -pakke
• [7] elfdump
• [8] Michael Boelen: 101 af ELF -filer på Linux: Forståelse og analyse
• [9] elfkickers
• [10] Hærdet/PaX hjælpeprogrammer
• [elleve] pax-utils, Debian-pakke

Anerkendelser

Forfatteren vil gerne takke Axel Beckert for hans støtte vedrørende forberedelsen af ​​denne artikel.