Forstå ELF -filformatet

Fra kildekoden til den binære koden

Programmering starter med å ha en smart idé og skrive kildekoden på et programmeringsspråk du ønsker, for eksempel C, og lagre kildekoden i en fil. Ved hjelp av en tilstrekkelig kompilator, for eksempel GCC, blir kildekoden først oversatt til objektkode. Til slutt oversetter linkeren objektkoden til en binær fil som knytter objektkoden til de refererte bibliotekene. Denne filen inneholder de enkelte instruksjonene som maskinkode som forstås av CPU -en, og kjøres så snart det kompilerte programmet kjøres.

Den binære filen som er nevnt ovenfor følger en spesifikk struktur, og en av de vanligste heter ELF som forkorter kjørbart og sammenkoplingsbart format. Det er mye brukt for kjørbare filer, flyttbare objektfiler, delte biblioteker og kjernedumper.

For tjue år siden-i 1999-har 86open-prosjektet valgt ELF som standard binært filformat for Unix og Unix-lignende systemer på x86-prosessorer. Heldigvis hadde ELF -formatet tidligere blitt dokumentert i både System V Application Binary Interface og Tool Interface Standard [4]. Dette faktum forenklet avtalen om standardisering mellom de forskjellige leverandørene og utviklerne av Unix-baserte operativsystemer enormt.

Årsaken bak den beslutningen var utformingen av ELF-fleksibilitet, utvidbarhet og plattformstøtte for forskjellige endianformater og adressestørrelser. ELFs design er ikke begrenset til en bestemt prosessor, instruksjonssett eller maskinvarearkitektur. For en detaljert sammenligning av kjørbare filformater, se her [3].

Siden den gang har ELF -formatet blitt brukt av flere forskjellige operativsystemer. Blant annet inkluderer dette Linux, Solaris/Illumos, Free-, Net- og OpenBSD, QNX, BeOS/Haiku og Fuchsia OS [2]. Videre finner du den på mobile enheter som kjører Android, Maemo eller Meego OS/Sailfish OS, samt på spillkonsoller som PlayStation Portable, Dreamcast og Wii.

Spesifikasjonen tydeliggjør ikke filnavnutvidelsen for ELF -filer. I bruk er en rekke bokstavkombinasjoner, for eksempel .axf, .bin, .elf, .o, .prx, .puff, .ko, .so og .mod, eller ingen.

Strukturen til en ELF -fil

På en Linux -terminal gir kommandoen man elf deg en praktisk oppsummering om strukturen til en ELF -fil:

Oppføring 1: Mannssiden til ELF -strukturen

Som du kan se fra beskrivelsen ovenfor, består en ELF -fil av to seksjoner - en ELF -topptekst og fildata. Fildataseksjonen kan bestå av en programoverskriftstabell som beskriver null eller flere segmenter, en seksjonstabell som beskriver null eller flere seksjoner, som etterfølges av data referert til av oppføringer fra programoverskriftstabellen og seksjonstabellen. Hvert segment inneholder informasjon som er nødvendig for kjøring av filen i løpetid, mens seksjoner inneholder viktige data for kobling og flytting. Figur 1 illustrerer dette skjematisk.

ELF -overskriften

ELF -overskriften er 32 byte lang, og identifiserer filformatet. Den starter med en sekvens på fire unike byte som er 0x7F etterfulgt av 0x45, 0x4c og 0x46 som oversetter til de tre bokstavene E, L og F. Blant andre verdier angir overskriften også om det er en ELF -fil for 32 eller 64-biters format, bruker liten eller stor endianness, viser ELF-versjonen samt for hvilket operativsystem filen ble kompilert for å samhandle med det riktige applikasjons binære grensesnittet (ABI) og cpu instruksjonssett.

Hexdumpen til den binære filberøringen ser slik ut:

.Liste 2: Heksdumpen til den binære filen

Debian GNU/Linux tilbyr readelf -kommandoen som er inkludert i GNU 'binutils' -pakken. Ledsaget av bryteren -h (kort versjon for –file -header) viser det pent overskriften til en ELF -fil. Oppføring 3 illustrerer dette for kommando -berøring.

.Liste 3: Viser toppteksten til en ELF -fil

Programhodet

Programhodet viser segmentene som brukes ved kjøretid, og forteller systemet hvordan man lager et prosessbilde. Overskriften fra liste 2 viser at ELF -filen består av 9 programoverskrifter som har en størrelse på 56 byte hver, og den første overskriften starter med byte 64.

Igjen hjelper readelf -kommandoen med å trekke ut informasjonen fra ELF -filen. Bryteren -l (forkortelse for –program -overskrifter eller –segmenter) viser flere detaljer som vist i oppføring 4.

.Liste 4: Vis informasjon om programoverskriftene

Seksjonsoverskriften

Den tredje delen av ELF -strukturen er seksjonsoverskriften. Det er ment å liste de enkelte delene av binæren. Bryteren -S (forkortelse for –seksjon -overskrifter eller –seksjoner) viser de forskjellige overskriftene. Når det gjelder berøringskommandoen, er det 27 seksjonsoverskrifter, og oppføring 5 viser bare de fire første pluss den siste. Hver linje dekker seksjonens størrelse, seksjonstype samt adresse og minneforskyvning.

.Liste 5: Seksjonsdetaljer avslørt av seg selv

Verktøy for å analysere en ELF -fil

Som du kanskje har nevnt fra eksemplene ovenfor, er GNU/Linux utstyrt med en rekke nyttige verktøy som hjelper deg med å analysere en ELF -fil. Den første kandidaten vi vil se på er filverktøyet.

filen viser grunnleggende informasjon om ELF -filer, inkludert instruksjonsarkitekturen som koden i en flyttbar, kjørbar eller delt objektfil er beregnet på. I oppføring 6 forteller den deg at/bin/touch er en 64-biters kjørbar fil som følger Linux Standard Base (LSB), dynamisk koblet og bygget for GNU/Linux-kjernen versjon 2.6.32.

.Liste 6: Grunnleggende informasjon ved bruk av fil

Den andre kandidaten er selv. Den viser detaljert informasjon om en ELF -fil. Listen over brytere er relativt lang, og dekker alle aspektene ved ELF -formatet. Ved å bruke bryteren -n (forkortelse for –notes) Oppføring 7 viser bare notatseksjonene som finnes i filberøringen -ABI -versjonskoden og build -ID -bitstrengen.

.Liste 7: Vis utvalgte deler av en ELF -fil

Vær oppmerksom på at under Solaris og FreeBSD samsvarer verktøyet elfdump [7] med readelf. Fra og med 2019 har det ikke vært en ny utgivelse eller oppdatering siden 2003.

Nummer tre er pakken elfutils [6] som er rent tilgjengelig for Linux. Den gir alternative verktøy til GNU Binutils, og tillater også validering av ELF -filer. Vær oppmerksom på at alle navnene på verktøyene som følger med i pakken starter med eu for 'elf utils'.

Sist men ikke minst vil vi nevne objdump. Dette verktøyet ligner på readelf, men fokuserer på objektfiler. Den gir et lignende informasjonsområde om ELF -filer og andre objektformater.

.Liste 8: Filinformasjon hentet ut av objdump

Det er også en programvarepakke kalt 'elfkickers' [9] som inneholder verktøy for å lese innholdet i en ELF -fil, så vel som å manipulere den. Dessverre er antallet utgivelser ganske lavt, og det er derfor vi bare nevner det og ikke viser flere eksempler.

Som utvikler kan du se på ‘pax-utils’ [10,11] i stedet. Dette settet med verktøy gir en rekke verktøy som hjelper til med å validere ELF -filer. Som et eksempel analyserer dumpelf ELF -filen og returnerer en C -toppfil som inneholder detaljene - se figur 2.

Konklusjon

Takket være en kombinasjon av smart design og utmerket dokumentasjon fungerer ELF -formatet veldig bra, og er fortsatt i bruk etter 20 år. Verktøyene vist ovenfor gir deg et innblikk i en ELF -fil, og lar deg finne ut hva et program gjør. Dette er de første trinnene for å analysere programvare - lykkelig hacking!

Lenker og referanser

• [1] Utførbart og sammenkoblingsbart format (ELF), Wikipedia
• [2] Fuchsia OS
• [3] Sammenligning av kjørbare filformater, Wikipedia
• [4] Linux Foundation, refererte spesifikasjoner
• [5] Ciro Santilli: ELF Hello World Tutorial
• [6] elfutils Debian -pakke
• [7] elfdump
• [8] Michael Boelen: 101 av ELF -filer på Linux: Forståelse og analyse
• [9] elfkickers
• [10] Herdede/PaX -verktøy
• [elleve] pax-utils, Debian-pakken

Anerkjennelser

Forfatteren vil takke Axel Beckert for støtten til utarbeidelsen av denne artikkelen.