Hiểu định dạng tệp ELF

Từ mã nguồn sang mã nhị phân

Lập trình bắt đầu bằng việc có một ý tưởng thông minh và viết mã nguồn bằng ngôn ngữ lập trình bạn chọn, ví dụ C, và lưu mã nguồn vào một tệp. Với sự trợ giúp của một trình biên dịch thích hợp, ví dụ như GCC, trước tiên, mã nguồn của bạn sẽ được dịch thành mã đối tượng. Cuối cùng, trình liên kết dịch mã đối tượng thành tệp nhị phân liên kết mã đối tượng với các thư viện được tham chiếu. Tệp này chứa các lệnh đơn dưới dạng mã máy được CPU hiểu và được thực thi ngay khi chạy chương trình đã biên dịch.

Tệp nhị phân được đề cập ở trên tuân theo một cấu trúc cụ thể và một trong những cấu trúc phổ biến nhất được đặt tên là ELF, viết tắt của Định dạng có thể thực thi và Có thể liên kết. Nó được sử dụng rộng rãi cho các tệp thực thi, tệp đối tượng có thể định vị lại, thư viện được chia sẻ và kết xuất lõi.

Hai mươi năm trước - vào năm 1999 - dự án 86open đã chọn ELF làm định dạng tệp nhị phân tiêu chuẩn cho các hệ thống giống Unix và Unix trên bộ xử lý x86. May mắn thay, định dạng ELF trước đây đã được ghi nhận trong cả Giao diện nhị phân ứng dụng Hệ thống V và Tiêu chuẩn giao diện công cụ [4]. Thực tế này đã đơn giản hóa rất nhiều thỏa thuận về tiêu chuẩn hóa giữa các nhà cung cấp và nhà phát triển khác nhau của hệ điều hành dựa trên Unix.

Lý do đằng sau quyết định đó là thiết kế ELF - tính linh hoạt, khả năng mở rộng và hỗ trợ đa nền tảng cho các định dạng endian và kích thước địa chỉ khác nhau. Thiết kế của ELF không giới hạn ở một bộ xử lý, tập lệnh hoặc kiến ​​trúc phần cứng cụ thể. Để có so sánh chi tiết về các định dạng tệp thực thi, hãy xem tại đây [3].

Kể từ đó, định dạng ELF được một số hệ điều hành khác nhau sử dụng. Trong số những người khác, điều này bao gồm Linux, Solaris / Illumos, Free-, Net- và OpenBSD, QNX, BeOS / Haiku và Fuchsia OS [2]. Hơn nữa, bạn sẽ tìm thấy nó trên các thiết bị di động chạy Android, Maemo hoặc Meego OS / Sailfish OS cũng như trên các bảng điều khiển trò chơi như PlayStation Portable, Dreamcast và Wii.

Đặc tả không làm rõ phần mở rộng tên tệp cho các tệp ELF. Đang được sử dụng là một loạt các kết hợp chữ cái, chẳng hạn như .axf, .bin, .elf, .o, .prx, .puff, .ko, .so và .mod, hoặc không.

Cấu trúc của tệp ELF

Trên thiết bị đầu cuối Linux, command man elf cung cấp cho bạn một bản tóm tắt hữu ích về cấu trúc của tệp ELF:

Liệt kê 1: Trang chủ của cấu trúc ELF

Như bạn có thể thấy từ mô tả ở trên, một tệp ELF bao gồm hai phần - một tiêu đề ELF và dữ liệu tệp. Phần dữ liệu tệp có thể bao gồm bảng tiêu đề chương trình mô tả không hoặc nhiều phân đoạn, bảng tiêu đề phần mô tả không hoặc nhiều phần, theo sau là dữ liệu được tham chiếu bởi các mục từ bảng tiêu đề chương trình và bảng tiêu đề phần. Mỗi phân đoạn chứa thông tin cần thiết cho thời gian chạy tệp, trong khi các phần chứa dữ liệu quan trọng để liên kết và di dời. Hình 1 minh họa điều này theo sơ đồ.

Tiêu đề ELF

Tiêu đề ELF dài 32 byte và xác định định dạng của tệp. Nó bắt đầu bằng một chuỗi bốn byte duy nhất là 0x7F, theo sau là 0x45, 0x4c và 0x46, dịch thành ba chữ cái E, L và F. Trong số các giá trị khác, tiêu đề cũng cho biết liệu đó có phải là tệp ELF cho 32 hay không Định dạng 64-bit, sử dụng ít hoặc nhiều, hiển thị phiên bản ELF cũng như hệ điều hành mà tệp được biên dịch để tương thích với giao diện nhị phân ứng dụng phù hợp (ABI) và tập lệnh cpu.

Hexdump của lần chạm tệp nhị phân trông như sau:

. Liệt kê 2: Bản hexdump của tệp nhị phân

Debian GNU / Linux cung cấp lệnh readelf được cung cấp trong gói GNU ‘binutils’. Đi kèm với switch -h (phiên bản viết tắt của –file-header), nó hiển thị tiêu đề của tệp ELF một cách độc đáo. Liệt kê 3 minh họa điều này cho thao tác chạm lệnh.

. Liệt kê 3: Hiển thị tiêu đề của tệp ELF

Tiêu đề chương trình

Tiêu đề chương trình hiển thị các phân đoạn được sử dụng trong thời gian chạy và cho hệ thống biết cách tạo hình ảnh quy trình. Tiêu đề từ Liệt kê 2 cho thấy rằng tệp ELF bao gồm 9 tiêu đề chương trình có kích thước mỗi tiêu đề là 56 byte và tiêu đề đầu tiên bắt đầu từ byte 64.

Một lần nữa, lệnh readelf giúp trích xuất thông tin từ tệp ELF. Công tắc -l (viết tắt của –program-headers hoặc –segment) tiết lộ nhiều chi tiết hơn như được hiển thị trong Liệt kê 4.

. Liệt kê 4: Hiển thị thông tin về tiêu đề chương trình

Tiêu đề phần

Phần thứ ba của cấu trúc ELF là phần tiêu đề. Nó có nghĩa là để liệt kê các phần đơn lẻ của nhị phân. Công tắc -S (viết tắt của –section-headers hoặc –section) liệt kê các tiêu đề khác nhau. Đối với lệnh cảm ứng, có 27 tiêu đề phần và Liệt kê 5 chỉ hiển thị bốn tiêu đề đầu tiên cộng với tiêu đề cuối cùng. Mỗi dòng bao gồm kích thước phần, loại phần cũng như địa chỉ và khoảng trống bộ nhớ của nó.

. Liệt kê 5: Chi tiết phần do chính bạn tiết lộ

Các công cụ để phân tích tệp ELF

Như bạn có thể đã lưu ý từ các ví dụ trên, GNU / Linux được bổ sung một số công cụ hữu ích giúp bạn phân tích tệp ELF. Ứng cử viên đầu tiên mà chúng tôi sẽ xem xét là tiện ích tệp.

tệp hiển thị thông tin cơ bản về tệp ELF, bao gồm kiến ​​trúc tập lệnh mà mã trong tệp đối tượng có thể định vị lại, thực thi hoặc chia sẻ được dự định. Trong danh sách 6, nó cho bạn biết rằng / bin / touch là một tệp thực thi 64-bit tuân theo Cơ sở Tiêu chuẩn Linux (LSB), được liên kết động và được xây dựng cho nhân GNU / Linux phiên bản 2.6.32.

. Liệt kê 6: Thông tin cơ bản sử dụng tệp

Ứng cử viên thứ hai là chính mình. Nó hiển thị thông tin chi tiết về tệp ELF. Danh sách các công tắc tương đối dài và bao gồm tất cả các khía cạnh của định dạng ELF. Sử dụng công tắc -n (viết tắt của –notes) Liệt kê 7 chỉ hiển thị các phần ghi chú tồn tại trong tệp chạm - thẻ phiên bản ABI và chuỗi bit ID bản dựng.

. Liệt kê 7: Hiển thị các phần đã chọn của tệp ELF

Lưu ý rằng trong Solaris và FreeBSD, tiện ích elfdump [7] tương ứng với bản thân. Kể từ năm 2019, không có bản phát hành hoặc bản cập nhật mới nào kể từ năm 2003.

Thứ ba là gói có tên elfutils [6] hoàn toàn có sẵn cho Linux. Nó cung cấp các công cụ thay thế cho GNU Binutils, và cũng cho phép xác thực các tệp ELF. Lưu ý rằng tất cả tên của các tiện ích được cung cấp trong gói bắt đầu bằng eu cho ‘elf utils’.

Cuối cùng nhưng không kém phần quan trọng, chúng tôi sẽ đề cập đến objdump. Công cụ này tương tự như readelf nhưng tập trung vào các tệp đối tượng. Nó cung cấp một loạt thông tin tương tự về các tệp ELF và các định dạng đối tượng khác.

. Liệt kê 8: Thông tin tệp được trích xuất bởi objdump

Ngoài ra còn có một gói phần mềm được gọi là ‘elfkickers’ [9] chứa các công cụ để đọc nội dung của tệp ELF cũng như thao tác với nó. Thật không may, số lượng bản phát hành khá thấp và đó là lý do tại sao chúng tôi chỉ đề cập đến nó và không hiển thị thêm ví dụ.

Với tư cách là nhà phát triển, bạn có thể xem ‘pax-utils’ [10,11]. Bộ tiện ích này cung cấp một số công cụ giúp xác thực các tệp ELF. Ví dụ, bản kết xuất phân tích tệp ELF và trả về tệp tiêu đề C chứa các chi tiết - xem Hình 2.

Phần kết luận

Nhờ sự kết hợp giữa thiết kế thông minh và tài liệu xuất sắc, định dạng ELF hoạt động rất tốt và vẫn được sử dụng sau 20 năm. Các tiện ích hiển thị ở trên cho phép bạn có cái nhìn sâu sắc về tệp ELF và cho phép bạn tìm ra chương trình đang làm gì. Đây là những bước đầu tiên để phân tích phần mềm - chúc bạn hack!

Liên kết và tài liệu tham khảo

• [1] Định dạng có thể thực thi và có thể liên kết (ELF), Wikipedia
• [2] Hệ điều hành Fuchsia
• [3] So sánh các định dạng tệp thực thi, Wikipedia
• [4] Nền tảng Linux, Thông số kỹ thuật được tham chiếu
• [5] Ciro Santilli: Hướng dẫn ELF Hello World
• [6] gói Debian elfutils
• [7] elfdump
• [số 8] Michael Boelen: 101 tệp ELF trên Linux: Hiểu và phân tích
• [9] elfkickers
• [10] Tiện ích Hardened / PaX
• [mười một] pax-utils, gói Debian

Sự nhìn nhận

Người viết xin chân thành cảm ơn sự hỗ trợ của Axel Beckert đối với việc chuẩn bị bài viết này.