ELF failo formato supratimas

Nuo šaltinio kodo iki dvejetainio kodo

Programavimas prasideda nuo sumanios idėjos ir pirminio kodo parašymo pasirinkta programavimo kalba, pavyzdžiui, C, ir šaltinio kodo išsaugojimo faile. Naudojant tinkamą kompiliatorių, pvz., GCC, jūsų šaltinio kodas pirmiausia išverčiamas į objekto kodą. Galiausiai susiejėjas objekto kodą paverčia dvejetainiu failu, kuris susieja objekto kodą su nurodytomis bibliotekomis. Šiame faile yra vienintelės instrukcijos kaip mašinos kodas, kurias supranta procesorius, ir jos vykdomos, kai tik paleidžiama sukompiliuota programa.

Aukščiau paminėtas dvejetainis failas turi tam tikrą struktūrą, o vienas iš labiausiai paplitusių yra pavadintas ELF, kuris sutrumpina vykdomąjį ir susiejamąjį formatą. Jis plačiai naudojamas vykdomiesiems failams, perkeliamiems objektų failams, bendroms bibliotekoms ir pagrindiniams sąvartynams.

Prieš dvidešimt metų-1999 m.-projektas „86open“ pasirinko ELF kaip standartinį dvejetainio failo formatą „Unix“ ir „Unix“ tipo sistemoms „x86“ procesoriuose. Laimei, ELF formatas anksčiau buvo dokumentuotas tiek sistemos „V“ programos dvejetainėje sąsajoje, tiek „Tool Interface Standard“ [4]. Šis faktas nepaprastai supaprastino skirtingų „Unix“ operacinių sistemų pardavėjų ir kūrėjų susitarimą dėl standartizacijos.

Šio sprendimo priežastis buvo ELF dizainas-lankstumas, išplėtimas ir įvairių platformų palaikymas įvairiems endian formatams ir adresų dydžiams. ELF dizainas neapsiriboja konkrečiu procesoriumi, instrukcijų rinkiniu ar aparatūros architektūra. Išsamų vykdomųjų failų formatų palyginimą rasite čia [3].

Nuo to laiko ELF formatą naudoja kelios skirtingos operacinės sistemos. Tai, be kita ko, apima „Linux“, „Solaris/Illumos“, „Free-“, „Net“ ir „OpenBSD“, „QNX“, „BeOS/Haiku“ ir „Fuchsia OS“ [2]. Be to, jį rasite mobiliuosiuose įrenginiuose, kuriuose veikia „Android“, „Maemo“ arba „Meego“ OS/„Sailfish“ OS, taip pat žaidimų konsolėse, tokiose kaip „PlayStation Portable“, „Dreamcast“ ir „Wii“.

Specifikacija nepaaiškina ELF failų pavadinimo plėtinio. Naudojami įvairūs raidžių deriniai, pvz., .Axf, .bin, .elf, .o, .prx, .puff, .ko, .so ir .mod arba jų nėra.

ELF failo struktūra

„Linux“ terminale komanda man elf pateikia jums patogią ELF failo struktūros santrauką:

1 sąrašas: ELF struktūros puslapis

Kaip matote iš aukščiau pateikto aprašymo, ELF failą sudaro dvi dalys - ELF antraštė ir failo duomenys. Failų duomenų sekciją gali sudaryti programos antraštės lentelė, kurioje aprašomi nulis ar daugiau segmentų, sekcijos antraštės lentelė, apibūdinanti nulį ar daugiau sekcijų, po kurios pateikiami duomenys, nurodyti programos įrašu lentelės įrašuose, ir sekcijos antraščių lentelė. Kiekviename segmente yra informacijos, kuri yra būtina vykdant failą vykdymo metu, o skyriuose yra svarbių susiejimo ir perkėlimo duomenų. 1 schema tai iliustruoja schematiškai.

ELF antraštė

ELF antraštė yra 32 baitų ilgio ir nurodo failo formatą. Jis prasideda nuo keturių unikalių baitų sekos, kurios yra 0x7F, o po to - 0x45, 0x4c ir 0x46, o tai reiškia tris raides E, L ir F. Be kitų reikšmių, antraštėje taip pat nurodoma, ar tai yra ELF failas, skirtas 32 ar 64 bitų formatas, naudoja mažai ar labai daug pastangų, rodo ELF versiją ir tai, kuriai operacinei sistemai failas buvo sudarytas, kad galėtų sąveikauti su tinkama programos dvejetaine sąsaja (ABI) ir procesoriaus instrukcijų rinkiniu.

Dvejetainio failo prisilietimo šešiakampis atrodo taip:

. 2 sąrašas: dvejetainio failo šešiakampis

„Debian GNU/Linux“ siūlo „readelf“ komandą, pateiktą GNU „binutils“ pakete. Kartu su jungikliu -h (trumpa versija –file -header) gražiai rodoma ELF failo antraštė. 3 sąrašas tai iliustruoja komandų paspaudimu.

. 3 sąrašas: rodomas ELF failo antraštė

Programos antraštė

Programos antraštėje rodomi vykdymo metu naudojami segmentai ir nurodoma sistemai, kaip sukurti proceso vaizdą. 2 sąrašo antraštė rodo, kad ELF failą sudaro 9 programų antraštės, kurių kiekvieno dydis yra 56 baitai, o pirmoji antraštė prasideda 64 baitu.

Vėlgi, „readelf“ komanda padeda išgauti informaciją iš ELF failo. Perjungiklis -l (sutrumpintai –program -headers arba –segments) atskleidžia daugiau informacijos, kaip parodyta 4 sąraše.

. 4 sąrašas: Rodyti informaciją apie programų antraštes

Skilties antraštė

Trečioji ELF struktūros dalis yra sekcijos antraštė. Jis skirtas išvardyti atskirus dvejetainės dalies skyrius. Jungiklyje -S (sutrumpintai –section -headers arba –sections) pateikiamos įvairios antraštės. Kalbant apie lietimo komandą, yra 27 sekcijų antraštės, o 5 sąraše rodomi tik pirmieji keturi iš jų ir paskutinis. Kiekviena eilutė apima sekcijos dydį, sekcijos tipą, jos adresą ir atminties poslinkį.

.Sąrašas 5: Išsami informacija apie skyrių, kurią atskleidė pats

ELF failo analizės įrankiai

Kaip jau pastebėjote iš aukščiau pateiktų pavyzdžių, GNU/Linux yra papildyta daugybe naudingų įrankių, padedančių analizuoti ELF failą. Pirmasis kandidatas, į kurį mes žiūrėsime, yra failų programa.

faile rodoma pagrindinė informacija apie ELF failus, įskaitant instrukcijų rinkinio architektūrą, kuriai skirtas perkeliamo, vykdomojo ar bendrinamo objekto failo kodas. 6 sąraše nurodoma, kad/bin/touch yra 64 bitų vykdomasis failas pagal „Linux Standard Base“ (LSB), dinamiškai susietas ir sukurtas GNU/Linux branduolio 2.6.32 versijai.

. 6 sąrašas: pagrindinė informacija naudojant failą

Antrasis kandidatas yra skaitytojas. Jame rodoma išsami informacija apie ELF failą. Jungiklių sąrašas yra palyginti ilgas ir apima visus ELF formato aspektus. Naudojant jungiklį -n (sutrumpintas –notes) 7 sąraše rodomos tik pastabų sekcijos, esančios failo lietime -ABI versijos žyma ir kūrimo ID bitų eilutė.

. 7 sąrašas: rodyti pasirinktas ELF failo dalis

Atminkite, kad naudojant „Solaris“ ir „FreeBSD“ elfdump programa [7] atitinka readelf. Nuo 2019 m. Nebuvo naujų leidimų ar atnaujinimų nuo 2003 m.

Trečias numeris yra paketas, pavadintas elfutils [6], kuris yra visiškai prieinamas „Linux“. Ji siūlo alternatyvius įrankius GNU Binutils, taip pat leidžia patvirtinti ELF failus. Atminkite, kad visi paketo paslaugų pavadinimai prasideda „elf utils“.

Paskutinis, bet ne mažiau svarbus dalykas yra objdump. Šis įrankis yra panašus į „readelf“, tačiau daugiausia dėmesio skiria objektų failams. Jame pateikiama panaši informacija apie ELF failus ir kitus objektų formatus.

. 8 sąrašas: „Objdump“ išgauta failo informacija

Taip pat yra programinės įrangos paketas „elfkickers“ [9], kuriame yra įrankiai ELF failo turiniui skaityti ir juo manipuliuoti. Deja, išleidimų skaičius yra gana mažas, todėl mes tai tik paminime ir nepateikiame tolesnių pavyzdžių.

Vietoj to, kaip kūrėjas, galite pažvelgti į „pax-utils“ [10,11]. Šiame paslaugų rinkinyje yra daugybė įrankių, padedančių patvirtinti ELF failus. Pavyzdžiui, „dumpelf“ analizuoja ELF failą ir grąžina C antraštės failą, kuriame yra išsami informacija - žr. 2 paveikslą.

Išvada

Dėl išmanaus dizaino ir puikios dokumentacijos derinio ELF formatas veikia labai gerai ir po 20 metų vis dar naudojamas. Aukščiau pateiktos komunalinės paslaugos leidžia jums pamatyti ELF failą ir išsiaiškinti, ką daro programa. Tai yra pirmieji programinės įrangos analizės žingsniai - laimingas įsilaužimas!

Nuorodos ir nuorodos

• [1] Vykdomas ir susiejamas formatas (ELF), Vikipedija
• [2] Fuksija OS
• [3] Vykdomųjų failų formatų palyginimas, Wikipedia
• [4] „Linux Foundation“, nurodytos specifikacijos
• [5] Ciro Santilli: ELF Hello World Tutorial
• [6] elfutils Debian paketas
• [7] elfas
• [8] Michaelas Boelenas: 101 iš ELF failų „Linux“: supratimas ir analizė
• [9] elfai
• [10] Grūdintos/„PaX“ paslaugos
• [vienuolika] „pax-utils“, „Debian“ paketas

Padėkos

Rašytojas norėtų padėkoti Axeliui Beckertui už paramą rengiant šį straipsnį.