Förstå ELF -filformat

Från källkod till binär kod

Programmering börjar med att ha en smart idé och skriva källkod på ett valfritt programmeringsspråk, till exempel C, och spara källkoden i en fil. Med hjälp av en lämplig kompilator, till exempel GCC, översätts din källkod först till objektkod. Så småningom översätter länken objektkoden till en binär fil som länkar objektkoden till de refererade biblioteken. Denna fil innehåller de enda instruktionerna som maskinkod som förstås av CPU: n och körs så snart det kompilerade programmet körs.

Den binära filen som nämns ovan följer en specifik struktur, och en av de vanligaste heter ELF som förkortar körbart och länkbart format. Det används i stor utsträckning för körbara filer, flyttbara objektfiler, delade bibliotek och kärndumpar.

För tjugo år sedan-1999-har 86open-projektet valt ELF som standard binärt filformat för Unix och Unix-liknande system på x86-processorer. Lyckligtvis hade ELF -formatet tidigare dokumenterats i både System V Application Binary Interface och Tool Interface Standard [4]. Detta faktum förenklade enormt avtalet om standardisering mellan de olika leverantörerna och utvecklarna av Unix-baserade operativsystem.

Anledningen bakom det beslutet var utformningen av ELF-flexibilitet, utökningsbarhet och plattformsstöd för olika endianformat och adressstorlekar. ELFs design är inte begränsad till en specifik processor, instruktionsuppsättning eller hårdvaruarkitektur. För en detaljerad jämförelse av körbara filformat, ta en titt här [3].

Sedan dess har ELF -formatet använts av flera olika operativsystem. Bland annat inkluderar detta Linux, Solaris/Illumos, Free-, Net- och OpenBSD, QNX, BeOS/Haiku och Fuchsia OS [2]. Dessutom hittar du det på mobila enheter som kör Android, Maemo eller Meego OS/Sailfish OS samt på spelkonsoler som PlayStation Portable, Dreamcast och Wii.

Specifikationen förtydligar inte filnamnstillägget för ELF -filer. En mängd olika bokstavskombinationer används, till exempel .axf, .bin, .elf, .o, .prx, .puff, .ko, .so och .mod, eller ingen.

Strukturen för en ELF -fil

På en Linux -terminal ger kommandot man elf dig en praktisk sammanfattning om strukturen för en ELF -fil:

Listning 1: Hemsidan för ELF -strukturen

Som du kan se från beskrivningen ovan består en ELF -fil av två sektioner - en ELF -rubrik och fildata. Fildatasektionen kan bestå av en programhuvudtabell som beskriver noll eller flera segment, en sektionsrubriktabell som beskriver noll eller fler sektioner, som följs av data som refereras till av poster från programhuvudtabellen och sektionstabellstabellen. Varje segment innehåller information som är nödvändig för körning av filen under körning, medan sektioner innehåller viktiga data för att länka och flytta. Figur 1 illustrerar detta schematiskt.

ELF Header

ELF -rubriken är 32 byte lång och identifierar filens format. Det börjar med en sekvens med fyra unika byte som är 0x7F följt av 0x45, 0x4c och 0x46 som översätts till de tre bokstäverna E, L och F. Bland andra värden anger rubriken också om det är en ELF -fil för 32 eller 64-bitars format, använder liten eller stor slutlighet, visar ELF-versionen samt för vilket operativsystem filen kompilerades för att samverka med rätt binärt gränssnitt (ABI) och cpu-instruktionsuppsättning.

Hexdumpen för den binära filtouchen ser ut så här:

.Lista 2: Den binära filens hexdump

Debian GNU/Linux erbjuder readelf -kommandot som finns i GNU -paketet binutils. Tillsammans med switch -h (kort version för –file -header) visar det fint rubriken till en ELF -fil. Listning 3 illustrerar detta för kommandotouch.

.Lista 3: Visar rubriken för en ELF -fil

Programrubriken

Programhuvudet visar segmenten som används vid körning och berättar för systemet hur man skapar en processbild. Rubriken från lista 2 visar att ELF -filen består av 9 programrubriker som har en storlek på 56 byte var och den första rubriken börjar med byte 64.

Återigen hjälper readelf -kommandot att extrahera informationen från ELF -filen. Omkopplaren -l (kort för –program -rubriker eller –segment) avslöjar fler detaljer som visas i lista 4.

.Lista 4: Visa information om programhuvudena

Sektionsrubriken

Den tredje delen av ELF -strukturen är sektionsrubriken. Det är tänkt att lista de enskilda sektionerna i binären. Omkopplaren -S (kort för –sektion -rubriker eller –sektioner) listar de olika rubrikerna. När det gäller pekskommandot finns det 27 sektionsrubriker, och lista 5 visar de fyra första plus bara den sista. Varje rad täcker sektionsstorleken, sektionstypen samt dess adress och minnesförskjutning.

.Lista 5: Avsnittsdetaljer avslöjade av sig själv

Verktyg för att analysera en ELF -fil

Som du kanske har noterat från exemplen ovan har GNU/Linux ett antal användbara verktyg som hjälper dig att analysera en ELF -fil. Den första kandidaten vi kommer att titta på är filverktyget.

filen visar grundläggande information om ELF -filer, inklusive instruktionsuppsättningsarkitekturen för vilken koden i en flyttbar, körbar eller delad objektfil är avsedd. I notering 6 berättar det att/bin/touch är en 64-bitars körbar fil som följer Linux Standard Base (LSB), dynamiskt länkad och byggd för GNU/Linux-kärnversionen 2.6.32.

.Lista 6: Grundläggande information med hjälp av fil

Den andra kandidaten är själv. Den visar detaljerad information om en ELF -fil. Listan över switchar är jämförelsevis lång och täcker alla aspekter av ELF -formatet. Med hjälp av switch -n (kort för –notes) Listning 7 visar endast de notavsnitt som finns i filtrycket -ABI -versionstaggen och bit -strängen för build -ID.

.Lista 7: Visa utvalda delar av en ELF -fil

Observera att under Solaris och FreeBSD motsvarar verktyget elfdump [7] med readelf. Från och med 2019 har det inte funnits någon ny version eller uppdatering sedan 2003.

Nummer tre är paketet med namnet elfutils [6] som är rent tillgängligt för Linux. Den tillhandahåller alternativa verktyg för GNU Binutils och möjliggör även validering av ELF -filer. Observera att alla namn på verktygen som ingår i paketet börjar med eu för 'elf utils'.

Sist men inte minst kommer vi att nämna objdump. Detta verktyg liknar readelf men fokuserar på objektfiler. Den ger ett liknande utbud av information om ELF -filer och andra objektformat.

.Lista 8: Filinformation extraherad av objdump

Det finns också ett mjukvarupaket som heter 'elfkickers' [9] som innehåller verktyg för att läsa innehållet i en ELF -fil samt manipulera den. Tyvärr är antalet utgåvor ganska lågt, och det är därför vi bara nämner det och inte visar fler exempel.

Som utvecklare kan du titta på 'pax-utils' [10,11], istället. Denna uppsättning verktyg tillhandahåller ett antal verktyg som hjälper till att validera ELF -filer. Som ett exempel analyserar dumpelf ELF -filen och returnerar en C -huvudfil med detaljerna - se figur 2.

Slutsats

Tack vare en kombination av smart design och utmärkt dokumentation fungerar ELF -formatet mycket bra och används fortfarande efter 20 år. Verktygen som visas ovan ger dig en inblick i en ELF -fil och låter dig ta reda på vad ett program gör. Detta är de första stegen för analys av programvara - lycklig hackning!

Länkar och referenser

• [1] Exekverbart och länkbart format (ELF), Wikipedia
• [2] Fuchsia OS
• [3] Jämförelse av körbara filformat, Wikipedia
• [4] Linux Foundation, refererade specifikationer
• [5] Ciro Santilli: ELF Hello World Tutorial
• [6] elfutils Debian -paket
• [7] elfdump
• [8] Michael Boelen: 101 av ELF -filer på Linux: Understanding and Analysis
• [9] älvkickare
• [10] Härdade/PaX -verktyg
• [elva] pax-utils, Debian-paket

Kvitteringar

Författaren vill tacka Axel Beckert för hans stöd när det gäller förberedelsen av denna artikel.