Pochopenie formátu súboru ELF

Od zdrojového kódu k binárnemu kódu

Programovanie začína múdrou myšlienkou a napísaním zdrojového kódu v programovacom jazyku podľa vášho výberu, napríklad C, a uložením zdrojového kódu do súboru. S pomocou adekvátneho kompilátora, napríklad GCC, sa váš zdrojový kód najskôr preloží do objektového kódu. Linker nakoniec preloží kód objektu do binárneho súboru, ktorý prepojí kód objektu s odkazovanými knižnicami. Tento súbor obsahuje jediné inštrukcie ako strojový kód, ktorým procesor rozumie a sú spustené ihneď po spustení kompilovaného programu.

Vyššie uvedený binárny súbor má špecifickú štruktúru a jeden z najbežnejších má názov ELF, ktorý skratkuje spustiteľný a prepojiteľný formát. Je široko používaný pre spustiteľné súbory, premiestniteľné súbory objektov, zdieľané knižnice a základné skládky.

Pred dvadsiatimi rokmi-v roku 1999-si projekt 86open vybral ELF ako štandardný formát binárnych súborov pre systémy Unix a systémy podobné unixom na procesoroch x86. Našťastie bol formát ELF predtým dokumentovaný v binárnom rozhraní aplikácie System V aj v štandarde rozhrania nástroja [4]. Táto skutočnosť enormne zjednodušila dohodu o štandardizácii medzi rôznymi dodávateľmi a vývojármi operačných systémov založených na Unixe.

Dôvodom tohto rozhodnutia bol návrh ELF-flexibilita, rozšíriteľnosť a podpora viacerých platforiem pre rôzne endianové formáty a veľkosti adries. Dizajn spoločnosti ELF nie je obmedzený na konkrétny procesor, inštrukčnú sadu alebo hardvérovú architektúru. Podrobné porovnanie spustiteľných formátov súborov nájdete tu [3].

Odvtedy formát ELF používa niekoľko rôznych operačných systémov. Okrem iného sem patria Linux, Solaris/Illumos, Free-, Net- a OpenBSD, QNX, BeOS/Haiku a Fuchsia OS [2]. Ďalej ho nájdete na mobilných zariadeniach so systémom Android, Maemo alebo Meego OS/Sailfish OS, ako aj na herných konzolách ako PlayStation Portable, Dreamcast a Wii.

Špecifikácia nevysvetľuje príponu súboru pre súbory ELF. Používa sa množstvo kombinácií písmen, napríklad .axf, .bin, .elf, .o, .prx, .puff, .ko, .so a .mod, alebo žiadne.

Štruktúra súboru ELF

Na termináli Linux vám príkaz man elf poskytne užitočné zhrnutie štruktúry súboru ELF:

Výpis 1: Manpage štruktúry ELF

Ako vidíte z vyššie uvedeného popisu, súbor ELF sa skladá z dvoch sekcií - hlavičky ELF a údajov súboru. Sekcia údajov o súboroch môže pozostávať z tabuľky záhlavia programu popisujúcej nula alebo viacerých segmentov, tabuľky záhlavia sekcií opisujúcich nula alebo viacerých sekcií, za ktorou nasledujú údaje uvedené v záznamoch z tabuľky záhlavia programu a tabuľky záhlaví sekcií. Každý segment obsahuje informácie, ktoré sú potrebné na spustenie súboru za behu, zatiaľ čo sekcie obsahujú dôležité údaje na prepojenie a premiestnenie. Obrázok 1 to schematicky ilustruje.

Hlavička ELF

Hlavička ELF má 32 bajtov a identifikuje formát súboru. Začína sa to sekvenciou štyroch jedinečných bajtov 0x7F, za ktorou nasledujú 0x45, 0x4c a 0x46 a ktorá sa prekladá do troch písmen E, L a F. Okrem iných hodnôt hlavička tiež uvádza, či ide o súbor ELF pre 32 alebo 64-bitový formát, ktorý používa malú alebo veľkú endianness, zobrazuje verziu ELF a operačný systém, pre ktorý bol súbor zostavený, aby spolupracoval so správnym súborom inštrukcií binárne rozhranie (ABI) a procesor.

Hexdump binárneho súboru vyzerá takto:

.Listing 2: Hexdump binárneho súboru

Debian GNU/Linux ponúka príkaz readelf, ktorý je súčasťou balíka GNU „binutils“. Doplnený prepínačom -h (krátka verzia pre –súbor -hlavička) pekne zobrazuje hlavičku súboru ELF. Zoznam 3 to ilustruje na príkazovom dotyku.

.Zoznam 3: Zobrazenie hlavičky súboru ELF

Hlavička programu

Hlavička programu zobrazuje segmenty používané za behu a systému hovorí, ako vytvoriť obraz procesu. Záhlavie zo zoznamu 2 ukazuje, že súbor ELF pozostáva z 9 hlavičiek programu, z ktorých každá má veľkosť 56 bajtov, a prvé záhlavie začína na bajte 64.

Príkaz readelf opäť pomáha extrahovať informácie zo súboru ELF. Prepínač -l (skratka pre –programové hlavičky alebo –segmenty) odhalí ďalšie podrobnosti, ako je uvedené v zozname 4.

. Zoznam 4: Zobrazenie informácií o hlavičkách programu

Hlavička sekcie

Treťou časťou štruktúry ELF je záhlavie sekcie. Cieľom je uviesť zoznam jednotlivých sekcií binárneho súboru. Prepínač -S (skratka pre –sekčné hlavičky alebo –sekcie) uvádza rôzne hlavičky. Pokiaľ ide o dotykový príkaz, existuje 27 hlavičiek sekcií a v zozname 5 sú uvedené iba prvé štyri z nich a posledné. Každý riadok pokrýva veľkosť sekcie, typ sekcie, ako aj jej adresu a ofset pamäte.

. Zoznam 5: Podrobnosti o sekcii odhalené readelfom

Nástroje na analýzu súboru ELF

Ako ste si mohli všimnúť z vyššie uvedených príkladov, GNU/Linux je doplnený o množstvo užitočných nástrojov, ktoré vám pomôžu analyzovať súbor ELF. Prvým kandidátom, na ktorého sa pozrieme, je súborový nástroj.

súbor zobrazuje základné informácie o súboroch ELF vrátane architektúry sady inštrukcií, pre ktorú je kód v premiestniteľnom, spustiteľnom alebo zdieľanom objekte určený. V zozname 6 vám hovorí, že/bin/touch je 64-bitový spustiteľný súbor podľa Linux Standard Base (LSB), dynamicky prepojený a vytvorený pre jadro GNU/Linux verzie 2.6.32.

.Seznam 6: Základné informácie pomocou súboru

Druhý kandidát je pripravený na prečítanie. Zobrazuje podrobné informácie o súbore ELF. Zoznam prepínačov je porovnateľne dlhý a pokrýva všetky aspekty formátu ELF. Použitím prepínača -n (skratka – poznámky) Výpis 7 zobrazuje iba sekcie poznámok, ktoré sa nachádzajú v dotyku súboru -značku verzie ABI a bitový reťazec ID zostavy.

.Seznam 7: Zobrazenie vybraných sekcií súboru ELF

Všimnite si toho, že v systémoch Solaris a FreeBSD nástroj elfdump [7] korešponduje s readelf. Od roku 2019 neexistuje žiadne nové vydanie ani aktualizácia od roku 2003.

Číslo tri je balík s názvom elfutils [6], ktorý je k dispozícii iba pre Linux. Poskytuje alternatívne nástroje k GNU Binutils a tiež umožňuje validáciu súborov ELF. Všimnite si toho, že všetky názvy nástrojov uvedených v balíku začínajú na eu pre „elf utils“.

V neposlednom rade spomenieme objdump. Tento nástroj je podobný readelf, ale zameriava sa na objektové súbory. Poskytuje podobný rozsah informácií o súboroch ELF a iných objektových formátoch.

.Seznam 8: Informácie o súbore extrahované pomocou objdump

Existuje aj softvérový balík s názvom „elfkickers“ [9], ktorý obsahuje nástroje na čítanie obsahu súboru ELF a na manipuláciu s ním. Počet vydaní je bohužiaľ dosť nízky, a preto to uvádzame a neukazujeme ďalšie príklady.

Ako vývojár sa môžete namiesto toho pozrieť na „pax-utils“ [10,11]. Táto sada nástrojov poskytuje množstvo nástrojov, ktoré pomáhajú pri validácii súborov ELF. Dumpelf napríklad analyzuje súbor ELF a vráti súbor hlavičky C obsahujúci podrobnosti - pozri obrázok 2.

Záver

Vďaka kombinácii chytrého dizajnu a vynikajúcej dokumentácie formát ELF funguje veľmi dobre a používa sa aj po 20 rokoch. Vyššie uvedené pomocné programy vám poskytnú prehľad o súbore ELF a umožnia vám zistiť, čo program robí. Toto sú prvé kroky k analýze softvéru - šťastné hackovanie!

Odkazy a referencie

• [1] Spustiteľný a prepojiteľný formát (ELF), Wikipedia
• [2] Fuchsia OS
• [3] Porovnanie spustiteľných formátov súborov, Wikipedia
• [4] Linux Foundation, referenčné špecifikácie
• [5] Ciro Santilli: ELF Hello World Tutorial
• [6] balík elfutils Debian
• [7] elfdump
• [8] Michael Boelen: 101 súborov ELF v systéme Linux: Porozumenie a analýza
• [9] škriatkovia
• [10] Kalené/PaX nástroje
• [jedenásť] pax-utils, balík Debian

Poďakovanie

Autor by chcel poďakovať Axelovi Beckertovi za podporu pri príprave tohto článku.