Разумевање формата датотеке ЕЛФ

Од изворног кода до бинарног кода

Програмирање почиње са паметном идејом и писањем изворног кода у програмском језику по вашем избору, на пример Ц, и чувањем изворног кода у датотеци. Уз помоћ одговарајућег компајлера, на пример ГЦЦ -а, ваш изворни код се прво преводи у објектни код. На крају, повезивач преводи код објекта у бинарну датотеку која повезује код објекта са референцираним библиотекама. Ова датотека садржи појединачне инструкције као машински код које ЦПУ разуме, а извршавају се чим се компајлирани програм покрене.

Горе наведена бинарна датотека прати специфичну структуру, а једна од најчешћих се зове ЕЛФ која скраћује извршни и повезиви формат. Широко се користи за извршне датотеке, датотеке објеката које се могу преместити, дељене библиотеке и дупове података.

Пре двадесет година-1999.-пројекат 86опен изабрао је ЕЛФ као стандардни бинарни формат датотеке за Уник и Уник-сличне системе на к86 процесорима. Срећом, формат ЕЛФ је претходно документован и у бинарном интерфејсу апликације Систем В и у стандарду интерфејса алата [4]. Ова чињеница је изузетно поједноставила споразум о стандардизацији између различитих произвођача и програмера Уник заснованих оперативних система.

Разлог за ту одлуку био је дизајн ЕЛФ-а-флексибилност, проширивост и подршка за више платформи за различите ендиан формате и величине адреса. Дизајн ЕЛФ -а није ограничен на одређени процесор, скуп инструкција или хардверску архитектуру. За детаљно поређење извршних формата датотека, погледајте овде [3].

Од тада, ЕЛФ формат користи неколико различитих оперативних система. Између осталог, ово укључује Линук, Соларис/Иллумос, Фрее-, Нет- и ОпенБСД, КНКС, БеОС/Хаику и Фуцхсиа ОС [2]. Надаље, наћи ћете га на мобилним уређајима који користе Андроид, Маемо или Меего ОС/Саилфисх ОС, као и на играћим конзолама попут ПлаиСтатион Портабле, Дреамцаст и Вии.

Спецификација не појашњава екстензију назива датотеке за ЕЛФ датотеке. У употреби су различите комбинације слова, као што су .акф, .бин, .елф, .о, .прк, .пуфф, .ко, .со и .мод, или ниједна.

Структура ЕЛФ датотеке

На Линук терминалу, команда ман елф даје вам згодан резиме о структури ЕЛФ датотеке:

Листа 1: Страница корисника ЕЛФ структуре

Као што видите из горњег описа, ЕЛФ датотека се састоји од два одељка - ЕЛФ заглавља и података о датотеци. Одељак са подацима о датотеци може се састојати од табеле заглавља програма која описује нулу или више сегмената, табеле заглавља одељка која описује нулу или више одељака, иза које следе подаци на које се упућују уноси из табеле заглавља програма и табеле заглавља одељка. Сваки сегмент садржи информације које су неопходне за извршавање датотеке у току извођења, док одељци садрже важне податке за повезивање и премештање. Слика 1 илуструје ово шематски.

Заглавље ЕЛФ

ЕЛФ заглавље је дугачко 32 бајта и идентификује формат датотеке. Почиње низом од четири јединствена бајта који су 0к7Ф, а затим 0к45, 0к4ц и 0к46 који се преводи у три слова Е, Л и Ф. Између осталих вредности, заглавље такође означава да ли је то ЕЛФ датотека за 32 или 64-битни формат, који користи малу или велику ендианнесс, приказује верзију ЕЛФ-а, као и за који оперативни систем је датотека компилирана ради интеракције са правим апликацијским бинарним интерфејсом (АБИ) и скупом инструкција процесора.

Шестоснимак додира бинарне датотеке изгледа овако:

.Листинг 2: Хекдумп бинарне датотеке

Дебиан ГНУ/Линук нуди наредбу реаделф која се налази у пакету ГНУ „бинутилс“. У пратњи прекидача -х (кратка верзија за –филе -хеадер) лепо приказује заглавље ЕЛФ датотеке. Листа 3 илуструје ово за команду тоуцх.

.Листинг 3: Приказ заглавља ЕЛФ датотеке

Заглавље програма

Заглавље програма приказује сегменте који се користе током извођења и говори систему како да креира слику процеса. Заглавље из листе 2 показује да се ЕЛФ датотека састоји од 9 заглавља програма који имају величину по 56 бајтова, а прво заглавље почиње од бајта 64.

Опет, команда реаделф помаже да се извуку информације из ЕЛФ датотеке. Прекидач -л (скраћено од –програмска заглавља или –сегменти) открива више детаља као што је приказано у листи 4.

.Листинг 4: Приказ информација о заглављима програма

Заглавље одељка

Трећи део структуре ЕЛФ -а је заглавље одељка. Намера је да наведе појединачне делове бинарног фајла. Прекидач -С (скраћено од –сецтион -хеадерс или –сецтионс) наводи различита заглавља. Што се тиче команде на додир, постоји 27 заглавља одељака, а у листи 5 приказана су само прва четири и само последње. Сваки ред покрива величину одељка, врсту одељка, као и његову адресу и помак меморије.

.Листинг 5: Реаделф открива детаље одељка

Алати за анализу ЕЛФ датотеке

Као што сте можда приметили из горњих примера, ГНУ/Линук је обогаћен бројним корисним алатима који вам помажу у анализи ЕЛФ датотеке. Први кандидат којег ћемо погледати је услужни програм за датотеке.

филе приказује основне информације о ЕЛФ датотекама, укључујући архитектуру скупа инструкција за коју је намењен код у датотеци за премештање, извршну датотеку или дељени објекат. У списку 6 вам говори да је/бин/тоуцх 64-битна извршна датотека која прати Линук Стандард Басе (ЛСБ), динамички повезана и израђена за верзију језгра ГНУ/Линук 2.6.32.

.Листинг 6: Основне информације помоћу датотеке

Други кандидат се поново чита. Приказује детаљне информације о ЕЛФ датотеци. Листа прекидача је упоредиво дуга и обухвата све аспекте ЕЛФ формата. Коришћењем прекидача -н (скраћено од –нотес) Листа 7 приказује само одељке белешки који постоје у додиру датотеке -ознаку верзије АБИ -а и низ битова ИД -а израде.

.Листинг 7: Приказ изабраних одељака ЕЛФ датотеке

Имајте на уму да под Соларисом и ФрееБСД -ом помоћни програм елфдумп [7] одговара реаделф. Од 2019. није било новог издања или ажурирања од 2003.

Трећи је пакет под називом елфутилс [6] који је чисто доступан за Линук. Пружа алтернативне алате ГНУ Бинутилс -у, а такође дозвољава и проверу ваљаности ЕЛФ датотека. Имајте на уму да сви називи помоћних програма наведених у пакету почињу са еу за „елф утилс“.

На крају, али не најмање важно, поменућемо објдумп. Овај алат је сличан реаделфу, али се фокусира на датотеке објеката. Он пружа сличан опсег информација о ЕЛФ датотекама и другим форматима објеката.

.Листинг 8: Подаци о датотеци извучени од стране објдумп

Постоји и софтверски пакет под називом „елфкицкерс“ [9] који садржи алате за читање садржаја ЕЛФ датотеке, као и за руковање њоме. Нажалост, број издања је прилично мали, и зато га само спомињемо, а не приказујемо даље примере.

Као програмер, уместо тога можете погледати „пак-утилс“ [10,11]. Овај скуп услужних програма пружа низ алата који помажу у потврђивању ЕЛФ датотека. На пример, думпелф анализира ЕЛФ датотеку и враћа датотеку заглавља Ц која садржи детаље - погледајте слику 2.

Закључак

Захваљујући комбинацији паметног дизајна и одличне документације, ЕЛФ формат функционише веома добро и користи се и након 20 година. Горе приказани услужни програми омогућавају вам увид у ЕЛФ датотеку и омогућавају вам да схватите шта програм ради. Ово су први кораци за анализу софтвера - срећно хаковање!

Линкови и референце

• [1] Извршни и повезиви формат (ЕЛФ), Википедија
• [2] Фуцхсиа ОС
• [3] Поређење формата извршних датотека, Википедиа
• [4] Линук Фоундатион, Референциране спецификације
• [5] Циро Сантилли: ЕЛФ Хелло Ворлд Туториал
• [6] елфутилс Дебиан пакет
• [7] елфдумп
• [8] Мицхаел Боелен: 101 ЕЛФ датотека на Линук -у: разумевање и анализа
• [9] елфкицкерс
• [10] Ојачани/ПаКс комуналије
• [Једанаест] пак-утилс, Дебиан пакет

Захвалнице

Писац жели да се захвали Акселу Бекерту на подршци у припреми овог чланка.