本文介绍了Linux系统中可执行文件的ELF格式,包括ET_REL、ET_EXEC、ET_DYN等类型,以及ELF文件头、程序表头和段的概念。重点讲解了在逆向工程、病毒分析中的重要性,特别是动态链接库和关键段如.text、.rodata、.plt、.got.plt等,强调了理解这些底层知识对于黑客攻防和病毒查杀的重要性。
要想在Linux系统上实现逆向工程,分析,设计或查杀病毒和恶意代码,你不得不深入掌握其可执行文件的ELF格式,这样你才能了解进程在内存空间的布局和运行的基本规律,这样你才能有针对性的设计有效的病毒或恶意代码入侵系统。
ELF文件主要有以下几种类型,ET_NONE表示该文件的作用未知;ET_REL表示重定向文件或叫目标文件,它们将会被链接并加装到某个指定的虚拟内存位置,常见的以.o结尾的二进制文件就属于这种类型。ET_EXEC表示可执行文件,它是由多个.o文件链接起来,可以被加载到内存进行执行的进程数据文件;ET_DYN表示动态链接库,它里面包含一系列向外到处的函数代码,当进程需要调用其内部函数时会将其加载到内存;最后一种是ET_CORE,它是进程奔溃时产生的二进制信息文件,通过GDB加载该文件可以查找进程奔溃的原因。
ELF文件的头部结构能反映出该文件很多重要信息,使用readelf -h可以读取指定ELF文件的文件头,其使用示例如下:
其二进制数据结构如下:
#define EI_NIDENT 16
typedef struct {
unsigned char e_ident[EI_NIDENT];
uint16_t e_type;
uint16_t e_machine;
uint32_t e_version;
ElfN_Addr e_entry;
ElfN_Off e_phoff;
ElfN_Off e_shoff;
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
