ELF a linux excutable walkthrough
计算机文件 一般分为两类:二进制文件 和 ASCII文件(也称纯文本文件)。
-
ASCII文件:用纯文本编辑器能够打开且打开文件的内容是人类能够理解的可显示字符。
-
二进制文件:狭义的说,除去纯文本文件以外的文件均为二进制文件,它们的存储形式为二进制。
二进制文件的一些描述
二进制文件在不同操作系统上的表现形式不一样。通过基于 unix 操作系统的 file 命令可以获得二进制文件的相关描述,如:
setuid ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-, for GNU/Linux 2.6.24, BuildID[sha1]=c5ecc1690866b3bb085d59e87aad26a1e386aaeb, not stripped
下面我们来分析下这段输出到底描述了些什么。
ELF (Excutable and Linkable Format)
可执行与可链接格式(ELF)在计算机科学中是一种用于可执行文件、目标文件、共享库和核心转储的标准文件格式。1999年,被86open项目选为x86架构上的类Unix操作系统的二进制文件格式标准,用来取代COFF。因其可扩展性与灵活性,也可应用在其它处理器、计算机系统架构的操作系统上。
具体参考:Excutable and Linkable Format
其它文件格式:
-
PE (Portable Excutable) —— 针对 Windows 操作系统
-
Mach-O(Mach object) —— 针对 NeXTSTEP、 OS X 和 iOS
32-bit
不同操作系统写入二进制文件的方式,与操作系统的汇编指令集有关。这里的 32-bit 不是代表编译该文件的操作系统就是32位操作系统,两者之间没有关联。不同的操作系统可以使用不同的汇编指令集编译出具有相同功能的程序。
常见的汇编指令集有MIPS32(32-bit)、MIPS64、ARM、PowerPC、x86(32-bit)和x86-64(64-bit)等,最后两个汇编指令集是比较常见的。
LSB (Linux Stardard Base)
LSB 是 Linux标准规范的英文缩写。
Intel 80386
Intel 80386是Intel的32位微处理器。这意味着该可执行文件可以在Intel的80386微处理器或与其兼容的任何设备上运行。最新的64位微处理器都向后兼容32位微处理器。
SYSV
SYSV 指的就是 UNIX System V。UNIX System V是Unix操作系统众多版本中的一支。它最初由AT&T开发,在1983年第一次发布,因此也被称为AT&T System V。一共发行了4个System V的主要版本:版本1、2、3和4。Unix的另一个主要版本是BSD(伯克利软件发行版)。
其它:
- GNU/Linux —— Linux 操作系统
Dynamically linked (uses shared libs)
在动态链接中,将外部库(共享库)的名称放置在最终的可执行文件中,而实际链接是在运行时才将可执行文件和库都放置在内存中时执行的。因此,我们不必将标准库保留在二进制文件中(您可以将它们导入程序中)。这有助于减小文件大小,并允许多个程序使用可执行模块的单个副本。
其它:
- Static linking
在 Static linking (静态链接) 中,程序中使用的所有库模块均被复制到最终的可执行文件中。这是由链接器执行的,并且是编译过程的最后一步。这会大大增加文件大小。
但是,使用静态链接库的程序通常比使用共享库的程序快。同样在静态链接程序中,所有代码都包含在一个可执行模块中。因此,它们几乎不会遇到兼容性问题。
interpreter /lib/ld-
这是 ELF(可执行与可链接格式) 解释器。它负责动态链接。
for GNU/Linux 2.6.24
与程序目标链接 C 库的 Linux 系统内核版本。
not stripped
not stripped 直译就是 没有剥离 的意思。此信息表示可执行程序和原始源代码之间存在关系。它包括诸如全局和静态变量名称以及函数名称之类的内容。
相反,stripped 代表没有这些调试信息。
好了~ 上面就是关于使用 file 命令查出的一些关于二进制文件的描述。这对我们入门 CTF 也有一定的帮助。
Reference
参考资料 Knowing your Binary!
网友评论