ELF

• executable and linkable format.
• Linux の実行ファイルの形式

cheatsheet

ELF Format Cheatsheet より

header
program header
sections
.text // program
.rodata
.data // 書き換え可能な変数 e.g. global, static変数
.bss

section headers

• ELF header
• Prog headers(e_phnum 個ある)
• 各 section
• section headers(e_phnum 個ある)
  が並んでいる.

ELFの二面性

ELF形式の最大の特徴、つまり ELF を理解する上で重要なポイントは、プログラムの「リンク」と「実行」に応じて二重構造（二面性）が埋め込まれている点にあります。

ELF header

• tips C言語で末尾に U は unsigned
  • c postfix u でぐぐった
• archによって headerのフォーマットも違う(同じだと思っていた)
  • i386 = x86 では offset が u32
  • x64 では, offset が u64
    • 先頭16byteでどっちかはわかる
      • [概要欄必読] ELF入門#1-3 セグメント/プログラムヘッダとは，まとめ - YouTube

Program header

segment: section の集まりが順番に並んでいる
- $ readelf: Section to Segment mapping に対応が書いてある
program header : segment のメタ情報

• p_vadder, p_padder

  • ユーザープログラムでは一致
  • kernel programでは変わる

• p_filesz: segment size in file(Bytes)

• p_memsz: segment size in memory(Bytes)

  • .bss の分(ex. static 変数) が膨れるらしい
    • 大量にstaticな配列確保すると p_memsz 大きくなる

• idea modern alternative readelf CLI

• idea elfのaddrが指し示す先とかを矢印とかでvizしてくれるwebアプリ

• type

  • PT_GNU_STACK: ELFがメモリにロードされた際にどのようにstackをコントロールするのかをシステムに伝えるためのもの
    • todo
      • linux - Is there a way to remove segment GNU_STACK - Stack Overflow
      • asm混ぜるとexecutable flag付くらしい, todo 悪いこと?
        • アセンブラを混ぜてコンパイルするとスタックが実行可になってしまう話 - Qiita
  • PT_GNU_RELRO: dataセグメントの一部である。
    • memo/ELFFormat.md at master · tsuyopon/memo · GitHub
  • pwn で出がちらしい?

• 2022-03-27 GitHub - moshego189/tiny-link: Simple elf linker implementation

• 2022-03-31 [全部無料]最小限で理解しつつ作るELF parser入門 in Rust

実装

• Drumatoさん GitHub - Drumato/elfpeach: An TUI based elf analyzer

参考文献

• ELF Hello World Tutorial
• ELF Format Cheatsheet
• GNU Cを使いこなそう | 株式会社コンピューテックス
• xv6 のブートローダーを読む
• 最小限のELF | κeenのHappy Hacκing Blog