之前老师给了任务,同时自己也学习了很多,所以在这里写一下关于ELF和PE的文件格式的一些学习

ELF文件格式

先写出readelf和hexdump的一些用法

readelf:
-a            全部展现
-h            ELF文件头
-l            程序头
-S            节区头(注意大写)
-x index    节区中每个分区的十六进制

hexdump:
-s            从某个地址开始(可以用0x)
-n            截取大小
-C            标准十六进制格式输出

首先观察一下特德文件大体结构,如下图,左边是在磁盘中的结构,右图是运行时的结构,磁盘中分的节区,运行中的分的是段

病毒特征

病毒特征

接下来介绍一下刚才图中的三个索引表

ELF头部(ELF_Header): 每个ELF文件都必须存在一个ELF_Header,这里存放了很多重要的信息用来描述整个文件的组织,如: 版本信息,入口信息,偏移信息等。程序执行也必须依靠其提供的信息。

程序头部表(Program_Header_Table): 可选的一个表,用于告诉系统如何在内存中创建映像,在图中也可以看出来,有程序头部表才有段,有段就必须有程序头部表。其中存放各个段的基本信息(包括地址指针)。

节区头部表(Section_Header_Table): 类似与Program_Header_Table,但与其相对应的是节区(Section)。

ELF 头部:

设置一个elf文件常用的数据格式(此为32位)

病毒特征


//ELF Header结构体
#define EI_NIDENT 16
typedef struct {
       unsigned char e_ident[EI_NIDENT];    一个数组含有magic,大小端绪、32\64位,文件版本、ABI等信息
       ELF32_Half e_type;        文件类型:可重定向(.O)、可执行、共享目标文件(.so)
       ELF32_Half e_machine;    cpu架构
       ELF32_Word e_version;    文件版本
       ELF32__Addr e_entry;        代码入口地址
       ELF32_Off e_phoff;        程序头偏移(==ELF头size)
       ELF32_Off e_shoff;        节区头偏移
       ELF32_Word e_flags;        暂无0 -0
       ELF32_Half e_ehsize;        ELF头size
       ELF32_Half e_phentsize;    程序头各分段size
       ELF32_Half e_phnum;        程序头中分段数量
       ELF32_Half e_shentsize;    节区头各节区size
       ELF32_Half e_shnum;        节区头节区数量
       ELF32_Half e_shstrndx;    节区名称于节区数组中的下标
}Elf32_Ehdr;


下图为ida与linux中readelf图

病毒特征

病毒特征

hex表

病毒特征

其中Relocatable File(.o文件)不需要执行,因此e_entry字段为0,且没有Program Header Table等执行视图

程序头部表:


//每个段的结构
typedef struct{
    Elf32_Word p_type;        下文有介绍
    Elf32_Off p_offset;        段相对于文件的索引地址
    Elf32_Addr p_vaddr;        段在内存中的虚拟地址
    Elf32_Addr p_paddr;        段的物理地址
    Elf32_Word p_filesz;    段在文件中的size
    Elf32_Word p_memsz;        段在内存中的size
    Elf32_Word p_flage;        段相关标志(read、write、exec)
    Elf32_Word p_align;        字节对齐        p_vaddr 和 p_offset 对 p_align 取模后应该等于0。
} Elf32_phdr;


p_type 声明此段的作用类型

病毒特征

PT_INTERP:共享库的加载器
执行外部库搜索和加载的程序称为加载器,elf格式的是ld-linux.so,a.out格式是ld.so。而由于加载器可能有多种实现,也可能有多个版本,所以每个二进制文件中都需要指明使用哪个加载器,指明使用哪个加载器的功能就是用segment实现的,这种segment就是PT_INTERP类型。

PT_DYNAMIC:记录了elf执行需要的库

PT_LOAD:真正的程序存储的地方。这个构成了程序的主体。

此段文字摘抄于broler作者的csdn博客,一下为其链接

https://blog.csdn.net/ljy1988123/article/details/50404642

以下为ida与readelf读出的程序头部表以及hex图

病毒特征

病毒特征

病毒特征

节区头部表

//每个节区的结构

typedef struct{
    Elf32_Word sh_name;            节区名称
    Elf32_Word sh_type;            节区格式
    Elf32_Word sh_flags;        节区相关标志(read、write、exec)
    Elf32_Addr sh_addr;            地址
    Elf32_Off sh_offset;        偏移
    Elf32_Word sh_size;            大小
    Elf32_Word sh_link;            给出此节区需要用到的索引成员链接(比如.dynsym--->.dynstr)
    Elf32_Word sh_info;            此成员给出的一些附加信息(与type有关)
    Elf32_Word sh_addralign;    字节对齐
    Elf32_Word sh_entsize;        节区中每条ent的size(若节区里面又分成了多条ent)
}Elf32_Shdr;

sh_type

病毒特征

系统节区的功能属性

病毒特征

病毒特征

动态连接过程所需要的信息由.dynsym、.dynstr、.interp、.hash、.dynamic、.rel、.rela、.got、.plt 等节提供

.init 和.fini 节用于进程的初始化和终止过程。

以点号”.”为前缀的节名字是为系统保留的

节区功能属性及下面文字摘抄于广敏作者的csdn博客,以下为其链接地址

https://blog.csdn.net/u011298001/article/details/84862565

以下为readelf读出的节区头部表和section到segment的映射表

病毒特征

病毒特征

病毒特征

elf中重要的功能重定位

这里给重定位留着位置,现在总是半懂不懂的,先留着等过以后找时间补充

其上内容借鉴于各大佬的博客,以下附上链接地址

https://blog.csdn.net/u011298001/article/details/84862565
https://blog.csdn.net/ljy1988123/article/details/50404642
https://www.52pojie.cn/thread-591986-1-1.html

PE文件格式

个人感觉PE文件结构看上去比ELF要友好那么一点点(可能是因为做windows恶意代码分析的缘故吧0 -0)

废话不多说,先上一个PE文件结构的图

pe文件结构图

此图为逆向工程核心原理上的结构图左边是磁盘上的结构右边是运行时映射到内存上的结构

首先还是从“头”开始

PE文件头

dos头(含dos存根)

比较简单,这里就不列出全部了,我们只需要关注两个区域,图片在下面,在下一个是在PE_stu里面展示的,大致了解一下情况

e_magic:常数,文本值为MZ
e_lfanew:NT头的偏移又或者说是dos头的大小

dos头
dos头

这里他的dos存根就是展示一下DOS操作系统不能运行,然后退出这个程序,算是一个小小的彩蛋吧,哈哈

NT头

这个头就比较重要了,他由两部分组成,一个是文件头一个是可选头,NT头是头里面最大的头

typedef struct _IMAGE_NT_HEADERS {
    DWORD Signature;                签名PE
    IMAGE_FILE_HEADER FileHeader;                文件头
    IMAGE_OPTIONAL_HEADER32 OptionalHeader;        可选头
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

文件头

typedef struct _IMAGE_FILE_HEADER {
    WORD    Machine;                文件运行的平台,比如x86,x86_64
    WORD    NumberOfSections;        节区数目
    DWORD   TimeDateStamp;            时间戳,换算可以参考病毒分析的lab1
    DWORD   PointerToSymbolTable;    
    DWORD   NumberOfSymbols;
    WORD    SizeOfOptionalHeader;    可选头大小
    WORD    Characteristics;        文件的属性
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

Machine

NT-文件头-machine码对应

Characteristics

这里我们只需要记住一些重要的就行比如0x0002(可执行)、0x0100(32位)、0x1000(系统文件)、0x2000(dll文件)
NT-文件头-Characteristics码对应

图片来源于adam001521的博客

可选头

typedef struct _IMAGE_OPTIONAL_HEADER {
    WORD    Magic;                            表明可选头类型(0x10b 32PE、0x20b 64PE)
    BYTE    MajorLinkerVersion;                链接器的版本号
    BYTE    MinorLinkerVersion;
    DWORD   SizeOfCode;                        代码段的总长度
    DWORD   SizeOfInitializedData;            初始化数据长度
    DWORD   SizeOfUninitializedData;        未初始化数据长度
    DWORD   AddressOfEntryPoint;            程序入口RVA exe的main、dll的DllMain、驱动的DriverEntry
    DWORD   BaseOfCode;                        代码段起始的RVA
    DWORD   BaseOfData;                        数据段起始的RVA
    DWORD   ImageBase;                        映像(加载到内存上的)基地址
    DWORD   SectionAlignment;                内存中节区地址起始最小值,比如0x1000则每个节的起始地址低12位都是0
    DWORD   FileAlignment;                    文件中对齐值,同上文
    WORD    MajorOperatingSystemVersion;
    WORD    MinorOperatingSystemVersion;
    WORD    MajorImageVersion;
    WORD    MinorImageVersion;
    WORD    MajorSubsystemVersion;
    WORD    MinorSubsystemVersion;
    DWORD   Win32VersionValue;                保留必须为0
    DWORD   SizeOfImage;                    映射到内存的映像的大小
    DWORD   SizeOfHeaders;                    头的大小,以FileAlignment对齐的
    DWORD   CheckSum;
    WORD    Subsystem;                        区分是系统文件还是可执行文件
    WORD    DllCharacteristics;
    DWORD   SizeOfStackReserve;
    DWORD   SizeOfStackCommit;
    DWORD   SizeOfHeapReserve;
    DWORD   SizeOfHeapCommit;
    DWORD   LoaderFlags;
    DWORD   NumberOfRvaAndSizes;            数据目录数目,下面的数据目录是个数组,里面存着各种重要的数据的RVA和Size
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

Subsystem

含 义 备 注
1 Driver文件 系统驱动(如:ntfs.sys)
2 GUI文件 窗口应用程序(如:notepad.exe)
3 CUI文件 cmd程序(如:cmd.exe)

DataDirectory(结构就不放了,就一个RVA一个size)

重要的是import[1]、export[0]、resource[2]、TLS[9]
NT-可选头-DataDirectory

最后说明一下其十六进制数据
NT头十六进制数据

节区头

typedef struct _IMAGE_SECTION_HEADER 
{
    BYTE Name[IMAGE_SIZEOF_SHORT_NAME];     节表名称,如“.text” 
    union
    {
        DWORD PhysicalAddress;                 磁盘中的地址(物理地址)
        DWORD VirtualSize;                     虚拟大小(节区映像大小)
    }Misc;
    DWORD VirtualAddress;             虚拟地址
    DWORD SizeOfRawData;             磁盘中节区大小
    DWORD PointerToRawData;         磁盘中节区偏移
    DWORD PointerToRelocations;     在OBJ文件中使用,重定位的偏移
    DWORD PointerToLinenumbers;     行号表的偏移(供调试使用地)
    WORD NumberOfRelocations;         在OBJ文件中使用,重定位项数目
    WORD NumberOfLinenumbers;         行号表中行号的数目
    DWORD Characteristics;             节属性如可读,可写,可执行等
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

Characteristics
节区属性表1
节区属性表2

图片来源于qintangtao的博客园

十六进制图
十六进制图

import导入
export导出
重定位
延迟重定位
loading。。。。。。

感谢
adam001521师傅提供的素材
qintangtao师傅提供的图片


一个好奇的人