Formato binario ELF
¿Qué es Formato binario ELF?
Formato binario ELFExecutable and Linkable Format, el contenedor binario estandar para ejecutables, objetos y bibliotecas compartidas en Linux, BSD y la mayoria de derivados de System V Unix.
ELF (Executable and Linkable Format) es el formato binario definido por la ABI de System V y utilizado por Linux, FreeBSD, OpenBSD, Solaris y numerosos sistemas embebidos. Un fichero ELF tiene una cabecera ELF, una tabla de cabeceras de programa que define los segmentos cargables en tiempo de ejecucion y una tabla de secciones que enlazadores y depuradores utilizan para tablas como .text, .rodata, .data o .dynsym. Las herramientas de seguridad analizan ELF para imponer ASLR (PIE), NX, RELRO y stack canaries, mientras que los ingenieros inversos y analistas de malware estudian secciones y dynamic tags para identificar empaquetadores, hijacks via LD_PRELOAD, sobrescrituras de la GOT y gadgets ROP.
● Ejemplos
- 01
Ejecutar readelf -a y checksec sobre un binario Linux para verificar que PIE, NX y RELRO completo estan activos.
- 02
Un atacante que parchea la .got.plt de un proceso ELF para redirigir una llamada a biblioteca hacia un payload malicioso.
● Preguntas frecuentes
¿Qué es Formato binario ELF?
Executable and Linkable Format, el contenedor binario estandar para ejecutables, objetos y bibliotecas compartidas en Linux, BSD y la mayoria de derivados de System V Unix. Pertenece a la categoría de Seguridad de aplicaciones en ciberseguridad.
¿Qué significa Formato binario ELF?
Executable and Linkable Format, el contenedor binario estandar para ejecutables, objetos y bibliotecas compartidas en Linux, BSD y la mayoria de derivados de System V Unix.
¿Cómo funciona Formato binario ELF?
ELF (Executable and Linkable Format) es el formato binario definido por la ABI de System V y utilizado por Linux, FreeBSD, OpenBSD, Solaris y numerosos sistemas embebidos. Un fichero ELF tiene una cabecera ELF, una tabla de cabeceras de programa que define los segmentos cargables en tiempo de ejecucion y una tabla de secciones que enlazadores y depuradores utilizan para tablas como .text, .rodata, .data o .dynsym. Las herramientas de seguridad analizan ELF para imponer ASLR (PIE), NX, RELRO y stack canaries, mientras que los ingenieros inversos y analistas de malware estudian secciones y dynamic tags para identificar empaquetadores, hijacks via LD_PRELOAD, sobrescrituras de la GOT y gadgets ROP.
¿Cómo defenderse de Formato binario ELF?
Las defensas contra Formato binario ELF combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Formato binario ELF?
Nombres alternativos comunes: Executable and Linkable Format, ELF.
● Términos relacionados
- appsec№ 639
Mach-O
Mach-O es el formato nativo de ejecutables, objetos y bibliotecas compartidas que macOS, iOS, watchOS y tvOS usan para los binarios compilados con las herramientas de Apple.
- appsec№ 809
Formato ejecutable PE
Portable Executable, el formato binario de Windows usado por archivos .exe, .dll, .sys y .ocx, derivado del antiguo formato de objetos COFF.
- vulnerabilities№ 131
Desbordamiento de búfer
Fallo de seguridad de memoria en el que un programa escribe más allá del final de un búfer asignado, corrompiendo memoria adyacente y a menudo permitiendo ejecución de código.
- forensics-ir№ 650
Análisis de malware
Estudio estructurado de una muestra maliciosa para comprender su funcionamiento, origen, indicadores de compromiso e impacto sobre los sistemas afectados.
- forensics-ir№ 926
Ingeniería inversa
Proceso de desensamblar y analizar software compilado, firmware o hardware para recuperar su diseño, comportamiento y funcionamiento interno.