ELF 二进制格式
ELF 二进制格式 是什么?
ELF 二进制格式Executable and Linkable Format,Linux、BSD 及多数 System V Unix 衍生系统使用的可执行文件、目标文件与共享库的标准二进制容器。
ELF(Executable and Linkable Format)是 System V ABI 定义的二进制文件格式,被 Linux、FreeBSD、OpenBSD、Solaris 及众多嵌入式系统采用。ELF 文件包含 ELF 头、程序头表(定义运行时可加载的段)以及节头表(供链接器和调试器读取 .text、.rodata、.data、.dynsym 等)。安全工具解析 ELF 以验证 ASLR(PIE)、NX、RELRO 和栈金丝雀;逆向工程师和恶意软件分析人员则通过节信息和动态标签识别加壳、LD_PRELOAD 劫持、GOT 覆写和 ROP gadget。
● 示例
- 01
对 Linux 二进制运行 readelf -a 和 checksec,确认 PIE、NX、Full RELRO 已启用。
- 02
攻击者修改 ELF 进程的 .got.plt,将库调用重定向到恶意载荷。
● 常见问题
ELF 二进制格式 是什么?
Executable and Linkable Format,Linux、BSD 及多数 System V Unix 衍生系统使用的可执行文件、目标文件与共享库的标准二进制容器。 它属于网络安全的 应用安全 分类。
ELF 二进制格式 是什么意思?
Executable and Linkable Format,Linux、BSD 及多数 System V Unix 衍生系统使用的可执行文件、目标文件与共享库的标准二进制容器。
ELF 二进制格式 是如何工作的?
ELF(Executable and Linkable Format)是 System V ABI 定义的二进制文件格式,被 Linux、FreeBSD、OpenBSD、Solaris 及众多嵌入式系统采用。ELF 文件包含 ELF 头、程序头表(定义运行时可加载的段)以及节头表(供链接器和调试器读取 .text、.rodata、.data、.dynsym 等)。安全工具解析 ELF 以验证 ASLR(PIE)、NX、RELRO 和栈金丝雀;逆向工程师和恶意软件分析人员则通过节信息和动态标签识别加壳、LD_PRELOAD 劫持、GOT 覆写和 ROP gadget。
如何防御 ELF 二进制格式?
针对 ELF 二进制格式 的防御通常结合技术控制与运营实践,详见上方完整定义。
ELF 二进制格式 还有哪些其他名称?
常见的别称包括: 可执行与可链接格式, ELF。
● 相关术语
- appsec№ 639
Mach-O
Mach-O 是 macOS、iOS、watchOS、tvOS 等 Apple 系统使用的原生可执行文件、目标文件及共享库格式,适用于 Apple 工具链生成的二进制。
- appsec№ 809
PE 可执行文件格式
Portable Executable,即 Windows 用于 .exe、.dll、.sys、.ocx 等文件的二进制格式,源自较旧的 COFF 对象格式。
- vulnerabilities№ 131
缓冲区溢出
内存安全缺陷:程序写入数据超出已分配缓冲区末尾,破坏相邻内存,常被用于实现代码执行。
- forensics-ir№ 650
恶意软件分析
对恶意样本进行结构化研究,以了解其功能、来源、入侵指标以及对受影响系统的影响。
- forensics-ir№ 926
逆向工程
对编译后的软件、固件或硬件进行反汇编与分析,以还原其设计、行为和内部工作原理的过程。