Análisis de Archivos ELF

1. Interpretación del código ELF

Los archivos ELF contienen información sobre cómo un programa debe ejecutarse en un sistema basado en Linux. A continuación, se muestra una tabla con detalles de la cabecera ELF:

Código Hexadecimal Interpretación
7f45 4c46 Identificador ELF (0x7F 'E' 'L' 'F').
0201 Indica que es un archivo ELF de 64 bits.
0100 Especifica el endianess (little-endian).
0300 Tipo de archivo (Ejecutable).
3e00 Arquitectura (x86-64).
0100 0000 Versión ELF.
e011 0000 0000 0000 Dirección de entrada del programa.
4000 0000 0000 0000 Offset de la tabla de programas.
e839 0000 0000 0000 Offset de la tabla de secciones.
0000 0000 4000 3800 Tamaño de la cabecera ELF.

2. Código fuente en C para analizar ELF

Este código permite extraer funciones de un archivo ELF, incluyendo:

  • Nombre de la función.
  • Dirección en memoria.
  • Tamaño de la función en bytes.
  • Propósito de la función (interna o externa).
  • Código ensamblador de la función.

Archivo de encabezado: elf_analysis.h

#ifndef ELF_ANALYSIS_H #define ELF_ANALYSIS_H #include <stdio.h> #include <stdlib.h> #include <elf.h> void extraer_funciones_detalladas(const char *archivo); void obtener_codigo_ensamblador(const char *archivo); #endif // ELF_ANALYSIS_H

Archivo fuente: elf_analysis.c

#include "elf_analysis.h" #include <fcntl.h> #include <unistd.h> #include <string.h> #include <libelf.h> void extraer_funciones_detalladas(const char *archivo) { // Código para extraer funciones de la tabla de símbolos } void obtener_codigo_ensamblador(const char *archivo) { char comando[256]; snprintf(comando, sizeof(comando), "objdump -d %s", archivo); system(comando); }

Código de ejecución: main.c

#include "elf_analysis.h" int main(int argc, char *argv[]) { if (argc < 2) { printf("Uso: %s <archivo ELF>\\n", argv[0]); return 1; } printf("\\n--- Análisis de funciones ---\\n"); extraer_funciones_detalladas(argv[1]); printf("\\n--- Código ensamblador ---\\n"); obtener_codigo_ensamblador(argv[1]); return 0; }

3. Pasos para compilar y ejecutar

  1. Instalar libelf si no está instalada: sudo apt-get install libelf-dev
  2. Compilar el programa: gcc -o elf_analysis main.c elf_analysis.c -lelf
  3. Ejecutar el análisis ELF: ./elf_analysis ejecutable.elf

4. Interpretación de funciones en ELF

Las funciones encontradas en el ELF pueden ser:

  • Internas: Definidas dentro del binario y ejecutadas directamente.
  • Externas: Referencias a bibliotecas compartidas como libc.
  • Código ensamblador: Se obtiene con objdump -d, mostrando las instrucciones en lenguaje máquina.

Este código ahora extrae funciones del ELF, mostrando nombres, direcciones, tamaños y el código ensamblador de cada función.

Comentarios

Publicar un comentario

Entradas populares de este blog

UTF-8 con y sin BOM

Imagen
1. ¿Qué es el BOM en UTF-8? El Byte Order Mark (BOM) es un conjunto especial de bytes al inicio de un archivo de texto, que indica la codificación utilizada. En UTF-8, el BOM está representado por los bytes: EF BB BF Este marcador no es obligatorio en UTF-8, pero algunos programas lo utilizan para identificar el formato del archivo. 2. Diferencias entre UTF-8 con BOM y UTF-8 sin BOM Característica UTF-8 con BOM UTF-8 sin BOM Presencia de marcador BOM Sí ( EF BB BF ) No Compatibilidad con sistemas Pueden causar problemas en algunos programas Más compatible Uso en archivos de código fuente No recomendado Recomendado Sistemas UNIX/Linux Puede mostrarse como caracteres basura (  ) ...
Leer más

Edición y Estructura de Archivos ELF

Imagen
Este código hexadecimal representa la cabecera de un archivo ELF (Executable and Linkable Format) , que es un formato de archivo ejecutable utilizado en sistemas operativos como Linux y Unix. 7f45 4c46 0201 0100 0000 0000 0000 0000 0300 3e00 0100 0000 8011 0000 0000 0000 4000 0000 0000 0000 2839 0000 0000 0000 0000 0000 4000 3800 0d00 4000 1f00 1e00 0600 0000 0400 0000 4000 0000 0000 0000 4000 0000 0000 0000 4000 0000 0000 0000 d802 0000 0000 0000 d802 0000 0000 0000 0800 0000 0000 0000 0300 0000 0400 0000 1803 0000 0000 0000 1803 0000 0000 0000 1803 0000 0000 0000 1c00 0000 0000 0000 1c00 0000 0000 0000 0100 0000 0000 0000 0100 0000 0400 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 a008 0000 0000 0000 a008 0000 0000 0000 0010 0000 0000 0000 0100 0000 0500 0000 0010 0000 0000 0000 0010 0000 0000 0000 0010 0000 0000 0000 cd07 0000 0000 0000 cd07 0000 0000 0000 0010 0000 0000 0000 0100 0000 0400 0000 0020 0000 0000 0000 0020 0000 0000 0000 0020 0000 0000 00...
Leer más

Análisis de Archivos ELF y Llamadas al Sistema

Imagen
1. Relación entre funciones ELF y llamadas al sistema Las funciones dentro de un archivo ELF interactúan con el sistema operativo a través de llamadas al sistema (syscalls) . Estas llamadas permiten que los programas accedan a recursos del sistema, como archivos, memoria y procesos. Cuando un programa ejecutable en formato ELF necesita realizar una operación como leer un archivo o asignar memoria, no lo hace directamente. En su lugar, llama a una función de biblioteca (como open() o malloc() ), que a su vez invoca una llamada al sistema para comunicarse con el kernel. 2. Código fuente en C para extraer funciones y llamadas al sistema Archivo de encabezado: elf_syscalls.h #ifndef ELF_SYSCALLS_H #define ELF_SYSCALLS_H #include <stdio.h> #include <stdlib.h> #include <elf.h> void extraer_funciones_detalladas(const char *archivo); void obtener_syscalls(const char *archivo); #endif // ELF_SYSCALLS_H Archivo fuente: elf...
Leer más