Question: Q: How to open a Unix Executable File
dg5dual2.7, Mac OS X (10.4.10)
Posted on May 3, 2010 12:17 AM
Helpful answers
The mac will take any file of an unknown type that has the execute bit and identify them as UNIX executable files. That doesn’t mean that they are UNIX executables. If they were, you «open» them (run the program) by double-clicking on the icon for them.
Presumably, they are data. If you want OS to assign a type to them, give them a suffix. If you want them to be treated as HDV files, give them the suffix ‘.hdv’ or simply control-clikc them and select the application to open them with.
Generally speaking, it’s not worth the effort to attempt recover things like HDV files. Chances are pretty good that they are unreadable.
There’s more to the conversation
Loading page content
Page content loaded
The mac will take any file of an unknown type that has the execute bit and identify them as UNIX executable files. That doesn’t mean that they are UNIX executables. If they were, you «open» them (run the program) by double-clicking on the icon for them.
Presumably, they are data. If you want OS to assign a type to them, give them a suffix. If you want them to be treated as HDV files, give them the suffix ‘.hdv’ or simply control-clikc them and select the application to open them with.
Generally speaking, it’s not worth the effort to attempt recover things like HDV files. Chances are pretty good that they are unreadable.
May 3, 2010 12:29 PM
You can pick the opening application by
opening your movie application then file > open
Question: Q: How to open a Unix Executable File More Less
What is the equivalent of an «exe file»?
11 Answers 11
There is no standard File-Extention like an «.exe» file in Windows.
On Linux nearly any file can be executable. The file ending just describes (but not necessarily) what or how a file is «executed».
The concept of an executable is different in unix/linux than Windows.
Windows
Linux/Unix
Each and every file has an executable bit, so any file can be executed, unlike Windows. To see if a file is executable, you can check its properties (Permissions tab), or even see them marked in the terminal (they are all marked with a *).
Even text files (like shell scripts) can have their executable bits set, and be run as one.
To find out what a UNIX operating system thinks a particular file’s type is, you use the file command:
In the above example, I give the path to the program ‘ls’, you would replace with the path of your file.
A script file would look like:
A random text file:
It is even smart enough to correctly identify a windows program, should you happen to have one lying around on your UNIX box:
And when it can’t figure out what a file is (but is able to open it), it calls it data:
File execution on Linux isn’t related at all to the file name or extension. Any file can potentially be executed, provided that it’s handled by the kernel’s binfmt mechanism (and that its executable permissions are set).
The most common format for executable is ELF, although some kernels can be compiled for support of the old a.out format. (For full technical details, binfmt_elf.c is where to look.)
binfmt_misc allows for the registration of other handlers, as documented here.
If you fancy doing a bit of kernel programming, you can even write your own.
Although not directly related, the file command should tell you whether a file is an ELF executable or something else.
There is no equivalent to the exe file extension in Windows to indicate a file is executable. Instead, executable files can have any extension, and typically have no extension at all.
Linux/Unix uses file permissions to indicate if a file may be executed. Specifically, there is an execute file permission that tells the system that this file is allowed to be executed. However, the absence of this permission does not indicate that the file isn’t an executable; merely that the relevant user is not allowed to try to execute it. Similarly the presence of this permission does not always indicate that the file is a valid executable.
However, other types of files may be executable, depending on the shell. Typically, if you try to execute a file that the system does not recognise as a binary executable (eg, ELF format), then it is interpreted by the current shell interpreter. This fulfills the same effect as batch files in Windows or DOS, except that again, it is not the extension that identifies its type or how to execute it.
Shell files may optionally begin with a hashbang (first two characters in the file are #! followed by a path to an interpreter) in which case rather than interpret the rest of the file with the current shell interpreter, it can launch an alternative shell or interpreter to execute the file. Thus, you can have a script in any interpreted language and still have it run with the correct interpreter when trying to execute the script.
Расширение файла EXEC
Unix Executable Format
Что такое файл EXEC?
Программы, которые поддерживают EXEC расширение файла
Следующий список содержит программы, сгруппированные по 2 операционным системам, которые поддерживают EXEC файлы. EXEC файлы можно встретить на всех системных платформах, включая мобильные, но нет гарантии, что каждый из них будет должным образом поддерживать такие файлы.
Программы, обслуживающие файл EXEC
Как открыть файл EXEC?
Отсутствие возможности открывать файлы с расширением EXEC может иметь различное происхождение. Что важно, все распространенные проблемы, связанные с файлами с расширением EXEC, могут решать сами пользователи. Процесс быстрый и не требует участия ИТ-специалиста. Мы подготовили список, который поможет вам решить ваши проблемы с файлами EXEC.
Шаг 1. Установите macOS программное обеспечение
Шаг 2. Убедитесь, что у вас установлена последняя версия macOS
Вы по-прежнему не можете получить доступ к файлам EXEC, хотя macOS установлен в вашей системе? Убедитесь, что программное обеспечение обновлено. Разработчики программного обеспечения могут реализовать поддержку более современных форматов файлов в обновленных версиях своих продуктов. Это может быть одной из причин, по которой EXEC файлы не совместимы с macOS. Все форматы файлов, которые прекрасно обрабатывались предыдущими версиями данной программы, также должны быть открыты с помощью macOS.
Шаг 3. Настройте приложение по умолчанию для открытия EXEC файлов на macOS
Если проблема не была решена на предыдущем шаге, вам следует связать EXEC файлы с последней версией macOS, установленной на вашем устройстве. Процесс связывания форматов файлов с приложением по умолчанию может отличаться в деталях в зависимости от платформы, но основная процедура очень похожа.
Изменить приложение по умолчанию в Windows
Изменить приложение по умолчанию в Mac OS
Шаг 4. Проверьте EXEC на наличие ошибок
Если проблема по-прежнему возникает после выполнения шагов 1-3, проверьте, является ли файл EXEC действительным. Проблемы с открытием файла могут возникнуть по разным причинам.
Если EXEC действительно заражен, возможно, вредоносное ПО блокирует его открытие. Рекомендуется как можно скорее сканировать систему на наличие вирусов и вредоносных программ или использовать онлайн-антивирусный сканер. Если файл EXEC действительно заражен, следуйте инструкциям ниже.
2. Убедитесь, что файл с расширением EXEC завершен и не содержит ошибок
Если вы получили проблемный файл EXEC от третьего лица, попросите его предоставить вам еще одну копию. Возможно, файл был ошибочно скопирован, а данные потеряли целостность, что исключает доступ к файлу. Если файл EXEC был загружен из Интернета только частично, попробуйте загрузить его заново.
3. Проверьте, есть ли у вашей учетной записи административные права
Существует вероятность того, что данный файл может быть доступен только пользователям с достаточными системными привилегиями. Выйдите из своей текущей учетной записи и войдите в учетную запись с достаточными правами доступа. Затем откройте файл Unix Executable Format.
4. Проверьте, может ли ваша система обрабатывать macOS
Если в системе недостаточно ресурсов для открытия файлов EXEC, попробуйте закрыть все запущенные в данный момент приложения и повторите попытку.
5. Убедитесь, что ваша операционная система и драйверы обновлены
Современная система и драйверы не только делают ваш компьютер более безопасным, но также могут решить проблемы с файлом Unix Executable Format. Возможно, что одно из доступных обновлений системы или драйверов может решить проблемы с файлами EXEC, влияющими на более старые версии данного программного обеспечения.
Вы хотите помочь?
Если у Вас есть дополнительная информация о расширение файла EXEC мы будем признательны, если Вы поделитесь ею с пользователями нашего сайта. Воспользуйтесь формуляром, находящимся здесь и отправьте нам свою информацию о файле EXEC.
What is a Unix Executable File? Why is it doing this?
Greg_Reez
Registered
From time to time when I recieve files from clients, my mac calls them a kind of file called a Unix Executable File. When I look at the kind of file in Finder or «Get Info», it says its a Unix Executable file. Most of the time I know exactly what kind of file it is, a font file, psd, ai, even a jpeg, so I can go to the program and choose File>Open.
From time-to-time I’m unsure what format the file is, so I can’t necessarily go to the program and do a File>Open. I sound «incapable» when I go back to a client and asked them what format the file is in. I included a pic of my latest problem.
I received a Quark file from a client and the Quark file as well as the packaged fonts and some photos are coming back as Unix Executable Files. I didn’t have quarkxpress so I had to go back to my client and ask what type of file it was. I hate doing that.
Attachments
ElDiabloConCaca
U.S.D.A. Prime
One of two things happened:
1) The files originated from a Windows machine (or some non-Apple operating system) and no extension was put on the file. Windows machines know nothing of reading/writing Mac-compatible resource forks.
2) The files originated on a Mac, but were either transferred with a protocol or compressed with a program that ignores or strips files of that resource fork information.
There’s not much you can do to get around the problem without teaching the clients new tricks. They should use a compression (.zip usually works) that preserves resource fork information, or store the files on a file system that retains this information (MS-DOS format = yuck for resource forks. FAT32, NTFS both seem to do ok with it most times).
How did these files specifically come to you? How were they transferred? Had they been compressed? If you can describe (in detail) the route they took from hard drive to hard drive, CD to CD, network to network, we may be able to pinpoint where, exactly, the resource fork info was lost and find a workaround.
Greg_Reez
Registered
These particular files came to me through email, in a zipped folder, and I downloaded them to my desktop, then extracted them. They typically come from the sender, to my entourage inbox, or my web browser mail. There isn’t exactly a lot of detail involved that I can give you. And they aren’t always zipped files. If it is a jpeg, and I know it is a jpeg, but it doesn’t have a file extension included, I can add the jpeg extension and it’ll open up fine when double-clicked on.
At least I have an «idea» of whats happening, this time is a little more frustrating than most since they are font files and I can’t install them to view the client’s file properly.
artov
Registered
Problem is (more or less) obvious: Unix programs are
1. Files that do not have extension (or they are named «a.out», but since there can be only one a.out, they are either renamed or compiled already using a different name)
2. They have execution («x») mode on, which means they can be run
Since Windows knows nothing about execution mode, files in ZIP archives normally end with execution mode on.
Following worked fine: I copied a JPG file (a photo of my grand father’s old smoke sauna) to file with no extension («img») and put its x mode on («chmod +x img). Now, Finder thinks it is Unix excutable file.
But, when you check the file type using «file» command on Terminal.app, it says: «img: JPEG image data, JFIF standard 1.01». This is because file command tries to read the file content, and check what the file really is.
Natobasso
Tech-Bot 5000
sweetstrawberry
Registered
Hello, i have got a similar problem. Someone did some filming and saved it on to a memory card. And they said all i need to do is transfer the clips on to my mac. But i cant seem to do that as it will not open and where it says kind of file it says unix executable file. Ive never importing film this way Ive always done it from a DVCAM straight to my mac. Im a little confused and have no idea about file types ect. I just want to play the clips on my mac, choose which ones i want then put them into final cut pro to edit them. I would be soooo grateful if anyone could help me.
Dick Foru
Registered
One of two things happened:
1) The files originated from a Windows machine (or some non-Apple operating system) and no extension was put on the file. Windows machines know nothing of reading/writing Mac-compatible resource forks.
2) The files originated on a Mac, but were either transferred with a protocol or compressed with a program that ignores or strips files of that resource fork information.
There’s not much you can do to get around the problem without teaching the clients new tricks. They should use a compression (.zip usually works) that preserves resource fork information, or store the files on a file system that retains this information (MS-DOS format = yuck for resource forks. FAT32, NTFS both seem to do ok with it most times).
How did these files specifically come to you? How were they transferred? Had they been compressed? If you can describe (in detail) the route they took from hard drive to hard drive, CD to CD, network to network, we may be able to pinpoint where, exactly, the resource fork info was lost and find a workaround.
Введение в ELF-файлы в Linux: понимание и анализ
Есть в мире вещи, которые мы принимаем как нечто само собой разумеющееся, хотя они являются истинными шедеврами. Одними из таких вещей являются утилиты Linux, такие, как ls и ps. Хотя они обычно воспринимаются как простые, это оказывается далеко не так, если мы заглянем внутрь. И таким же оказывается ELF, Executable and Linkable Format. Формат файлов, который используется повсеместно, но мало кто его понимает. Это краткое руководство поможет вам достичь понимания.
Прочтя это руководство, вы изучите:
Что представляет собой файл ELF?
ELF — это сокращение от Executable and Linkable Format (формат исполняемых и связываемых файлов) и определяет структуру бинарных файлов, библиотек, и файлов ядра (core files). Спецификация формата позволяет операционной системе корректно интерпретировать содержащиеся в файле машинные команды. Файл ELF, как правило, является выходным файлом компилятора или линкера и имеет двоичный формат. С помощью подходящих инструментов он может быть проанализирован и изучен.
Зачем изучать ELF в подробностях?
Перед тем, как погрузиться в технические детали, будет не лишним объяснить, почему понимание формата ELF полезно. Во-первых, это позволяет изучить внутреннюю работу операционной системы. Когда что-то пошло не так, эти знания помогут лучше понять, что именно случилось, и по какой причине. Также возможность изучения ELF-файлов может быть ценна для поиска дыр в безопасности и обнаружения подозрительных файлов. И наконец, для лучшего понимания процесса разработки. Даже если вы программируете на высокоуровневом языке типа Go, вы всё равно будет лучше знать, что происходит за сценой.
Итак, зачем изучать ELF?
От исходника к процессу
Какую бы операционную систему мы не использовали, необходимо каким-то образом транслировать функции исходного кода на язык CPU — машинный код. Функции могут быть самыми базовыми, например, открыть файл на диске или вывести что-то на экран. Вместо того, чтобы напрямую использовать язык CPU, мы используем язык программирования, имеющий стандартные функции. Компилятор затем транслирует эти функции в объектный код. Этот объектный код затем линкуется в полную программу, путём использования линкера. Результатом является двоичный файл, который может быть выполнен на конкретной платформе и конкретном типе CPU.
Прежде, чем начать
Этот пост содержит множество команд. Лучше запускать их на тестовой машине. Скопируйте существующие двоичные файлы, перед тем, как запускать на них эти команды. Также мы напишем маленькую программу на С, которую вы можете скомпилировать. В конечном итоге, практика — лучший способ чему-либо научиться.
Анатомия ELF-файла
Распространённым заблуждением является то, что файлы ELF предназначены только для бинарных или исполняемых файлов. Мы уже сказали, что они могут быть использованы для частей исполняемых файлов (объектного кода). Другим примером являются файлы библиотек и дампы ядра (core-файлы и a.out файлы). Спецификация ELF также используется в Linux для ядра и модулей ядра.
Структура
В силу расширяемости ELF-файлов, структура может различаться для разных файлов. ELF-файл состоит из:
заголовок ELF
Как видно на скриншоте, заголовок ELF начинается с «магического числа». Это «магическое число» даёт информацию о файле. Первые 4 байта определяют, что это ELF-файл (45=E,4c=L,46=F, перед ними стоит значение 7f).
Заголовок ELF является обязательным. Он нужен для того, чтобы данные корректно интерпретировались при линковке и исполнении. Для лучшего понимания внутренней работы ELF-файла, полезно знать, для чего используется эта информация.
Класс
После объявления типа ELF, следует поле класса. Это значение означает архитектуру, для которой предназначен файл. Оно может равняться 01 (32-битная архитектура) или 02 (64-битная). Здесь мы видим 02, что переводится командой readelf как файл ELF64, то есть, другими словами, этот файл использует 64-битную архитектуру. Это неудивительно, в моей машине установлен современный процессор.
Данные
Далее идёт поле «данные», имеющее два варианта: 01 — LSB (Least Significant Bit), также известное как little-endian, либо 02 — MSB (Most Significant Bit, big-endian). Эти значения помогают интерпретировать остальные объекты в файле. Это важно, так как разные типы процессоров по разному обрабатывают структуры данных. В нашем случае используется LSB, так как процессор имеет архитектуру AMD64.
Эффект LSB становится видимым при использовании утилиты hexdump на бинарном файле. Давайте посмотрим заголовок ELF для /bin/ps.
Мы видим, что пары значений другие, из-за интерпретации порядка данных.
Версия
Затем следует ещё одно магической значение «01», представляющее собой номер версии. В настоящее время имеется только версия 01, поэтому это число не означает ничего интересного.
OS/ABI
Каждая операционная система имеет свой способ вызова функций, они имеют много общего, но, вдобавок, каждая система, имеет небольшие различия. Порядок вызова функции определяется «двоичным интерфейсом приложения» Application Binary Interface (ABI). Поля OS/ABI описывают, какой ABI используется, и его версию. В нашем случае, значение равно 00, это означает, что специфические расширения не используются. В выходных данных это показано как System V.
Версия ABI
При необходимости, может быть указана версия ABI.
Машина
Также в заголовке указывается ожидаемый тип машины (AMD64).
Поле типа указывает, для чего предназначен файл. Вот несколько часто встречающихся типов файлов.
CORE (значение 4)
DYN (Shared object file), библиотека (значение 3)
EXEC (Executable file), исполняемый файл (значение 2)
REL (Relocatable file), файл до линковки (значение 1)
Смотрим полный заголовок
Хотя некоторые поля могут быть просмотрены через readelf, их на самом деле больше. Например, можно узнать, для какого процессора предназначен файл. Используем hexdump, чтобы увидеть полный заголовок ELF и все значения.
Выделенное поле определяет тип машины. Значение 3e — это десятичное 62, что соответствует AMD64. Чтобы получить представление обо всех типах файлов, посмотрите этот заголовочный файл.
Хотя вы можете делать всё это в шестнадцатиричном дампе, имеет смысл использовать инструмент, который сделает работу за вас. Утилита dumpelf может быть полезна. Она показывает форматированный вывод, соответствующий заголовку ELF. Хорошо будет изучить, какие поля используются, и каковы их типичные значения.
Теперь, кгда мы объяснили значения этих полей, время посмотреть на то, какая реальная магия за ними стоит, и перейти к следующим заголовкам!
Данные файла
Помимо заголовка, файлы ELF состоят из трёх частей.
Заголовки программы
Файл ELF состоит из нуля или более сегментов, и описывает, как создать процесс, образ памяти для исполнения в рантайме. Когда ядро видит эти сегменты, оно размещает их в виртуальном адресном пространстве, используя системный вызов mmap(2). Другими словами, конвертирует заранее подготовленные инструкции в образ в памяти. Если ELF-файл является обычным бинарником, он требует эти программные заголовки, иначе он просто не будет работать. Эти заголовки используются, вместе с соответствующими структурами данных, для формирования процесса. Для разделяемых библиотек (shared libraries) процесс похож.
Программный заголовок в бинарном ELF-файле
Мы видим в этом примере 9 программных заголовков. Сначала трудно понять, что они означают. Давайте погрузимся в подробности.
GNU_EH_FRAME
Это сортированная очередь, используемая компилятором GCC. В ней хранятся обработчики исключений. Если что-то пошло не так, они используются для того, чтобы корректно обработать ситуацию.
GNU_STACK
Этот заголовок используется для сохранения информации о стеке. Интересная особенность состоит в том, что стек не должен быть исполняемым, так как это может повлечь за собой уязвимости безопасности.
Если сегмент GNU_STACK отсутствует, используется исполняемый стек. Утилиты scanelf и execstack показывают детали устройства стека.
Команды для просмотра программного заголовка:
Секции ELF
Заголовки секции
Заголовки секции определяют все секции файла. Как уже было сказано, эта информация используется для линковки и релокации.
Секции появляются в ELF-файле после того, как компилятор GNU C преобразует код С в ассемблер, и ассемблер GNU создаёт объекты.
Содержит исполняемый код. Он будет упакован в сегмент с правами на чтение и на исполнение. Он загружается один раз, и его содержание не изменяется. Это можно увидеть с помощью утилиты objdump.
Инициализированные данные, с правами на чтение и запись.
.rodata
Инициализированные данные, с правами только на чтение. (=A).
Неинициализированные данные, с правами на чтение/запись. (=WA)
Команды для просмотра секций и заголовков.
Группы секций
Некоторые секции могут быть сгруппированы, как если бы они формировали единое целое. Новые линкеры поддерживают такую функциональность. Но пока такое встречается не часто.
Хотя это может показаться не слишком интересным, большие преимущества даёт знание инструментов анализа ELF-файлов. По этой причине, обзор этих инструментов и их назначения приведён в конце статьи.
Статические и динамические бинарные файлы
Когда мы имеем дело с бинарными файлами ELF, полезно будет знать, как линкуются эти два типа файлов. Они могут быть статическими и динамическими, и это относится к библиотекам, которые они используют. Если бинарник «динамический», это означает, что он использует внешние библиотеки, содержащие какие-либо общие функции, типа открытия файла или создания сетевого сокета. Статические бинарники, напротив, включают в себя все необходимые библиотеки.
Если вы хотите проверить, является ли файл статическим или динамическим, используйте команду file. Она покажет что-то вроде этого:
Чтобы определить, какие внешние библиотеки использованы, просто используйте ldd на том же бинарнике:
Совет: Чтобы посмотреть дальнейшие зависимости, лучше использовать утилиту lddtree.
Инструменты анализа двоичных файлов
Если вы хотите анализировать ELF-файлы, определённо будет полезно сначала посмотреть на существующие инструменты. Существуют тулкиты для обратной разработки бинарников и исполняемого кода. Если вы новичок в анализе ELF-файлов, начните со статического анализа. Статический анализ подразумевает, что мы исследуем файлы без их запуска. Когда вы начнёте лучше понимать их работу, переходите к динамическому анализу. Запускайте примеры и смотрите на их реальное поведение.
Популярные инструменты
Radare2
Тулкит Radare2 создан Серджи Альваресом (Sergi Alvarez). Число 2 подразумевает, что код был полностью переписан по сравнению с первой версией. Сейчас он используется многими исследователями, для изучения работы кода.
Программные пакеты
Большинство Linux-систем имеют установленный пакет binutils. Другие пакеты могут помочь вам увидеть больше информации. Правильный тулкит упростит вашу работу, особенно если вы занимаетесь анализом ELF-файлов. Я собрал здесь список пакетов и утилит для анализа ELF-файлов.
elfutils
/usr/bin/eu-addr2line
/usr/bin/eu-ar – альтернатива ar, для создания и обработки архивных файлов
/usr/bin/eu-elfcmp
/usr/bin/eu-elflint – проверка на соответствие спецификациям gABI и psABI
/usr/bin/eu-findtextrel – поиск релокаций текста
/usr/bin/eu-ld – комбинирует объектный и архивные файлы
/usr/bin/eu-make-debug-archive
/usr/bin/eu-nm – показывает символы объектного и исполняемого файлов
/usr/bin/eu-objdump – показывает информацию из объектного файла
/usr/bin/eu-ranlib – создаёт индекс архивных файлов
/usr/bin/eu-readelf – показывает ELF-файл в читаемой форме
/usr/bin/eu-size – показывает размер каждой секции (text, data, bss, etc)
/usr/bin/eu-stack – показывает стек текущего процесса или дампа ядра
/usr/bin/eu-strings – показывает текстовые строки (как утилита strings)
/usr/bin/eu-strip – удаляет таблицу символов из файла ELF
/usr/bin/eu-unstrip – добавляет символы и отладочную информацию в бинарник
Примечание: пакет elfutils будет хорошим началом, он содержит большинство утилит для анализа
elfkickers
/usr/bin/ebfc – компилятор языка Brainfuck
/usr/bin/elfls – показывает программные заголовки и заголовки секций с флагами
/usr/bin/elftoc – преобразует бинарник в программу на С
/usr/bin/infect – утилита, инжектирующая дроппер, создаёт файл setuid в /tmp
/usr/bin/objres – создаёт объект из обычных или бинарных данных
/usr/bin/rebind – изменяет связывание и видимость символов в ELF-файлах
/usr/bin/sstrip – удаляет ненужные компоненты из ELF-файла
Примечание: автор пакета ELFKickers сфокусирован на манипулировании ELF-файлами, что позволяет вам получить больше информации при работе с «неправильными» ELF-бинарниками
pax-utils
/usr/bin/dumpelf – дамп внутренней структуры ELF
/usr/bin/lddtree – как ldd, с установкой уровня показываемых зависимостей
/usr/bin/pspax – выводит ELF/PaX информацию о запущенных процессах
/usr/bin/scanelf – широкий диапазон информации, включая подробности PaX
/usr/bin/scanmacho – показывает подробности бинарников Mach-O (Mac OS X)
/usr/bin/symtree – показывает символы в виде дерева
Примечание: некоторые утилиты в этом пакете могут рекурсивно сканировать директории, и идеальны для анализа всего содержимого директории. Фокус сделан на инструментах для исследования подробностей PaX. Помимо поддержки ELF, можно извлекать информацию из Mach-O-бинарников.
prelink
/usr/bin/execstack – можно посмотреть или изменить информацию о том, является ли стек исполняемым
/usr/bin/prelink – релоцирует вызовы в ELF файлах, для ускорения процесса
Часто задаваемые вопросы
Что такое ABI?
ABI — это Бинарный Интерфейс Приложения (Application Binary Interface) и определяет, низкоуровневый интерфейс между операционной системой и исполняемым кодом.
Что такое ELF?
ELF — это Исполняемый и Связываемый Формат (Executable and Linkable Format). Это спецификация формата, определяющая, как инструкции записаны в исполняемом коде.
Как я могу увидеть тип файла?
Используйте команду file для первой стадии анализа. Эта команда способна показать подробности, извлечённые из «магических» чисел и заголовков.
Заключение
Файлы ELF предназначены для исполнения и линковки. В зависимости от назначения, они содержат необходимые сегменты и секции. Ядро ОС просматривает сегменты и отображает их в память (используя mmap). Секции просматриваются линкером, который создаёт исполняемый файл или разделяемый объект.
Файлы ELF очень гибкие и поддерживаются различные типы CPU, машинные архитектуры, и операционные системы. Также он расширяемый, каждый файл сконструирован по-разному, в зависимости от требуемых частей. Путём использования правильных инструментов, вы сможете разобраться с назначением файла, и изучать содержимое бинарных файлов. Можно просмотреть функции и строки, содержащиеся в файле. Хорошее начало для тех, кто исследует вредоносные программы, или понять, почему процесс ведёт себя (или не ведёт) определённым образом.
Ресурсы для дальнейшего изучения
Если вы хотите больше знать про ELF и обратную разработку, вы можете посмотреть работу, которую мы выполняем в Linux Security Expert. Как часть учебной программы, мы имеем модуль обратной разработки с практическими лабораторными работами.
Для тех из вас, кто любит читать, хороший и глубокий документ: ELF Format и документ за авторством Брайана Рейтера (Brian Raiter), также известного как ELFkickers. Для тех, кто любит разбираться в исходниках, посмотрите на документированный заголовок ELF от Apple.
Совет:
если вы хотите стать лучше в анализе файлов, начните использовать популярные инструменты анализа, которые доступны в настоящее время.