vmlinux to elf

Dieses Tool ermöglicht es, eine vollständig analyzbare .elf -Datei von einem VMlinux/VMlinuz/Bzimage/Zimage -Kernel -Bild (entweder ein roher binärer Blob oder eine bereits bestehende, aber strippierte .elf -Datei) mit wiederhergestellten Funktionen und variablen Symbolen zu erhalten.

Dafür scannt es Ihren Kernel nach einer Kernel -Symbol -Tabelle (Kallsyms), einer komprimierten Symboltabelle, die in fast jedem Kernel vorhanden ist, der größtenteils unverändert ist.

Da die betroffene Symboltabelle ursprünglich komprimiert ist, sollte sie Strings wiederherstellen, die im ursprünglichen Binär nicht sichtbar sind.

Es erzeugt eine .elf -Datei, die Sie mit IDA Pro und Ghidra analysieren können. Dieses Tool ist daher nützlich für eingebettete Systeme Reverse Engineering.

Verwendung:

./vmlinux-to-elf < input_kernel.bin > < output_kernel.elf >

Systemweite Installation (der zweite Befehl ist möglicherweise nicht erforderlich, da PIP die Abhängigkeiten in der Datei setup.py finden sollte):

sudo apt install python3-pip liblzo2-dev
sudo pip3 install --upgrade lz4 zstandard git+https://github.com/clubby789/python-lzo@b4e39df
sudo pip3 install --upgrade git+https://github.com/marin-m/vmlinux-to-elf

• Nehmen Sie als Eingabe einen rohen Binärblob- oder Elf -Kernel -Datei [OK]
• Erkennen und packen Sie die für den Linux -Kernel verwendeten Hauptkomprimierungsformate automatisch [OK]
• Finden und extrahieren Sie die eingebettete Kernel -Symbole -Tabelle (Kallsyms) aus der Eingabedatei [OK]
• Schließen Sie die Anweisungsset -Architektur, Endianess, Bitgröße, verlassen sich auf andere Dinge auf gemeinsame Funktionsprologssignaturen [OK]
• Schließen Sie den Einstiegspunkt des Kernels aus den in der Kallsym -Tabelle enthaltenen Symbole [OK]
• Geben Sie eine grundlegende Schlussfolgerung für die Kernel -Basisadresse [OK] (Überlegen Sie sich vorerst, dass es sich um die erste "Text" -Symboladresse des Binarischen mit den unteren 0xfff -Bits handelt - scheint gut genug zu funktionieren)
• Entpacken Sie bestimmte Arten von Android boot.img -Dateien, beginnend mit einem ANDROID! oder UNCOMPRESSED_IMG Magie [OK]
• Erstellen Sie eine .elf -Datei vollständig analyzbar mit IDA Pro oder Ghidra als Ausgabe [OK]

Eine kurze Geschichte der "Kallsyms" -Symbol -Tabelle befindet sich oben in der Datei "kallsyms_finder.py". Kurz gesagt, dies wurde um 2004 im Linux -Kernel in seiner aktuellen Form eingeführt und wird verwendet, um die "Kernel oops" -Meldungen unter anderem zu drucken.

Es enthält Tupel von "Symbolname", "Symboladresse", "Symboltyp" (Symboltypen, die mit einem einzelnen Buchstaben in ähnlicher Weise wie dem nm -Dienstprogramm ausgewiesen werden), wobei diese Informationen mit einem einfachen Komprimierungsalgorithmus eng gepackt sind.

Das folgende Schema zeigt an, wie diese Informationen in den Kernel serialisiert werden, wobei der Versatz jeder jeweiligen Struktur durch Heuristik von vmlinux-to-elf erkannt wird:

Diese Felder haben eine variable Ausrichtung und Feldgröße. Die Feldgrößen können auch über Architektur und Kernelversion variieren. Aus diesem Grund wurde vmlinux-to-elf in verschiedenen Fällen getestet.

OpenWRT hat seit 2013 einen Patch, der die Komprimierung über die kallsyms -Tabelle standardmäßig beseitigt (beim Erstellen kallsyms wurde vom Benutzer aktiviert). Sie tun dies, um Platz zu sparen, wenn Sie mit LZMA über den Kernel neu komprimiert werden.

Dies bedeutet, dass die Einträge kallsyms_token_table und kallsyms_token_address verschwinden, und dass die Symbolnamen stattdessen nur Text ASCII verwenden. Dieser Fall wird auch unterstützt.

In Standard -Linux 6.2 -Kerneln werden kallsyms -Arrays in der folgenden Reihenfolge codiert:

1. kallsyms_addresses (oder kallsyms_offsets + kallsyms_relative_base )
2. kallsyms_num_syms
3. kallsyms_names
4. kallsyms_markers
5. kallsyms_seqs_of_names (nur 6.2+)
6. kallsyms_token_table
7. kallsyms_token_index

Für Linux 6.4+ -Kerne wird dieses Layout geändert in:

1. kallsyms_num_syms
2. kallsyms_names
3. kallsyms_markers
4. kallsyms_token_table
5. kallsyms_token_index
6. kallsyms_addresses (oder kallsyms_offsets + kallsyms_relative_base )
7. kallsyms_seqs_of_names

Während diese in der folgenden Reihenfolge von vmlinux-to-elf Parsing-Algorithmus analysiert werden:

1. kallsyms_token_table (vorletzte Struktur)
2. kallsyms_token_index (letzte Struktur, Vorwärtsgeschäfte)
3. kallsyms_markers (rückwärts)
4. kallsyms_names (wieder rückwärts)
5. kallsyms_num_syms (wieder rückwärts)
6. kallsyms_addresses (oder kallsyms_offsets + kallsyms_relative_base ) (wieder rückwärts)

Es sollte Kernel von Version 2.6.10 (Dezember 2004) bis zum aktuellen 6.4 (ab August 2023) unterstützen. Nur Kernel, die explizit ohne CONFIG_KALLSYMS konfiguriert sind, sollten nicht unterstützt werden. Wenn diese Kernel -Konfigurationsvariable nicht auf Build eingestellt wurde, erhalten Sie: KallsymsNotFoundException: No embedded symbol table found in this kernel .

Für rohe Kerne können die folgenden Architekturen festgestellt werden (unter Verwendung von Magics aus Binwalk): MIPEL, MIPSEB, Armel, Armeb, Powerpc, SPARC, X86, X86-64, ARM64, MIPS64, Superh, Arc.

Die folgenden Kernelkompressionsformate können automatisch erkannt werden: XZ, LZMA, GZIP, BZ2, LZ4, LZO und ZSTD.

Sie können auch eine Nur-Text-Ausgabe der Symbolnamen, Adressen und Typen des Kernels durch die Verwendung des kallsyms-finder Dienstprogramms erhalten, das ebenfalls mit diesem Tool gebündelt ist. Das Format seiner Ausgabe ähnelt der Procfs -Datei /proc/kallsyms .

Einige Parameter, die vom Tool automatisch abgeleitet werden sollten (z. B. den Befehlssatz oder die Basisadresse), können im Problem überschrieben werden. Die vollständige Spezifikation der Argumente, die dies ermöglichen, wird nachstehend dargestellt:

 $ vmlinux-to-elf -h
usage: vmlinux-to-elf [-h] [--e-machine DECIMAL_NUMBER] [--bit-size BIT_SIZE]
                      [--file-offset HEX_NUMBER] [--base-address HEX_NUMBER]
                      input_file output_file

Turn a raw or compressed kernel binary, or a kernel ELF without symbols, into
a fully analyzable ELF whose symbols were extracted from the kernel symbol
table

positional arguments:
  input_file            Path to the
                        vmlinux/vmlinuz/zImage/bzImage/kernel.bin/kernel.elf
                        file to make into an analyzable .ELF
  output_file           Path to the analyzable .ELF to output

optional arguments:
  -h, --help            show this help message and exit
  --e-machine DECIMAL_NUMBER
                        Force overriding the output ELF "e_machine" field with
                        this integer value (rather than auto-detect)
  --bit-size BIT_SIZE   Force overriding the input kernel bit size, providing
                        32 or 64 bit (rather than auto-detect)
  --file-offset HEX_NUMBER
                        Consider that the raw kernel starts at this offset of
                        the provided raw file or compressed stream (rather
                        than 0, or the beginning of the ELF sections if an ELF
                        header was present in the input)
  --base-address HEX_NUMBER
                        Force overriding the output ELF base address field
                        with this integer value (rather than auto-detect)

$ kallsyms-finder -h
usage: kallsyms-finder [-h] [--bit-size BIT_SIZE] input_file

Find the kernel's embedded symbol table from a raw or stripped ELF kernel
file, and print these to the standard output with their addresses

positional arguments:
  input_file           Path to the kernel file to extract symbols from

optional arguments:
  -h, --help           show this help message and exit
  --bit-size BIT_SIZE  Force overriding the input kernel bit size, providing
                       32 or 64 bit (rather than auto-detect)

Zögern Sie nicht, ein Problem für einen Verbesserungsvorschlag zu eröffnen.