vmlinux to elf

Alat ini memungkinkan untuk mendapatkan file .elf yang dapat dianalisis sepenuhnya dari gambar kernel VMLinux/VMlinuz/BzImage/Zimage (baik gumpalan biner mentah atau file .elf .elf yang sudah ada sebelumnya), dengan fungsi yang dipulihkan dan simbol variabel.

Untuk ini, ia memindai kernel Anda untuk tabel simbol kernel (Kallsyms), tabel simbol terkompresi yang ada di hampir setiap kernel, sebagian besar tidak berubah.

Karena tabel simbol yang bersangkutan pada awalnya dikompresi, ia harus memulihkan string yang tidak terlihat dalam biner asli.

Ini menghasilkan file .elf yang dapat Anda analisis menggunakan Ida Pro dan Ghidra. Alat ini karenanya berguna untuk sistem tertanam rekayasa terbalik.

Penggunaan:

./vmlinux-to-elf < input_kernel.bin > < output_kernel.elf >

Instalasi Sistem-Seluruh (Perintah Kedua mungkin tidak diperlukan karena PIP harus menemukan dependensi dalam file setup.py ):

sudo apt install python3-pip liblzo2-dev
sudo pip3 install --upgrade lz4 zstandard git+https://github.com/clubby789/python-lzo@b4e39df
sudo pip3 install --upgrade git+https://github.com/marin-m/vmlinux-to-elf

• Ambil file biner mentah atau file kernel elf sebagai input [ok]
• Secara otomatis mendeteksi dan membongkar format kompresi utama yang digunakan untuk kernel linux [OK]
• Temukan dan ekstrak tabel simbol kernel tertanam (kallsyms) dari file input [OK]
• Menyimpulkan arsitektur set instruksi, endianness, ukuran bit, mengandalkan hal -hal lain pada tanda tangan prolog fungsi umum [OK]
• Menyimpulkan titik masuk kernel dari simbol yang terkandung dalam tabel Kallsyms [OK]
• Berikan inferensi dasar untuk alamat dasar kernel [OK] (untuk saat ini, pertimbangkan bahwa ini adalah alamat simbol "teks" pertama dari biner dengan bit 0xfff yang lebih rendah dengan jelas - tampaknya bekerja dengan cukup baik)
• Bongkar jenis file Android boot.img tertentu, dimulai dengan ANDROID! atau UNCOMPRESSED_IMG MAGIC [OK]
• Menghasilkan file .elf sepenuhnya dapat dianalisis dengan IDA Pro atau Ghidra sebagai output [OK]

Sejarah singkat tabel simbol "Kallsyms" dapat ditemukan di bagian atas file "Kallsyms_finder.py". Secara singkat, ini diperkenalkan sekitar tahun 2004 dalam kernel Linux dalam bentuknya saat ini dan digunakan untuk mencetak pesan "kernel oops", antara lain.

Ini berisi tupel "nama simbol", "alamat simbol", "tipe simbol" (tipe simbol yang ditetapkan dengan satu huruf dengan cara yang mirip dengan utilitas nm ), informasi ini dikemas erat dengan algoritma kompresi sederhana.

Skema di bawah ini menampilkan bagaimana informasi ini diserialisasi ke dalam kernel, offset dari masing-masing struktur masing-masing terdeteksi oleh vmlinux-to-elf melalui heuristik:

Bidang -bidang ini memiliki penyelarasan variabel dan ukuran bidang. Ukuran lapangan dapat bervariasi lebih dari arsitektur dan versi kernel juga. Untuk alasan ini, vmlinux-to-elf telah diuji pada berbagai kasus.

OpenWRT sejak 2013 memiliki tambalan yang menghilangkan kompresi di atas tabel kallsyms secara default (saat membangun kallsyms telah diaktifkan oleh pengguna). Mereka melakukan ini untuk menghemat ruang saat mengompres kembali kernel menggunakan LZMA.

Ini berarti bahwa entri kallsyms_token_table dan kallsyms_token_address menghilang, dan bahwa nama simbol menggunakan teks biasa ASCII sebagai gantinya. Kasing ini juga didukung.

Dalam kernel Linux 6.2 standar, array kallsyms dikodekan dalam urutan berikut:

1. kallsyms_addresses (atau kallsyms_offsets + kallsyms_relative_base )
2. kallsyms_num_syms
3. kallsyms_names
4. kallsyms_markers
5. kallsyms_seqs_of_names (hanya 6.2+)
6. kallsyms_token_table
7. kallsyms_token_index

Untuk kernel Linux 6.4+, tata letak ini diubah menjadi:

1. kallsyms_num_syms
2. kallsyms_names
3. kallsyms_markers
4. kallsyms_token_table
5. kallsyms_token_index
6. kallsyms_addresses (atau kallsyms_offsets + kallsyms_relative_base )
7. kallsyms_seqs_of_names

Sementara ini diuraikan dalam urutan berikut oleh algoritma penguraian vmlinux-to-elf :

1. kallsyms_token_table (struktur sebelum terakhir)
2. kallsyms_token_index (struktur terakhir, ke depan)
3. kallsyms_markers (mundur)
4. kallsyms_names (mundur lagi)
5. kallsyms_num_syms (mundur lagi)
6. kallsyms_addresses (atau kallsyms_offsets + kallsyms_relative_base ) (mundur lagi)

Ini harus mendukung kernel dari versi 2.6.10 (Desember 2004), hingga 6.4 saat ini (pada Agustus 2023). Hanya kernel yang secara eksplisit dikonfigurasi tanpa CONFIG_KALLSYMS tidak boleh didukung. Jika variabel konfigurasi kernel ini tidak diatur saat build, maka Anda akan mendapatkan: KallsymsNotFoundException: No embedded symbol table found in this kernel .

Untuk kernel mentah, arsitektur berikut dapat dideteksi (menggunakan sihir dari binwalk): Mipsel, Mipseb, Armel, Armeb, PowerPC, SPARC, x86, x86-64, ARM64, MIPS64, Superh, busur.

Format kompresi kernel berikut dapat secara otomatis terdeteksi: XZ, LZMA, GZIP, BZ2, LZ4, LZO dan ZSTD.

Anda juga dapat memperoleh output teks saja dari nama simbol kernel, alamat dan jenis melalui penggunaan utilitas kallsyms-finder , juga dibundel dengan alat ini. Format outputnya akan mirip dengan file /proc/kallsyms procfs.

Beberapa parameter yang harus secara otomatis disimpulkan oleh alat (seperti set instruksi atau alamat dasar) dapat ditimpa jika masalah. Spesifikasi penuh dari argumen yang memungkinkan untuk melakukan yang disajikan di bawah ini:

 $ vmlinux-to-elf -h
usage: vmlinux-to-elf [-h] [--e-machine DECIMAL_NUMBER] [--bit-size BIT_SIZE]
                      [--file-offset HEX_NUMBER] [--base-address HEX_NUMBER]
                      input_file output_file

Turn a raw or compressed kernel binary, or a kernel ELF without symbols, into
a fully analyzable ELF whose symbols were extracted from the kernel symbol
table

positional arguments:
  input_file            Path to the
                        vmlinux/vmlinuz/zImage/bzImage/kernel.bin/kernel.elf
                        file to make into an analyzable .ELF
  output_file           Path to the analyzable .ELF to output

optional arguments:
  -h, --help            show this help message and exit
  --e-machine DECIMAL_NUMBER
                        Force overriding the output ELF "e_machine" field with
                        this integer value (rather than auto-detect)
  --bit-size BIT_SIZE   Force overriding the input kernel bit size, providing
                        32 or 64 bit (rather than auto-detect)
  --file-offset HEX_NUMBER
                        Consider that the raw kernel starts at this offset of
                        the provided raw file or compressed stream (rather
                        than 0, or the beginning of the ELF sections if an ELF
                        header was present in the input)
  --base-address HEX_NUMBER
                        Force overriding the output ELF base address field
                        with this integer value (rather than auto-detect)

$ kallsyms-finder -h
usage: kallsyms-finder [-h] [--bit-size BIT_SIZE] input_file

Find the kernel's embedded symbol table from a raw or stripped ELF kernel
file, and print these to the standard output with their addresses

positional arguments:
  input_file           Path to the kernel file to extract symbols from

optional arguments:
  -h, --help           show this help message and exit
  --bit-size BIT_SIZE  Force overriding the input kernel bit size, providing
                       32 or 64 bit (rather than auto-detect)

Jangan ragu untuk membuka masalah untuk saran perbaikan.