内核级木马与病毒攻防：Linux可执行文件的ELF格式描述

要想在Linux系统上实现逆向工程，分析，设计或查杀病毒和恶意代码，你不得不深入掌握其可执行文件的ELF格式，这样你才能了解进程在内存空间的布局和运行的基本规律，这样你才能有针对性的设计有效的病毒或恶意代码入侵系统。

ELF文件主要有以下几种类型，ET_NONE表示该文件的作用未知；ET_REL表示重定向文件或叫目标文件，它们将会被链接并加装到某个指定的虚拟内存位置，常见的以.o结尾的二进制文件就属于这种类型。ET_EXEC表示可执行文件，它是由多个.o文件链接起来，可以被加载到内存进行执行的进程数据文件；ET_DYN表示动态链接库，它里面包含一系列向外到处的函数代码，当进程需要调用其内部函数时会将其加载到内存；最后一种是ET_CORE，它是进程奔溃时产生的二进制信息文件，通过GDB加载该文件可以查找进程奔溃的原因。

ELF文件的头部结构能反映出该文件很多重要信息，使用readelf -h可以读取指定ELF文件的文件头，其使用示例如下：

其二进制数据结构如下：

#define  EI_NIDENT  16
typedef  struct  {
  unsigned char e_ident[EI_NIDENT];
 uint16_t e_type;
 uint16_t e_machine;
 uint32_t e_version;
 ElfN_Addr e_entry;
 ElfN_Off e_phoff;
 ElfN_Off e_shoff;
 uint32_t e_flags;
 uint16_t e_ehsize;
 uint16_t e_phentsize;
 uint16_t e_phnum;
 uint16_t e_shentsize;
 uint16_t e_s