Linux 内核镜像分析

文章目录

  • 前言
  • 一、概述
  • 二、bzImage
    • 2.1 镜像分析
  • 三、zImage
    • 3.1 镜像分析
    • 参考链接

前言

介绍了vmlinux的来源,以及分析方法;

一、概述

在linux系统中,vmlinux(vmlinuz)是一个包含linux kernel的静态链接的可执行文件,文件类型可能是linux接受的可执行文件格式之一(ELF、COFF或a.out),vmlinux若要用于调试时则必须要在引导前增加symbol table。
应用场景:

  • 用于调试,但需要包含调试信息
  • 编译出来的内核原始文件,可以被用来制作后面zImage,bzImage等启动Image
  • UBoot不能直接使用vmlinux

相关内容:

  • vmlinux是静态编译出来的最原始的 ELF 文件,包括了内核镜像、调试信息、符号表等内容;其中 “vm” 代表 “Virtual Memory”,现在一般都是虚拟内存模式,这个是相对于 8086 的实地址而言。
  • vmlinuz是被压缩的linux内核,是可以被引导的,有两种详细的表现形式:zImage和bzImage(big zImage)。
  • zImage是vmlinuz经过gzip压缩后的文件,适用于小内核
  • bzImage是vmlinuz经过gzip压缩后的文件,适用于大内核
  • uImage 是 uboot 专用的镜像文件,它是在 zImage 之前加上一个长度为 0x40 的头信息,包括了该镜像文件的类型、加载位置、生成时间、大小等信息。

zImage、bzImage 中均包含一个微型的 gzip 用于解压缩内核并引导,两者的不同之处在于: zImage 解压缩内核到低端内存 (第一个640K),bzImage 解压缩内核到高端内存 (1M以上)。也就是,它们之间最大的差别是对于内核体积大小的限制。

由于 zImage 内核需要放在实模式 1MB 的内存之内,所以其体积受到了限制,目前采用的内核格式大多采用的是 bzImage ,这种格式没有 1MB 内存限制。arm 中常用的是 zImage,而 x86 中常用的是 bzImage 。

vmlinuz的位置:

wsk@wsk:/boot$ ll
total 71848
drwxr-xr-x  4 root root     4096 Nov 20  2021 ./
drwxr-xr-x 24 root root     4096 Nov 20  2021 ../
-rw-r--r--  1 root root   217414 Aug 19 22:30 config-4.15.0-156-generic
drwxr-xr-x  5 root root     4096 Nov 19 23:49 grub/
-rw-r--r--  1 root root 60783850 Nov 20  2021 initrd.img-4.15.0-156-generic
drwx------  2 root root    16384 Nov 20 00:10 lost+found/
-rw-------  1 root root  4083154 Aug 19 22:30 System.map-4.15.0-156-generic
-rw-------  1 root root  8453792 Aug 19 22:35 vmlinuz-4.15.0-156-generic

可启动的镜像文件常被称为 vmlinuz 或 zImage

二、bzImage

在x86 平台下,vmlinuz通常为bzImage格式,如

[root@localhost boot]# file vmlinuz-3.10.0-957.el7.x86_64
vmlinuz-3.10.0-957.el7.x86_64: Linux kernel x86 boot executable
bzImage, version 3.10.0-957.el7.x86_64
([email protected]) #1 S, RO-rootFS, swap_dev 0x6, Normal VGA

其创建过程如下:
Linux 内核镜像分析_第1张图片

2.1 镜像分析

Linux下大量工具都是对 ELF 文件进行解析,因此,若我们想要逆向对 Linux 内核镜像进行二进制的分析,就需要先将 vmlinuz 文件还原成 vmlinux 文件。

工具准备:
Linux内核提供了脚本来实现vmlinuz 到 vmlinux 的转换——下载地址 extract-vmlinux。但在 Centos 和 Ubuntu 下可以通过包管理器直接安装,如下。

# in centos
yum install kernel-devel
# in ubuntu 
apt-get install linux-headers-$(uname -r)

安装完成后,extract-linux脚本将保存在

  • Centos: /usr/src/kernels/$(uname -r)/scripts/extract-vmlinux
  • Ubuntu: /usr/src/linux-headers-$(uname -r)/scripts/extract-vmlinux

文件转换:

/usr/src/kernels/$(uname -r)/scripts/extract-vmlinux vmlinuz-$(uname -r) > vmlinux

ELF 文件解析:
使用extract-linux 提取后的文件可以直接使用objdump, readelf等工具进行解析。需要注意的是,此时的vmlinux中并没有符号信息,符号名相关的内容保存在/boot/System.map文件中。

三、zImage

zImage是ARM linux常用的一种压缩镜像文件,它是由vmlinux经过objcopy , objcopy实现由vmlinux的elf文件拷贝成纯二进制数据文件加上解压代码经gzip压缩而成,命令格式是#make zImage.这种格式的Linux镜像文件多存放在NAND上. 适用于小内核的情况,它的存在是为了向后的兼容性。
Linux 内核镜像分析_第2张图片
zImage的生成过程可以由下图概括:Linux 内核镜像分析_第3张图片

3.1 镜像分析

使用vmlinux-to-elf 工具可以将二进制文件恢复成带符号的elf文件
vmlinux-to-elf

这里之所以不直接反汇编zImage,是因为zImage是根据vmlinux生成的原始二进制文件,而不再是标准的ELF文件,此时objdump命令无法识别它。

参考链接

  1. Linux vmlinux文件
  2. Linux 内核编译
  3. Linux内核镜像格式

你可能感兴趣的:(linux,内核安全)