介绍了vmlinux的来源,以及分析方法;
在linux系统中,vmlinux(vmlinuz)是一个包含linux kernel的静态链接的可执行文件,文件类型可能是linux接受的可执行文件格式之一(ELF、COFF或a.out),vmlinux若要用于调试时则必须要在引导前增加symbol table。
应用场景:
相关内容:
zImage、bzImage 中均包含一个微型的 gzip 用于解压缩内核并引导,两者的不同之处在于: zImage 解压缩内核到低端内存 (第一个640K),bzImage 解压缩内核到高端内存 (1M以上)。也就是,它们之间最大的差别是对于内核体积大小的限制。
由于 zImage 内核需要放在实模式 1MB 的内存之内,所以其体积受到了限制,目前采用的内核格式大多采用的是 bzImage ,这种格式没有 1MB 内存限制。arm 中常用的是 zImage,而 x86 中常用的是 bzImage 。
vmlinuz的位置:
wsk@wsk:/boot$ ll
total 71848
drwxr-xr-x 4 root root 4096 Nov 20 2021 ./
drwxr-xr-x 24 root root 4096 Nov 20 2021 ../
-rw-r--r-- 1 root root 217414 Aug 19 22:30 config-4.15.0-156-generic
drwxr-xr-x 5 root root 4096 Nov 19 23:49 grub/
-rw-r--r-- 1 root root 60783850 Nov 20 2021 initrd.img-4.15.0-156-generic
drwx------ 2 root root 16384 Nov 20 00:10 lost+found/
-rw------- 1 root root 4083154 Aug 19 22:30 System.map-4.15.0-156-generic
-rw------- 1 root root 8453792 Aug 19 22:35 vmlinuz-4.15.0-156-generic
可启动的镜像文件常被称为 vmlinuz 或 zImage。
在x86 平台下,vmlinuz通常为bzImage格式,如
[root@localhost boot]# file vmlinuz-3.10.0-957.el7.x86_64
vmlinuz-3.10.0-957.el7.x86_64: Linux kernel x86 boot executable
bzImage, version 3.10.0-957.el7.x86_64
(mockbuild@kbuilder.bsys.centos.org) #1 S, RO-rootFS, swap_dev 0x6, Normal VGA
其创建过程如下:
Linux下大量工具都是对 ELF 文件进行解析,因此,若我们想要逆向对 Linux 内核镜像进行二进制的分析,就需要先将 vmlinuz 文件还原成 vmlinux 文件。
工具准备:
Linux内核提供了脚本来实现vmlinuz 到 vmlinux 的转换——下载地址 extract-vmlinux。但在 Centos 和 Ubuntu 下可以通过包管理器直接安装,如下。
# in centos
yum install kernel-devel
# in ubuntu
apt-get install linux-headers-$(uname -r)
安装完成后,extract-linux脚本将保存在
文件转换:
/usr/src/kernels/$(uname -r)/scripts/extract-vmlinux vmlinuz-$(uname -r) > vmlinux
ELF 文件解析:
使用extract-linux 提取后的文件可以直接使用objdump, readelf等工具进行解析。需要注意的是,此时的vmlinux中并没有符号信息,符号名相关的内容保存在/boot/System.map文件中。
zImage是ARM linux常用的一种压缩镜像文件,它是由vmlinux经过objcopy , objcopy实现由vmlinux的elf文件拷贝成纯二进制数据文件加上解压代码经gzip压缩而成,命令格式是#make zImage.这种格式的Linux镜像文件多存放在NAND上. 适用于小内核的情况,它的存在是为了向后的兼容性。
zImage的生成过程可以由下图概括:
使用vmlinux-to-elf 工具可以将二进制文件恢复成带符号的elf文件
vmlinux-to-elf
这里之所以不直接反汇编zImage,是因为zImage是根据vmlinux生成的原始二进制文件,而不再是标准的ELF文件,此时objdump命令无法识别它。