ELF Format Reference

ELF(Executable and Linkable Format)는 Linux 및 Unix 계열 시스템에서 실행 파일, 공유 라이브러리, 오브젝트 파일, 코어 덤프에 사용되는 표준 바이너리 포맷입니다. ELF 파일은 매직 바이트(0x7F "ELF")로 시작하며, 파일 유형, 대상 아키텍처, 진입점, 링커와 로더가 사용하는 섹션/세그먼트 레이아웃을 기술하는 헤더를 포함합니다.

섹션(.text, .data, .bss, .rodata, .plt, .got)은 링크 타임에 코드, 데이터, 메타데이터를 조직하는 데 사용됩니다. 세그먼트(PT_LOAD, PT_DYNAMIC, PT_INTERP)는 런타임에 OS 로더가 바이너리를 메모리에 매핑하는 데 사용됩니다. 여러 섹션이 하나의 세그먼트로 그룹화될 수 있습니다. "readelf -S"로 섹션을, "readelf -l"로 세그먼트를 확인할 수 있습니다.

PLT(Procedure Linkage Table, .plt)는 함수 호출을 리다이렉트하는 작은 코드 스텁을 포함하고, GOT(Global Offset Table, .got/.got.plt)는 외부 함수의 실제 해석된 주소를 저장합니다. 첫 번째 호출 시 동적 링커가 심볼을 해석하고 GOT 엔트리를 패치합니다(지연 바인딩). Full RELRO는 해석 후 전체 GOT를 읽기 전용으로 만들어 GOT 덮어쓰기 공격을 방지합니다.

"readelf -h"는 ELF 헤더(매직, 클래스, 타입, 진입점)를, "readelf -S"는 섹션 헤더를, "readelf -l"은 프로그램 헤더(세그먼트)를, "readelf -s"는 심볼 테이블을, "readelf -d"는 동적 섹션 엔트리를 표시합니다. "objdump -d"는 .text 섹션을 디스어셈블합니다. 바이너리 분석과 링커 문제 디버깅에 필수적인 도구입니다.

RELRO(Relocation Read-Only)는 보안 강화 기법입니다. Partial RELRO는 .got 섹션만 읽기 전용으로 만들고 .got.plt는 쓰기 가능합니다. Full RELRO는 시작 시 모든 동적 심볼을 해석하고 전체 GOT를 읽기 전용으로 만들어, 익스플로잇에 사용되는 GOT 덮어쓰기 공격을 방지합니다. "checksec binary"로 RELRO 상태를 확인할 수 있습니다.

LD_PRELOAD는 다른 모든 공유 라이브러리보다 먼저 특정 라이브러리를 로드하게 하는 환경 변수입니다. 이를 통해 대상 바이너리의 어떤 함수든 오버라이드(후킹)할 수 있습니다. dlsym(RTLD_NEXT, "function_name")을 사용하면 커스텀 로직을 추가한 후 원래 함수를 호출할 수 있습니다. 디버깅, 프로파일링, 보안 연구에 활용됩니다.

ELF 심볼은 바인딩 유형을 가집니다: STB_LOCAL(오브젝트 파일 내부에서만 보임), STB_GLOBAL(모든 오브젝트 파일에서 보이며 고유해야 함), STB_WEAK(글로벌과 유사하지만 같은 이름의 글로벌 심볼로 오버라이드 가능). 심볼 타입에는 STT_FUNC(함수), STT_OBJECT(데이터), STT_SECTION(섹션), STT_FILE(소스 파일명)이 있습니다.

"checksec binary"로 NX(PT_GNU_STACK을 통한 비실행 스택), RELRO 수준, 스택 카나리, PIE(위치 독립 실행 파일, e_type=ET_DYN), FORTIFY_SOURCE를 확인합니다. "readelf -d"로 RUNPATH/RPATH를 확인하고, "nm -D"로 동적 심볼을 나열합니다. 이러한 점검으로 바이너리의 공격 표면과 보안 강화 수준을 파악할 수 있습니다.