linux下如何将PE(Portable Executable)格式转换为ELF
将 PE 二进制文件转换为 ELF 二进制文件的最佳工具是什么?
以下是这个问题的简要动机:
- 假设我有一个简单的 C 程序。
- 我使用 Linux 的 gcc 编译它(这给出了 ELF),并使用 Windows 的“i586-mingw32msvc-gcc”(这给出了 PE 二进制文件)。
- 我想使用 Bitblaze 的静态分析工具 vine(http://bitblaze 来分析这两个二进制文件的相似之处.cs.berkeley.edu/vine.html)
- 现在vine对PE二进制文件没有很好的支持,所以我想转换PE->ELF,然后继续我的比较/分析。
由于所有分析都必须在 Linux 上运行,因此我更喜欢在 Linux 上运行的实用程序/工具。
谢谢
What's the best tool for converting PE binaries to ELF binaries?
Following is a brief motivation for this question:
- Suppose I have a simple C program.
- I compiled it using gcc for linux(this gives ELF), and using 'i586-mingw32msvc-gcc' for Windows(this gives a PE binary).
- I want to analyze these two binaries for similarities, using Bitblaze's static analysis tool - vine(http://bitblaze.cs.berkeley.edu/vine.html)
- Now vine doesn't have a good support for PE binaries, so I wanted to convert PE->ELF, and then carry on with my comparison/analysis.
Since all the analysis has to run on Linux, I would prefer a utility/tool that runs on Linux.
Thanks
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(3)
可以将 EXE 重建为 ELF 二进制文件,但由于缺少操作系统,生成的二进制文件在加载后很快就会出现段错误。
这是一种实现方法。
摘要
详细示例
转储 EXE 文件的节头。我使用
mingw
交叉编译器包中的objdump
来执行此操作。$ i686-pc-mingw32-objdump -h trek.exe
trek.exe:文件格式 pei-i386
部分:
Algn 中的 Idx 名称大小 VMA LMA 文件
0 自动 00172600 00401000 00401000 00000400 2**2
内容、分配、加载、只读、代码
1.idata 00001400 00574000 00574000 00172a00 2**2
内容、分配、加载、数据
2 D组 0002b600 00576000 00576000 00173e00 2**2
内容、分配、加载、数据
3.bss 000e7800 005a2000 005a2000 00000000 2**2
分配
4.reloc 00013000 0068a000 0068a000 0019f400 2**2
内容、分配、加载、只读、数据
5.rsrc 00000a00 0069d000 0069d000 001b2400 2**2
内容、分配、加载、只读、数据
使用
dd
(或十六进制编辑器)从 EXE 中提取原始节数据。在这里,我将复制代码和数据部分(在此示例中名为 AUTO 和 DGROUP)。不过,您可能想要复制其他部分。$ dd bs=512 跳过=2 计数=2963 if=trek.exe of=code.bin
$ dd bs=512 跳过=2975 计数=347 if=trek.exe of=data.bin
请注意,我已将文件偏移量和节大小从十六进制转换为十进制,以用作
skip
和count
,但我使用的块大小为 512 dd 中的字节以加快处理速度(例如:0x0400 = 1024 字节 = 2 块@ 512 字节)。将原始节数据封装在 GNU ld 链接器脚本片段中(使用 BYTE 指令)。这将用于填充这些部分。
编写链接器脚本来构建 ELF 二进制文件,包括上一步中的那些脚本。请注意,我还为未初始化的数据 (.bss) 部分留出了空间。
<预>开始= 0x516DE8;
进入(开始)
OUTPUT_FORMAT(“elf32-i386”)
章节{
.文本0x401000:
{
包含“code.ld”;
}
.数据0x576000:
{
包含“data.ld”;
}
.bss 0x5A2000:
{
。 = 。 + 0x0E7800;
}
}
使用 GNU ld 运行链接器脚本以生成 ELF 文件。请注意,由于我使用的是 64 位 Linux,因此我必须使用模拟模式
elf_i386
,否则将生成 64 位 ELF。运行新程序,并观察它的段错误,因为它不在 Windows 上运行。
<前>$ gdb elf_trek
(gdb)运行
启动程序:/home/quasar/src/games/botf/elf_trek
程序收到信号 SIGSEGV,分段错误。
0x0051d8e6 在 ?? ()
(gdb) BT
\#0 0x0051d8e6 在 ?? ()
\#1 0x00000000 在 ?? ()
(gdb) x/i $eip
=> 0x51d8e6:子(%edx),%eax
(gdb) 退出
该位置的 IDA Pro 输出:
<前>0051D8DB ; size_t 堆栈可用(无效)
0051D8DB proc stackavail 附近
0051D8DB推edx
0051D8DC 呼叫 [ds:off_5A0588]
0051D8E2 mov edx, eax
0051D8E4 mov eax, esp
0051D8E6 子 eax,[edx]
0051D8E8 流行 edx
0051D8E9 回报
0051D8E9 端栈可用
对于将二进制文件移植到 Linux,考虑到 Wine 项目,这是毫无意义的。
对于像 OP 这样的情况,这可能是合适的。
It is possible to rebuild an EXE as an ELF binary, but the resulting binary will segfault very soon after loading, due to the missing operating system.
Here's one method of doing it.
Summary
ld
with the linker script to produce the ELF file.Detailed Example
Dump the section headers of the EXE file. I'm using
objdump
from themingw
cross compiler package to do this.Use
dd
(or a hex editor) to extract the raw section data from the EXE. Here, I'm just going to copy the code and data sections (named AUTO and DGROUP in this example). You may want to copy additional sections though.Note, I've converted the file offsets and section sizes from hex to decimal to use as
skip
andcount
, but I'm using a block size of 512 bytes indd
to speed up the process (example: 0x0400 = 1024 bytes = 2 blocks @ 512 bytes).Encapsulate the raw section data in GNU ld linker scripts snippets (using the BYTE directive). This will be used to populate the sections.
Write a linker script to build an ELF binary, including those scripts from the previous step. Note I've also set aside space for the uninitialized data (.bss) section.
Run the linker script with GNU
ld
to produce the ELF file. Note I have to use an emulation modeelf_i386
since I'm using 64-bit Linux, otherwise a 64-bit ELF would be produced.Run the new program, and watch it segfault as it's not running on Windows.
IDA Pro output for that location:
For porting binaries to Linux, this is kind of pointless, given the Wine project.
For situations like the OP's, it may be appropriate.
我找到了一种更简单的方法来做到这一点。使用剥离命令。
示例
-O elf32-i386
让它以该格式写出文件。要查看支持的运行格式,
我使用 mxe 中的 strip 命令,该命令在我的系统上实际上名为
/选择/mxe/usr/bin/i686-w64-mingw32.static-strip
。I've found a simpler way to do this. Use the strip command.
Example
The
-O elf32-i386
has it write out the file in that format.To see supported formats run
I am using the strip command from mxe, which on my system is actually named
/opt/mxe/usr/bin/i686-w64-mingw32.static-strip
.我不知道这是否完全符合您的需求,但是您是否可以选择与 MinGW 版本的 gcc 进行交叉编译?
我的意思是说:将 i586-mingw32msvc-gcc 直接编译为 ELF 格式二进制文件(而不是您当前获得的 PE)是否适合您的需求。有关如何在另一个方向上执行操作的说明,请参见 这里 - 我想这会有点hacky,但完全有可能让这个工作在另一个方向上为你工作(我必须承认我还没有尝试过)。
I don't know whether this totally fits your needs, but is it an option for you to cross-compile with your MinGW version of gcc?
I mean do say: does it suit your needs to have i586-mingw32msvc-gcc compile direct to ELF format binaries (instead of the PEs you're currently getting). A description of how to do things in the other direction can be found here - I imagine it will be a little hacky but entirely possible to make this work for you in the other direction (I must admit I haven't tried it).