【二进制】ELF文件的安全保护机制

> 今天分享一下以前写过的笔记关一ELF文件的安全保护机制

```
pwndbg> checksec 
File:     /home/cz/pwn/stack
Arch:     i386
RELRO:      Partial RELRO
Stack:      No canary found
NX:         NX enabled
PIE:        No PIE (0x8048000)
Stripped:   No
```

这是使用 `pwndbg` 中的 `checksec` 命令对 ELF 文件安全属性的检查结果。下面是每个字段的含义和解析：

---

### **1. 输出字段解析**

| **字段**  | **含义**                                                                                     | **检查结果**            |
|-----------|----------------------------------------------------------------------------------------------|-------------------------|
| **File**  | 被检查的文件路径。                                                                           | `/home/cz/pwn/stack`    |
| **Arch**  | 文件的架构类型，例如 `i386`（32位）或 `x86_64`（64位）。                                      | `i386`                  |
| **RELRO** | **Relocation Read-Only**，重定位表的保护级别（Partial 或 Full）。                              | `Partial RELRO`         |
| **Stack** | **堆栈金丝雀保护（Stack Canary）**，用于检测缓冲区溢出是否覆盖返回地址。                       | `No canary found`       |
| **NX**    | **No eXecute 位**，数据段（如栈和堆）是否被标记为不可执行。                                   | `NX enabled`            |
| **PIE**   | **位置无关可执行（Position Independent Executable）**，是否启用了地址随机化（ASLR）。           | `No PIE (0x8048000)`    |
| **Stripped** | 文件是否去除了符号表。如果去掉符号表，调试和反编译会更加困难。                                 | `No`（未去掉符号表）     |

---

### **2. 结果详细解读**

#### **RELRO: Partial RELRO**
- 启用了部分 RELRO 保护。
- 部分 `GOT` 表（全局偏移量表）被标记为只读，防止部分重定位攻击。
- 但未启用 `NOW` 标志（Full RELRO），意味着在程序运行时，`GOT` 表的重定位仍然可能被覆盖，存在一定的安全风险。

#### **Stack: No canary found**
- **未启用堆栈保护（Stack Canary）。**
- 如果程序中存在缓冲区溢出漏洞，攻击者可以直接覆盖返回地址或其他关键数据，执行恶意代码。
- 堆栈金丝雀可以在溢出发生时检测异常，但这里没有启用。

#### **NX: NX enabled**
- 启用了 **NX（No eXecute）** 位，数据段（如栈、堆）被标记为不可执行。
- 攻击者无法直接在栈上执行 Shellcode，有效防止简单的代码注入攻击。
- 如果攻击者尝试在栈上执行代码，程序会触发段错误。

#### **PIE: No PIE (0x8048000)**
- **未启用位置无关可执行（PIE）。**
- 程序的加载地址是固定的（基址为 `0x8048000`）。
- 攻击者可以预测内存布局（例如代码段地址），更加容易实施基于地址的攻击（如 ROP 攻击）。

#### **Stripped: No**
- **未去掉符号表。**
- 程序仍然保留调试信息（如函数名、变量名等符号）。
- 这对攻击者有利，因为符号信息可以帮助快速定位和分析程序中的漏洞。