Cette article va vous présenter comment injecter du code de manière statique dans un fichier ELF, que ce soit sur architecture 32 bits ou 64 bits, sous une distribution GNU/Linux.

Afin de comprendre le fonctionnement de l'injection de code, il est nécessaire d'avoir une idée globale de ce qu'est le format ELF et de comment il fonctionne.

Les fichiers ELF (Executable and Linking Format) peuvent être des exécutables normaux (ls, dd, ponysay,…), des bibliothèques partagées (libcrypto.so, libglib.so,…), des fichiers core (core dump) et des fichiers objets (les fichiers .o générés pas les compilateurs qui n'ont pas encore été liés pour devenir des exécutables).

Un fichier ELF va être constitué d'un en-tête et soit d'une table d'en-tête de programme ou d'une table des en-têtes de sections, ou alors des deux. Dans notre cas, il est nécessaire de posséder la table d'en-tête de programme, de toute manière celle-ci est obligatoire pour les exécutables. En effet, cette partie va contenir les informations sur les sections du programme qui vont comprendre le code qui sera mappé dans l'espace d'adressage du programme.

• http://en.wikipedia.org/wiki/Executable_and_Linkable_Format
• http://linux.die.net/man/5/elf
• http://www.eresi-project.org/
• http://www.phrack.org/issues.html?issue=61&id=8#article
• http://www.phrack.org/issues.html?issue=63&id=9#article
• https://github.com/statl3r/squirt