當你在unix下拿到一個二進位檔案但不知道它是什麼的時候,可以通過以下方法得到一此提示
1、 最首先應該嘗試strings命令,比如拿到一個叫cr1的二進位檔案,可以:
$ strings cr1 | more
裡面可能會有一些對於這個cr1的描述,這些資訊都是編譯之後在程式中留下的一些文本性的說明,所以可能會告訴你這個檔案是什麼.
比如有輸出:
$ strings cr1 | more
%s %s %s%s%s -> %s%s%s (%.*s)
Version: 2.3
Usage: dsniff [-cdmn] [-i interface] [-s snaplen] [-f services]
[-t trigger[,...]] [-r|-w savefile] [expression]
...
/usr/local/lib/dsniff.magic
/usr/local/lib/dsniff.services
...
那麼我們就可以知道,其實 cr1就是dsniff命令.
2、 如果這樣的方法沒有協助你的話,那麼你可以嘗試:
$ /usr/ccs/bin/nm -p cr1 | more
比如說得到如下輸出:
cr1:
[Index] Value Size Type Bind Other Shndx Name
[180] |0 | 0| FILE | LOCL | 0 |ABS | decode_smtp.c
[2198] |160348| 320| FUNC | GLOB | 0 | 9 | decode_sniffer
這些都是產生這個二進位檔案的obj檔案的檔案名稱,這些名稱會告訴你這個二進位檔案的作用的.
同樣,如果希望查看二進位檔案調用到的靜態庫檔案都有哪些的話,可以使用nm -Du cr1來實現.
3、 當然我們也可以通過使用dump命令來得到任何一個二進位檔案的選定部分資訊
$ /usr/ccs/bin/dump -c ./cr1 | more
dump命令的參數說明:
-c Dump出字串表
-C Dump出C++符號表
-D Dump出調試資訊
-f Dump出每個檔案的頭
-h Dump出section的頭
-l Dump出行號資訊
-L Dump出動態與靜態連結庫部分內容
-o Dump出每個程式的可執行頭
-r Dump出重定位資訊
-s 用十六進位資訊Dump出section的內容
-t Dump符號表.
4、 可以使用file命令得到二進位檔案的資訊
$ file cr1
5、 如果還是不清楚的話,那麼我們可以使用ldd命令
$ ldd cr1
比如說輸出為:
...
libsocket.so.1 => /usr/lib/libsocket.so.1
librpcsvc.so.1 => /usr/lib/librpcsvc.so.1
...
那麼我們就可以知道這個程式與網路程式庫相關,我們就可以知道它的大概功能了.
我們也可以能過adb命令來得到一個二進位檔案的執行過程.
比如說:
$ adb cr1
:r
Using device /dev/hme0 (promiscuous mode)
192.168.2.119 -> web TCP D=22 S=1111 Ack=2013255208
Seq=1407308568 Len=0 Win=17520
web -> 192.168.2.119 TCP D=1111 S=22 Push Ack=1407308568
我們知道這個程式是一個sniffer.
6、 如果你確定要運行這個程式的話,你可以先通過:
$ truss -f -o cr.out ./cr1
listening on hme0
^C
$
truss命令可以幫你開啟系統的訊號與調用輸出.你就可以知道這個程式到底幹了什麼.
有了上面這些工具的話,我們就可以大概瞭解到一個未知的二進位程式到底是幹什麼的.
最後提示大家,運行不瞭解的二進位程式有嚴重的安全問題,請大家小心.