關於Linux常用的二進位檔案分析方法

 

　　當你在unix下拿到一個二進位檔案但不知道它是什麼的時候,可以通過以下方法得到一此提示

      1、 最首先應該嘗試strings命令,比如拿到一個叫cr1的二進位檔案,可以:

　　$ strings cr1 | more

　　裡面可能會有一些對於這個cr1的描述,這些資訊都是編譯之後在程式中留下的一些文本性的說明,所以可能會告訴你這個檔案是什麼.

　　比如有輸出:

　　$ strings cr1 | more
　　%s %s %s%s%s -> %s%s%s (%.*s)
　　Version: 2.3
　　Usage: dsniff [-cdmn] [-i interface] [-s snaplen] [-f services]
　　[-t trigger[,...]] [-r|-w savefile] [expression]
　　...
　　/usr/local/lib/dsniff.magic
　　/usr/local/lib/dsniff.services
　　...

　　那麼我們就可以知道,其實 cr1就是dsniff命令.

　　2、 如果這樣的方法沒有協助你的話,那麼你可以嘗試:

　　$ /usr/ccs/bin/nm -p cr1 | more

　　比如說得到如下輸出:

　　cr1:
　　[Index]   Value    Size Type    Bind Other   Shndx       Name
　　[180]     |0     |    0| FILE | LOCL | 0     |ABS |       decode_smtp.c
　　[2198]    |160348| 320| FUNC | GLOB | 0     | 9 |       decode_sniffer

　　這些都是產生這個二進位檔案的obj檔案的檔案名稱,這些名稱會告訴你這個二進位檔案的作用的.

　　同樣,如果希望查看二進位檔案調用到的靜態庫檔案都有哪些的話,可以使用nm -Du cr1來實現.

　　3、 當然我們也可以通過使用dump命令來得到任何一個二進位檔案的選定部分資訊

　　$ /usr/ccs/bin/dump -c ./cr1 | more

　　dump命令的參數說明:

　　-c        Dump出字串表

　　-C       Dump出C++符號表

　　-D       Dump出調試資訊

　　-f        Dump出每個檔案的頭

　　-h       Dump出section的頭

　　-l        Dump出行號資訊

　　-L       Dump出動態與靜態連結庫部分內容

　　-o       Dump出每個程式的可執行頭

　　-r        Dump出重定位資訊

　　-s       用十六進位資訊Dump出section的內容

　　-t       Dump符號表.

　　4、 可以使用file命令得到二進位檔案的資訊

　　$ file cr1

　　5、 如果還是不清楚的話,那麼我們可以使用ldd命令

　　$ ldd cr1

　　比如說輸出為:
　　...
　　libsocket.so.1 =>       /usr/lib/libsocket.so.1
　　librpcsvc.so.1 =>       /usr/lib/librpcsvc.so.1
　　...

　　那麼我們就可以知道這個程式與網路程式庫相關,我們就可以知道它的大概功能了.

　　我們也可以能過adb命令來得到一個二進位檔案的執行過程.

　　比如說:
　　$ adb cr1
　　:r
　　Using device /dev/hme0 (promiscuous mode)
　　192.168.2.119 -> web      TCP D=22 S=1111 Ack=2013255208
　　Seq=1407308568 Len=0 Win=17520
　　web -> 192.168.2.119 TCP D=1111 S=22 Push Ack=1407308568

　　我們知道這個程式是一個sniffer.

　　6、 如果你確定要運行這個程式的話,你可以先通過:

        $ truss -f -o cr.out ./cr1
        listening on hme0
       ^C
        $

　　truss命令可以幫你開啟系統的訊號與調用輸出.你就可以知道這個程式到底幹了什麼.

　　有了上面這些工具的話,我們就可以大概瞭解到一個未知的二進位程式到底是幹什麼的.

　　最後提示大家,運行不瞭解的二進位程式有嚴重的安全問題,請大家小心.