Linux常用的二進位檔案分析方法

 

　　1、 最首先應該嘗試strings命令,比如拿到一個叫cr1的二進位檔案,可以:

　　$ strings cr1 | more

　　裡面可能會有一些對於這個cr1的描述,這些資訊
都是編譯之後在程式中留下的一些文本性的說明,所以可能會告訴你這個檔案是什麼.

　　比如有輸出:

　　$ strings cr1 | more

　　%s %s %s%s%s -> %s%s%s (%.*s)

　　Version: 2.3

　　Usage: dsniff [-cdmn] [-i interface] [-s snaplen] [-f services]

　　[-t trigger[,...]] [-r|-w savefile] [expression]

　　...

　　/usr/local/lib/dsniff.magic

　　/usr/local/lib/dsniff.services

　　...

　　那麼我們就可以知道,其實 cr1就是dsniff命令.

　　2、 如果這樣的方法沒有協助你的話,那麼你可以嘗試:

　　$ /usr/ccs/bin/nm -p cr1 | more

　　比如說得到如下輸出:

　　cr1:

　　[Index]   Value    Size  Type    Bind  Other   Shndx       Name

　　[180]     |0     |    0| FILE |  LOCL | 0     |ABS |       decode_smtp.c

　　[2198]    |160348|  320| FUNC |  GLOB | 0     | 9  |       decode_sniffer

　　這些都是產生這個二進位檔案的obj檔案的檔案名稱,這些名稱會告訴你這個二進位檔案的作用的.

　　同樣,如果希望
查看二進位檔案
調用到的靜態庫檔案都有哪些的話,可以使用nm -Du cr1來實現.

　　3、 當然我們也可以通過使用dump命令來得到任何一個二進位檔案的選定部分資訊

　　$ /usr/ccs/bin/dump -c ./cr1 | more

　　dump命令的參數說明:

　　-c        Dump出字串表

　　-C       Dump出C++符號表

　　-D       Dump出調試資訊

　　-f        Dump出每個檔案的頭

　　-h       Dump出section的頭

　　-l        Dump出行號資訊

　　-L       Dump出動態與靜態連結庫部分內容

　　-o       Dump出每個程式的可執行頭

　　-r        Dump出重定位資訊

　　-s       用十六進位資訊
Dump出section的內容

　　-t       Dump符號表.

　　4、 可以使用file命令得到二進位檔案的資訊

　　$ file cr1

　　5、 如果還是不清楚的話,那麼我們可以使用ldd命令

　　$ ldd cr1

　　比如說輸出為:

　　...

　　libsocket.so.1 =>       /usr/lib/libsocket.so.1

　　librpcsvc.so.1 =>       /usr/lib/librpcsvc.so.1

　　...

　　那麼我們就可以知道這個程式與網路程式庫相關,我們就可以知道它的大概功能了.

　　我們也可以能過adb命令來得到一個二進位檔案的執行過程.

　　比如說:

　　$ adb cr1

　　:r

　　Using device /dev/hme0 (promiscuous mode)

　　192.168.2.119 -> web      TCP D=22 S=1111 Ack=2013255208

　　Seq=1407308568 Len=0 Win=17520

　　web -> 192.168.2.119 TCP D=1111 S=22 Push Ack=1407308568

　　我們知道這個程式是一個sniffer.

　　6、 如果你確定要運行這個程式的話,你可以先通過:

       $ truss -f -o cr.out ./cr1
       listening on hme0
       ^C
       $

　　truss命令可以幫你開啟系統的訊號與調用輸出.你就可以知道這個程式到底幹了什麼.

　　有了上面這些工具的話,我們就可以大概瞭解到一個未知的二進位程式到底是幹什麼的.

　　最後提示大家,運行不瞭解的二進位程式有嚴重的安全問題,請大家小心.

 

 

 

上次調試一個程式。程式在使用dlopen()出現錯誤。錯誤資訊是載入動態庫時，動態庫中有未定義的符號。明明知道是動態庫的問題，可是自己找了半天，
沒解決問題。張博士過來，一個ldd查看一下動態庫就判斷庫有問題，再一個nm就找到錯誤的地方，然後重新ld了一下庫，問題解決了。神奇了！我也用這幾
個命令檢查過庫，就是沒發現問題，還是對命令的用法不熟啊。
這裡把這幾個命令好好整理一下，也算協助記憶吧。(翻譯的成居多,hehe)
nm命令
這個命令列出目標檔案的符號。如果沒有指定目標檔案，預設是a.out。
命令大綱
nm [-a
|--debug-syms
] [-g
|--extern-only
]
[-B
] [-C
|--demangle
[=style
]] [-D
|--dynamic
]
[-S
|--print-size
] [-s
|--print-armap
]
[-A
|-o
|--print-file-name
]
[-n
|-v
|--numeric-sort
] [-p
|--no-sort
]
[-r
|--reverse-sort
] [--size-sort
] [-u
|--undefined-only
]
[-t
radix
|--radix=
radix
] [-P
|--portability
]
[--target=
bfdname
] [-f
format
|--format=
format
]
[--defined-only
] [-l
|--line-numbers
] [--no-demangle
]
[-V
|--version
] [-X 32_64
] [--help
] [objfile
...]
輸出格式
nm命令的輸出包含三個部分：1 符號值。預設顯示十六進位，也可以指定； 2 符號類型。小寫表示是本地符號，大寫表示全域符號(external); 3 符號名稱。 給個例子：
08049ad8 A __bss_start
080485e8 t call_gmon_start
08049ad8 b completed.1
下面把符號類型介紹一下（我就是不熟悉符號類型，才對錯誤沒這麼敏感）
A
符號值是絕對的。在進一步的串連中，不會被改變。B
符號位於未初始化資料區段(known as BSS).
C
共用(common)符號. 共用符號是未初始化的資料。在串連時，多個共用符號可能採用一個同樣的名字，如果這個符號在某個地方被定義，共用符號被認為是未定義的引用.
D
已初始化資料區段的符號
G
已初始化資料區段中的小目標(small objective)符號. 一些目標檔案格式允許更有效訪問小目標資料，比如一個全域的int變數相對於一個大的全域數組。
I
其他符號的直接應用，這是GNU擴充的，很少用了.
N
偵錯符號.
R
唯讀資料區段符號.
S
未初始化資料區段中的小目標(small object)符號.
T
程式碼片段的符號.
U
未定義符號.
V
弱對象(weak object)符號. 當一個已定義的弱符號被串連到一個普通定義符號，普通定義符號可以正常使用，當一個未定義的弱對象被串連到一個未定義的符號，弱符號的值為0.
W
一個沒有被指定一個弱對象符號的弱符號(weak symbol)。
-
a.out目標檔案中的刺符號(stabs symbol). 這種情況下，列印的下一個值是其他欄位，描述欄位，和類型。刺符號用於保留調試資訊.
?
未知符號類型，或者目標檔案特有的符號類型.命令參數
-t

radix

--radix=
radix

符號值得進位。d
十進位, o
八進位, x
十六進位.-D

--dynamic

顯示動態符號，只在對象是動態時有用.
-f

format

--format=
format

輸出的格式，有"bsd","sysv" 或"posix"可選。預設是“bsd”.
-g

--extern-only

只顯示外部符號.
-l

--line-numbers

對每一個符號，使用調試資訊去尋找檔案名稱和行號。-u

--undefined-only

只顯示未定義的符號.
--defined-only

只顯示已定義的符號.--help

顯示協助