लिनक्स बाइनरी क्या कर रहा है यह समझना


52

बाइनरी लिनक्स प्रोग्राम को समझने के लिए मैंने हाल ही में एक कार्य किया था। हालांकि, कार्यक्रम द्विआधारी रूप में था।

मैं आदेशों का इस्तेमाल किया file, stringsऔर objdumpयह क्या कर रहा था के एक मामूली विचार है करने के लिए, और क्या काम करता है यह बुला रहा था।

ऐसा लगता है कि बाइनरी को डीबगिंग जानकारी के साथ संकलित किया गया है। मैं इसके बारे में और क्या सीख सकता हूं?


3
क्या आपको अंदाजा है कि बाइनरी क्या कर रही है? क्या आपको संदेह है कि यह आपके सिस्टम को नुकसान पहुंचाने के लिए डिज़ाइन किए गए कुछ मैलवेयर हैं ? यदि हाँ, तो इस सवाल पर जाना चाहिए (क्योंकि तब आपको संभावित नुकसान को सीमित करने के लिए विशेष सावधानी बरतने की आवश्यकता होती है)
बेसिल स्टारीनेवविच

यह एक फोरेंसिक चुनौती है।

1
ldd और
स्ट्रेस

जवाबों:


83

आपके द्वारा पहले से उपयोग किए गए आदेशों को शामिल करते हुए, मैं एक विवरण योग्य फ़ाइल में कुछ फोरेंसिक संचालन करने के लिए क्या किया जा सकता है, इसके बारे में विस्तार से जानने की पूरी कोशिश करूंगा।

विनम्र stringsकमांड पाठ त्रुटि संदेशों की कल्पना करने के लिए उपयोगी हो सकता है जो बाइनरी फ़ंक्शंस के संकेत देते हैं। यह उदाहरण के रूप में पैक्ड बायनेरिज़ का पता लगाने का एक सरल तरीका है (मैलवेयर बायनेरिज़ के साथ अक्सर):

$strings exe_file
UPX!
...
PROT_EXEC|PROT_WRITE failed.
$Info: This file is packed with the UPX executable packer http://upx.sf.net $
$Id: UPX 3.91 Copyright (C) 1996-2013 the UPX Team. All Rights Reserved. $
...
UPX!

स्ट्रिंग्स - फाइलों में प्रिंट करने योग्य पात्रों के तारों को प्रिंट करें।
दी गई प्रत्येक फ़ाइल के लिए, GNU तार प्रिंट करने योग्य वर्ण अनुक्रमों को प्रिंट करता है जो कम से कम 4 वर्ण लंबा होता है (या नीचे दिए गए विकल्पों के साथ दी गई संख्या) और उसके बाद एक अप्रतिबंधित वर्ण होता है।

file अर्थात् निष्पादन योग्य गुणों को देखने की अनुमति देता है:

  • वास्तुकला इसे लक्षित करता है;
  • ओएस;
  • यदि गतिशील या सांख्यिकीय रूप से जुड़ा हुआ है;
  • यदि डिबगिंग जानकारी के साथ संकलित किया गया है या नहीं।

इस उदाहरण में, "नहीं छीन" यह दर्शाता है कि इसमें डीबगिंग जानकारी शामिल है।

$ file exe_file
exe_file: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.18, BuildID[sha1]=6f4c5f003e19c7a4bbacb30af3e84a41c88fc0d9, not stripped

fileइसे वर्गीकृत करने के प्रयास में प्रत्येक तर्क का परीक्षण करता है। इस क्रम में किए गए परीक्षणों के तीन सेट हैं: फाइलसिस्टम परीक्षण, जादू परीक्षण और भाषा परीक्षण। पहला परीक्षण जो सफल होता है वह फ़ाइल प्रकार को मुद्रित करने का कारण बनता है।

objdump एक निष्पादन योग्य की disassembly सूची का उत्पादन करता है:

$ objdump -d exe_file
ls:     file format Mach-O 64-bit x86-64

Disassembly of section __TEXT,__text:
__text:
100000f20:      55      pushq   %rbp
100000f21:      48 89 e5        movq    %rsp, %rbp
100000f24:      48 83 c7 68     addq    $104, %rdi
100000f28:      48 83 c6 68     addq    $104, %rsi
100000f2c:      5d      popq    %rbp
100000f2d:      e9 58 36 00 00  jmp     13912
100000f32:      55      pushq   %rbp
100000f33:      48 89 e5        movq    %rsp, %rbp
100000f36:      48 8d 46 68     leaq    104(%rsi), %rax
100000f3a:      48 8d 77 68     leaq    104(%rdi), %rsi
...............

objdump द्विआधारी निष्पादन योग्य संकलित करने के लिए उपयोग किए गए संकलक को भी जानने की अनुमति देता है:

$ objdump -s --section .comment exe_file

exe_file:     file format elf64-x86-64

Contents of section .comment:
 0000 4743433a 2028474e 55292034 2e342e37  GCC: (GNU) 4.4.7
 0010 20323031 32303331 33202852 65642048   20120313 (Red H
 0020 61742034 2e342e37 2d313129 00        at 4.4.7-11).

objdump रन-टाइम पर जुड़े बाहरी कार्यों को भी सूचीबद्ध करता है:

$ objdump -T exe_file

true:     file format elf64-x86-64

DYNAMIC SYMBOL TABLE:
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 __uflow
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 getenv
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 free
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 abort
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 __errno_location
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 strncmp
0000000000000000  w   D  *UND*  0000000000000000              _ITM_deregisterTMCloneTable
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 _exit
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 __fpending
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 textdomain
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 fclose
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 bindtextdomain
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 dcgettext
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 __ctype_get_mb_cur_max
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 strlen
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.4   __stack_chk_fail
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 mbrtowc
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 strrchr
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 lseek
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 memset
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 fscanf
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 close
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 __libc_start_main
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 memcmp
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 fputs_unlocked
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 calloc
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 strcmp
0000000000000000  w   D  *UND*  0000000000000000              __gmon_start__
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.14  memcpy
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 fileno
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 malloc
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 fflush
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 nl_langinfo
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 ungetc
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 __freading
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 realloc
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 fdopen
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 setlocale
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.3.4 __printf_chk
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 error
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 open
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 fseeko
0000000000000000  w   D  *UND*  0000000000000000              _Jv_RegisterClasses
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 __cxa_atexit
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 exit
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 fwrite
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.3.4 __fprintf_chk
0000000000000000  w   D  *UND*  0000000000000000              _ITM_registerTMCloneTable
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 mbsinit
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.2.5 iswprint
0000000000000000  w   DF *UND*  0000000000000000  GLIBC_2.2.5 __cxa_finalize
0000000000000000      DF *UND*  0000000000000000  GLIBC_2.3   __ctype_b_loc
0000000000207228 g    DO .bss   0000000000000008  GLIBC_2.2.5 stdout
0000000000207220 g    DO .bss   0000000000000008  GLIBC_2.2.5 __progname
0000000000207230  w   DO .bss   0000000000000008  GLIBC_2.2.5 program_invocation_name
0000000000207230 g    DO .bss   0000000000000008  GLIBC_2.2.5 __progname_full
0000000000207220  w   DO .bss   0000000000000008  GLIBC_2.2.5 program_invocation_short_name
0000000000207240 g    DO .bss   0000000000000008  GLIBC_2.2.5 stderr

objdumpएक या अधिक ऑब्जेक्ट फ़ाइलों के बारे में जानकारी प्रदर्शित करता है। विकल्प यह प्रदर्शित करते हैं कि कौन सी विशेष जानकारी प्रदर्शित की जाए। यह जानकारी ज्यादातर उन प्रोग्रामरों के लिए उपयोगी है जो संकलन टूल पर काम कर रहे हैं, जैसा कि उन प्रोग्रामर के विपरीत है जो सिर्फ यह चाहते हैं कि उनका प्रोग्राम कंपाइल और काम करे।

आप केवल बनाए गए वीएम में बाइनरी चला सकते हैं और फिर बाइनरी को चलाने के उद्देश्य से त्याग कर सकते हैं। का प्रयोग करें strace, ltrace, gdbऔर sysdigक्या बाइनरी सिस्टम में क्या कर रही है रन टाइम पर स्तर कॉल के बारे में अधिक जानने के लिए।

$strace exe_file
open("/opt/sms/AU/mo/tmp.RqBcjY", O_RDWR|O_CREAT|O_EXCL, 0600) = 3
open("/opt/sms/AU/mo/tmp.PhHkOr", O_RDWR|O_CREAT|O_EXCL, 0600) = 4
open("/opt/sms/AU/mo/tmp.q4MtjV", O_RDWR|O_CREAT|O_EXCL, 0600) = 5

straceनिर्दिष्ट कमांड चलाता है जब तक यह बाहर नहीं निकलता। यह सिस्टम कॉल को इंटरसेप्ट करता है और रिकॉर्ड करता है जिसे एक प्रक्रिया द्वारा कॉल किया जाता है और सिग्नल जो एक प्रक्रिया द्वारा प्राप्त किए जाते हैं। प्रत्येक सिस्टम कॉल का नाम, उसके तर्क और उसका रिटर्न मान मानक त्रुटि पर या -o विकल्प के साथ निर्दिष्ट फ़ाइल पर मुद्रित किया जाता है।

$ltrace exe_file
_libc_start_main(0x400624, 1, 0x7ffcb7b6d7c8, 0x400710 <unfinished ...>  
time(0)                                                                              = 1508018406  
srand(0x59e288e6, 0x7ffcb7b6d7c8, 0x7ffcb7b6d7d8, 0)                                 = 0  
sprintf("mkdir -p -- '/opt/sms/AU/mo'", "mkdir -p -- '%s'", "/opt/sms/AU/mo")        = 28  
system("mkdir -p -- '/opt/sms/AU/mo'" <no return ...>  
--- SIGCHLD (Child exited) ---  
<... system resumed> )                                                               = 0  
rand(2, 0x7ffcb7b6d480, 0, 0x7f9d6d4622b0)                                           = 0x2d8ddbe1  
sprintf("/opt/sms/AU/mo/tmp.XXXXXX", "%s/tmp.XXXXXX", "/opt/sms/AU/mo")      = 29  
mkstemp(0x7ffcb7b6d5c0, 0x40080b, 0x40081a, 0x7ffffff1)                              = 3  
sprintf("/opt/sms/AU/mo/tmp.XXXXXX", "%s/tmp.XXXXXX", "/opt/sms/AU/mo")      = 29  
mkstemp(0x7ffcb7b6d5c0, 0x40080b, 0x40081a, 0x7ffffff1)                              = 4  
+++ exited (status 0) +++  

ltraceएक प्रोग्राम है जो केवल निर्दिष्ट कमांड चलाता है जब तक कि यह बाहर नहीं निकलता है। यह डायनेमिक लाइब्रेरी कॉल को इंटरसेप्ट और रिकॉर्ड करता है, जिन्हें निष्पादित प्रक्रिया और उस प्रक्रिया द्वारा प्राप्त सिग्नल कहा जाता है। यह प्रोग्राम द्वारा निष्पादित सिस्टम कॉल को इंटरसेप्ट और प्रिंट भी कर सकता है।

इसके साथ चरण-दर-चरण डीबग किया जा सकता है gdb

GDB जैसे डिबगर का उद्देश्य आपको यह देखने की अनुमति देना है कि निष्पादित करते समय एक अन्य प्रोग्राम '' '' के अंदर क्या चल रहा है।

इसके चलने वाले अधिकांश सिस्टम गतिविधि के डंप का पालन / निर्माण करने के लिए, इस रूप में sysdig का उपयोग करें:

#sudo sysdig proc.name=exe_file
……………….
11569 19:05:40.938743330 1 exe_file (35690) > getpid 
11570 19:05:40.938744605 1 exe_file (35690) < getpid 
11571 19:05:40.938749018 1 exe_file (35690) > open 
11572 19:05:40.938801508 1 exe_file (35690) < open fd=3(<f>/opt/sms/AU/mo/tmp.MhVlrl) name=/opt/sms/AU/mo/tmp.XXXXMhVlrl flags=39(O_EXCL|O_CREAT|O_RDWR) mode=0 
11573 19:05:40.938811276 1 exe_file (35690) > getpid 
11574 19:05:40.938812431 1 exe_file (35690) < getpid 
11575 19:05:40.938813171 1 exe_file (35690) > open 
11576 19:05:40.938826313 1 exe_file (35690) < open fd=4(<f>/opt/sms/AU/mo/tmp.5tlBSs) name=/opt/sms/AU/mo/tmp.5tlBSs flags=39(O_EXCL|O_CREAT|O_RDWR) mode=0 
11577 19:05:40.938848592 1 exe_file (35690) > getpid 
11578 19:05:40.938849139 1 exe_file (35690) < getpid 
11579 19:05:40.938849728 1 exe_file (35690) > open 
11580 19:05:40.938860629 1 exe_file (35690) < open fd=5(<f>/opt/sms/AU/mo/tmp.CJWQjA) name=/opt/sms/AU/mo/tmp.CJWQjA flags=39(O_EXCL|O_CREAT|O_RDWR) mode=0 

sysdigसिस्टम समस्या निवारण, विश्लेषण और शोषण राशन के लिए एक उपकरण है। इसका उपयोग सिस्टम कॉल और अन्य OS ईवेंट को कैप्चर, फ़िल्टर और डीकोड करने के लिए किया जा सकता है। sysdig का उपयोग दोनों लाइव सिस्टम का निरीक्षण करने के लिए किया जा सकता है, या ट्रेस फ़ाइलों को उत्पन्न करने के लिए किया जा सकता है जिनका बाद के चरण में विश्लेषण किया जा सकता है।

sysdig में एक शक्तिशाली फ़िल्टरिंग भाषा शामिल है, इसमें अनुकूलन योग्य आउटपुट है, और इसे Lua स्क्रिप्ट के माध्यम से बढ़ाया जा सकता है, जिसे छेनी कहा जाता है।

हम बाइनरी फ़ाइल के स्थिर एनालिसिस के साथ इस उत्तर के शेष भाग पर फिर से व्यवहार करेंगे।

ldd exe_file यह उपयोग करने वाले पुस्तकालयों को सूचीबद्ध करता है;

$ ldd exe_file
    linux-vdso.so.1 (0x00007ffdf83bd000)  
    libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f14d9b32000)  
    /lib64/ld-linux-x86-64.so.2 (0x000055ededaea000)  

ldd प्रत्येक प्रोग्राम या कमांड लाइन पर निर्दिष्ट साझा ऑब्जेक्ट द्वारा आवश्यक साझा किए गए ऑब्जेक्ट (साझा लाइब्रेरी) को प्रिंट करता है।

size -A exe_file

$ size -A exe_file  
exe_file  :  
section              size      addr  
.interp                28   4194816  
.note.ABI-tag          32   4194844  
.note.gnu.build-id     36   4194876  
.gnu.hash              28   4194912  
.dynsym               216   4194944  
.dynstr                90   4195160  
.gnu.version           18   4195250  
.gnu.version_r         32   4195272  
.rela.dyn              24   4195304  
.rela.plt             168   4195328  
.init                  24   4195496  
.plt                  128   4195520  
.text                 664   4195648  
.fini                  14   4196312  
.rodata                51   4196328  
.eh_frame_hdr          36   4196380  
.eh_frame             124   4196416  
.ctors                 16   6293696  
.dtors                 16   6293712  
.jcr                    8   6293728  
.dynamic              400   6293736  
.got                    8   6294136  
.got.plt               80   6294144  
.data                   4   6294224  
.bss                   16   6294232  
.comment               45         0  
Total                2306


$ size -d ls
   text    data     bss     dec     hex filename
 122678    4664    4552  131894   20336 ls

GNU sizeयूटिलिटी सेक्शन साइज़ --- और टोटल साइज़ --- को ऑब्जेक्ट या आर्काइव फ़ाइलों में से प्रत्येक के लिए उसकी तर्क सूची में शामिल करती है। डिफ़ॉल्ट रूप से, प्रत्येक ऑब्जेक्ट फ़ाइल या संग्रह में प्रत्येक मॉड्यूल के लिए आउटपुट की एक पंक्ति उत्पन्न होती है।

readelf -x .rodata exe_file स्टैटिक स्ट्रिंग्स को सूचीबद्ध करता है

$ readelf -x .rodata exe_file 

Hex dump of section '.rodata':
  0x004007e8 01000200 00000000 00000000 00000000 ................
  0x004007f8 6d6b6469 72202d70 202d2d20 27257327 mkdir -p -- '%s'
  0x00400808 0025732f 746d702e 58585858 58585858 .%s/tmp.XXXXXXXX
  0x00400818 585800                              XX.

readelf -h exe_file ELF हेडर की जानकारी मिलती है

$ readelf -h exe_file   
ELF Header:  
  Magic:   7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00   
  Class:                             ELF64  
  Data:                              2's complement, little endian  
  Version:                           1 (current)  
  OS/ABI:                            UNIX - System V  
  ABI Version:                       0  
  Type:                              EXEC (Executable file)  
  Machine:                           Advanced Micro Devices X86-64  
  Version:                           0x1  
  Entry point address:               0x400540  
  Start of program headers:          64 (bytes into file)  
  Start of section headers:          3072 (bytes into file)  
  Flags:                             0x0  
  Size of this header:               64 (bytes)  
  Size of program headers:           56 (bytes)  
  Number of program headers:         8  
  Size of section headers:           64 (bytes)  
  Number of section headers:         30  
  Section header string table index: 27  

readelf -s exe_file प्रतीकों को प्रदर्शित करता है

$ readelf -s exe_file 

Symbol table '.dynsym' contains 9 entries:  
   Num:    Value          Size Type    Bind   Vis      Ndx Name  
     0: 0000000000000000     0 NOTYPE  LOCAL  DEFAULT  UND   
     1: 0000000000000000     0 NOTYPE  WEAK   DEFAULT  UND __gmon_start__  
     2: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND __libc_start_main@GLIBC_2.2.5 (2)  
     3: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND system@GLIBC_2.2.5 (2)  
     4: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND sprintf@GLIBC_2.2.5 (2)  
     5: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND mkstemp@GLIBC_2.2.5 (2)  
     6: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND srand@GLIBC_2.2.5 (2)  
     7: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND rand@GLIBC_2.2.5 (2)  
     8: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND time@GLIBC_2.2.5 (2)  

Symbol table '.symtab' contains 69 entries:  
   Num:    Value          Size Type    Bind   Vis      Ndx Name  
     0: 0000000000000000     0 NOTYPE  LOCAL  DEFAULT  UND   
     1: 0000000000400200     0 SECTION LOCAL  DEFAULT    1   
     2: 000000000040021c     0 SECTION LOCAL  DEFAULT    2   
     3: 000000000040023c     0 SECTION LOCAL  DEFAULT    3   
     4: 0000000000400260     0 SECTION LOCAL  DEFAULT    4   
     5: 0000000000400280     0 SECTION LOCAL  DEFAULT    5   
     6: 0000000000400358     0 SECTION LOCAL  DEFAULT    6   
     7: 00000000004003b2     0 SECTION LOCAL  DEFAULT    7   
     8: 00000000004003c8     0 SECTION LOCAL  DEFAULT    8   
     9: 00000000004003e8     0 SECTION LOCAL  DEFAULT    9   
    10: 0000000000400400     0 SECTION LOCAL  DEFAULT   10   
    11: 00000000004004a8     0 SECTION LOCAL  DEFAULT   11   
    12: 00000000004004c0     0 SECTION LOCAL  DEFAULT   12   
    13: 0000000000400540     0 SECTION LOCAL  DEFAULT   13   
    14: 00000000004007d8     0 SECTION LOCAL  DEFAULT   14   
    15: 00000000004007e8     0 SECTION LOCAL  DEFAULT   15   
    16: 000000000040081c     0 SECTION LOCAL  DEFAULT   16   
    17: 0000000000400840     0 SECTION LOCAL  DEFAULT   17   
    18: 00000000006008c0     0 SECTION LOCAL  DEFAULT   18   
    19: 00000000006008d0     0 SECTION LOCAL  DEFAULT   19   
    20: 00000000006008e0     0 SECTION LOCAL  DEFAULT   20   
    21: 00000000006008e8     0 SECTION LOCAL  DEFAULT   21   
    22: 0000000000600a78     0 SECTION LOCAL  DEFAULT   22   
    23: 0000000000600a80     0 SECTION LOCAL  DEFAULT   23   
    24: 0000000000600ad0     0 SECTION LOCAL  DEFAULT   24   
    25: 0000000000600ad8     0 SECTION LOCAL  DEFAULT   25   
    26: 0000000000000000     0 SECTION LOCAL  DEFAULT   26   
    27: 000000000040056c     0 FUNC    LOCAL  DEFAULT   13 call_gmon_start  
    28: 0000000000000000     0 FILE    LOCAL  DEFAULT  ABS crtstuff.c  
    29: 00000000006008c0     0 OBJECT  LOCAL  DEFAULT   18 __CTOR_LIST__  
    30: 00000000006008d0     0 OBJECT  LOCAL  DEFAULT   19 __DTOR_LIST__  
    31: 00000000006008e0     0 OBJECT  LOCAL  DEFAULT   20 __JCR_LIST__  
    32: 0000000000400590     0 FUNC    LOCAL  DEFAULT   13 __do_global_dtors_aux  
    33: 0000000000600ad8     1 OBJECT  LOCAL  DEFAULT   25 completed.6349  
    34: 0000000000600ae0     8 OBJECT  LOCAL  DEFAULT   25 dtor_idx.6351  
    35: 0000000000400600     0 FUNC    LOCAL  DEFAULT   13 frame_dummy  
    36: 0000000000000000     0 FILE    LOCAL  DEFAULT  ABS crtstuff.c  
    37: 00000000006008c8     0 OBJECT  LOCAL  DEFAULT   18 __CTOR_END__  
    38: 00000000004008b8     0 OBJECT  LOCAL  DEFAULT   17 __FRAME_END__  
    39: 00000000006008e0     0 OBJECT  LOCAL  DEFAULT   20 __JCR_END__  
    40: 00000000004007a0     0 FUNC    LOCAL  DEFAULT   13 __do_global_ctors_aux  
    41: 0000000000000000     0 FILE    LOCAL  DEFAULT  ABS    exe_file.c  
    42: 0000000000600a80     0 OBJECT  LOCAL  DEFAULT   23 _GLOBAL_OFFSET_TABLE_  
    43: 00000000006008bc     0 NOTYPE  LOCAL  DEFAULT   18 __init_array_end  
    44: 00000000006008bc     0 NOTYPE  LOCAL  DEFAULT   18 __init_array_start  
    45: 00000000006008e8     0 OBJECT  LOCAL  DEFAULT   21 _DYNAMIC  
    46: 0000000000600ad0     0 NOTYPE  WEAK   DEFAULT   24 data_start  
    47: 0000000000400700     2 FUNC    GLOBAL DEFAULT   13 __libc_csu_fini  
    48: 0000000000400540     0 FUNC    GLOBAL DEFAULT   13 _start  
    49: 0000000000000000     0 NOTYPE  WEAK   DEFAULT  UND __gmon_start__  
    50: 0000000000000000     0 NOTYPE  WEAK   DEFAULT  UND _Jv_RegisterClasses  
    51: 00000000004007d8     0 FUNC    GLOBAL DEFAULT   14 _fini  
    52: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND __libc_start_main@@GLIBC_  
    53: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND system@@GLIBC_2.2.5  
    54: 00000000004007e8     4 OBJECT  GLOBAL DEFAULT   15 _IO_stdin_used  
    55: 0000000000600ad0     0 NOTYPE  GLOBAL DEFAULT   24 __data_start  
    56: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND sprintf@@GLIBC_2.2.5  
    57: 00000000004007f0     0 OBJECT  GLOBAL HIDDEN    15 __dso_handle  
    58: 00000000006008d8     0 OBJECT  GLOBAL HIDDEN    19 __DTOR_END__  
    59: 0000000000400710   137 FUNC    GLOBAL DEFAULT   13 __libc_csu_init  
    60: 0000000000600ad4     0 NOTYPE  GLOBAL DEFAULT  ABS __bss_start  
    61: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND mkstemp@@GLIBC_2.2.5  
    62: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND srand@@GLIBC_2.2.5  
    63: 0000000000600ae8     0 NOTYPE  GLOBAL DEFAULT  ABS _end  
    64: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND rand@@GLIBC_2.2.5  
    65: 0000000000600ad4     0 NOTYPE  GLOBAL DEFAULT  ABS _edata  
    66: 0000000000000000     0 FUNC    GLOBAL DEFAULT  UND time@@GLIBC_2.2.5  
    67: 0000000000400624   207 FUNC    GLOBAL DEFAULT   13 main  
    68: 00000000004004a8     0 FUNC    GLOBAL DEFAULT   11 _init  

readelfएक या अधिक ईएलएफ प्रारूप ऑब्जेक्ट फ़ाइलों के बारे में जानकारी प्रदर्शित करता है। विकल्प यह प्रदर्शित करते हैं कि कौन सी विशेष जानकारी प्रदर्शित की जाए।

elffile ... जांच की जाने वाली वस्तु फ़ाइलें हैं। 32-बिट और 64-बिट ईएलएफ फ़ाइलों का समर्थन किया जाता है, क्योंकि ईएलएफ फ़ाइलों वाले अभिलेखागार हैं।

nm exe_file ऑब्जेक्ट तालिका से प्रतीकों को सूचीबद्ध करता है:

$ nm exe_file   
0000000000600ad4 A __bss_start  
000000000040056c t call_gmon_start  
0000000000600ad8 b completed.6349  
00000000006008c8 d __CTOR_END__  
00000000006008c0 d __CTOR_LIST__  
0000000000600ad0 D __data_start  
0000000000600ad0 W data_start  
00000000004007a0 t __do_global_ctors_aux  
0000000000400590 t __do_global_dtors_aux  
00000000004007f0 R __dso_handle  
00000000006008d8 D __DTOR_END__  
0000000000600ae0 b dtor_idx.6351  
00000000006008d0 d __DTOR_LIST__  
00000000006008e8 d _DYNAMIC  
0000000000600ad4 A _edata  
0000000000600ae8 A _end  
00000000004007d8 T _fini  
0000000000400600 t frame_dummy  
00000000004008b8 r __FRAME_END__  
0000000000600a80 d _GLOBAL_OFFSET_TABLE_  
                 w __gmon_start__  
00000000004004a8 T _init  
00000000006008bc d __init_array_end  
00000000006008bc d __init_array_start  
00000000004007e8 R _IO_stdin_used  
00000000006008e0 d __JCR_END__  
00000000006008e0 d __JCR_LIST__  
                 w _Jv_RegisterClasses  
0000000000400700 T __libc_csu_fini  
0000000000400710 T __libc_csu_init  
                 U __libc_start_main@@GLIBC_2.2.5  
0000000000400624 T main  
                 U mkstemp@@GLIBC_2.2.5  
                 U rand@@GLIBC_2.2.5  
                 U sprintf@@GLIBC_2.2.5  
                 U srand@@GLIBC_2.2.5  
0000000000400540 T _start  
                 U system@@GLIBC_2.2.5  
                 U time@@GLIBC_2.2.5  

nm ऑब्जेक्ट फ़ाइलों से प्रतीकों को सूचीबद्ध करता है objfile .... यदि कोई ऑब्जेक्ट फ़ाइलों को तर्क के रूप में सूचीबद्ध नहीं किया गया है, तो nm फ़ाइल को मान लेता है।

बाइनरी को डिसाइड करने के अलावा objdump, एक डिकम्पॉइलर का भी उपयोग किया जा सकता है।

विघटित करने के लिए, हाल ही में मैंने एक तकनीकी चुनौती की, जहां मुझे दो छोटे 64-बिट लिनेक्स बायनेरिज़ को विघटित करने की आवश्यकता थी।

मैंने बूमरैंग और स्नोमैन का उपयोग करने की कोशिश की। बुमेरांग परियोजना को छोड़ दिया गया लगता है, और मैं उन दोनों की सीमाओं से प्रभावित नहीं था। कई अन्य विकल्प, या तो खुला स्रोत / फ्रीवेयर / पुराना, जिसमें हाल ही में अवास्ट द्वारा जारी किया गया था, केवल 32 बिट बायनेरिज़ को विघटित करता है।

मैंने MacOS में हॉपर के डेमो की कोशिश करना समाप्त कर दिया (इसमें लिनक्स संस्करण भी है)।

हॉपर डिस्सेम्बलर, रिवर्स इंजीनियरिंग टूल जो आपको अपने अनुप्रयोगों को जुदा, विघटित और डीबग करने देता है।

ओएस / एक्स, लिनक्स और विंडोज के लिए 32 या 64 बिट्स बायनेरिज़ को हूपर डिस्सेम्बल और डिकंपाइल करता है। यह लाइसेंस होने पर बड़े बायनेरिज़ से निपटने में सक्षम है।

यह / प्रोग्राम संरचना और चर के कार्यों के प्रवाह के ग्राफ भी बनाता है।

इसे सक्रिय रूप से बनाए रखा और अद्यतन किया जा रहा है। हालाँकि यह कमर्शियल है।

मुझे इसका उपयोग करने में बहुत मज़ा आया और इसके परिणामस्वरूप आउटपुट ने लाइसेंस खरीदा। लाइसेंस लंबे शॉट द्वारा हेक्स-किरणों की तुलना में कहीं अधिक सस्ती है।

इस उत्तर की टिप्पणियों में, @ d33tah और @Josh ने एक खुले स्रोत के विकल्प के रूप में भी उल्लेख किया है radare2 और इसी ग्राफिकल इंटरफ़ेस कटर लिनक्स में हूपर के समान है, व्यक्तिगत रूप से इसके लिए वाउचर नहीं कर सकते क्योंकि मैं उनका उपयोग नहीं करता।

इसके अलावा, चूंकि लक्ष्य बाइनरी को डिबग जानकारी के साथ संकलित किया गया था, इसलिए आप फ़ंक्शन और चर का मूल नाम वापस प्राप्त कर सकते हैं।

विशेष रूप से, आप कभी भी स्रोत कोड में टिप्पणियों को वापस नहीं लेंगे क्योंकि वे किसी भी तरह से द्विआधारी निष्पादन योग्य में संकलित नहीं हैं।

आउटपुट स्रोत की गुणवत्ता में सुधार, और बाइनरी की समझ हमेशा कुछ समय और जासूसी का काम करेगी। Decompilers केवल इतना काम करते हैं।

डिबग जानकारी के बिना हॉपर आउटपुट का उदाहरण:

int EntryPoint(int arg0, int arg1, int arg2) {
    rdx = arg2;
    rbx = arg1;
    r12 = arg0;
    if (r12 <= 0x1) goto loc_100000bdf;

loc_10000093c:
    r15 = *(rbx + 0x8);
    if (strcmp(r15, "-l") == 0x0) goto loc_1000009c2;

loc_100000953:
    if (strcmp(r15, "-s") == 0x0) goto loc_100000a45;

हॉपर ग्राफिकल इंटरफ़ेस भी प्रयोग करने योग्य है (इस चित्र पर एक ही समय में विस्तारित कई कार्यक्षमताएं):

यहाँ छवि विवरण दर्ज करें

संबंधित प्रश्न भी देखें कि सत्य और असत्य इतने बड़े क्यों हैं?


1
strace -fबच्चे के धागे / प्रक्रियाओं को ट्रेस करना न भूलें । वहाँ विकल्प प्रत्येक पीआईडी के लिए अलग फ़ाइलों में विभाजित करने के लिए उत्पादन कर रहे हैं, या आप बस कर सकते हैं /12345 में lessके लिए खोज और लाइनों है कि पीआईडी आप में रुचि रखते हैं के साथ शुरू पर प्रकाश डाला। बातें भी एक साथ गड़बड़ नहीं कर रहे हैं (उदाहरण के लिए खोल स्क्रिप्ट अन्य शुरू करने प्रक्रियाओं, समवर्ती धागे नहीं), यह प्रयोग करने योग्य हो सकता है। लेकिन हाँ, यह देखने के लिए बेहद उपयोगी है कि कौन सी कॉन्फिगर / अन्य फाइलें कुछ भ्रमित करने वाले सॉफ़्टवेयर को पढ़ने की कोशिश कर रही हैं, जब यह पता लगाने की कोशिश की जा रही है कि यह आपके द्वारा इंस्टॉल किए गए तरीके से खुश क्यों नहीं है।
पीटर कॉर्डेस

4
बहुत बढ़िया जवाब! मैं सिर्फ radare2सूची में जोड़ दूंगा।
d33tah

2
कटर रडार जी 2 के आसपास एक जीयूआई आवरण है, ऐसा लगता है कि यह हॉपर (लेकिन मुफ्त) के समान हो सकता है।
जोश

2
wrt ldd: इस बात से अवगत रहें कि कुछ परिस्थितियों में (उदाहरण के लिए, जहाँ प्रोग्राम ld-linux.so के अलावा एक ELF दुभाषिया निर्दिष्ट करता है), ldd के कुछ संस्करण प्रोग्राम को सीधे निष्पादित करने का प्रयास करके निर्भरता की जानकारी प्राप्त करने का प्रयास कर सकते हैं (जो नेतृत्व कर सकते हैं) प्रोग्राम के ELF दुभाषिया में और जो भी कोड को परिभाषित किया गया है, उसे निष्पादित करने के लिए, और शायद कार्यक्रम के निष्पादन के लिए भी)। इस प्रकार, आपको कभी भी एक अविश्वसनीय निष्पादन योग्य पर काम नहीं करना चाहिए, क्योंकि इससे मनमाने कोड का निष्पादन हो सकता है। अविश्वसनीय निष्पादनों से निपटने के लिए एक सुरक्षित विकल्प है:
प्रिएफ्टन

2
$ objdump -p / path / to / program | grep की आवश्यकता है
Pryftan
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.