การปรับปรุงไบนารีด้วย dd

ฉันได้อ่านคำพูดนี้ (ด้านล่าง) หลายครั้งล่าสุดที่นี่และฉันประหลาดใจอย่างต่อเนื่องว่าddจะใช้ในการแก้ไขสิ่งใดให้คอมไพเลอร์:

ระบบ Unix ที่ฉันใช้ที่โรงเรียนเมื่อ 30 ปีก่อนมีข้อ จำกัด ในเรื่อง RAM และพื้นที่ดิสก์ โดยเฉพาะอย่างยิ่ง/usr/tmpระบบไฟล์มีขนาดเล็กมากซึ่งนำไปสู่ปัญหาเมื่อมีคนพยายามรวบรวมโปรแกรมขนาดใหญ่ แน่นอนว่านักเรียนไม่ควรเขียน "โปรแกรมขนาดใหญ่" อยู่ดี โปรแกรมขนาดใหญ่มักจะคัดลอกซอร์สโค้ดจาก "ที่ไหนสักแห่ง" พวกเราหลายคนคัดลอก/usr/bin/ccไปยัง/home/<myname>/ccและใช้ddเพื่อแก้ไขไบนารีเพื่อใช้/tmpแทน/usr/tmpซึ่งใหญ่กว่า แน่นอนว่าสิ่งนี้ทำให้ปัญหาแย่ลง - พื้นที่ดิสก์ที่ครอบครองโดยสำเนาเหล่านี้มีความสำคัญในปัจจุบันและ/tmpเต็มไปด้วยสิ่งนี้เป็นประจำทำให้ผู้ใช้รายอื่นไม่สามารถแก้ไขไฟล์ได้ หลังจากที่พวกเขาพบว่าเกิดอะไรขึ้นผู้ดูแลระบบก็ทำchmod go-r /bin/* /usr/bin/* ซึ่ง "แก้ไข" ปัญหาและลบสำเนาของคอมไพเลอร์ C ทั้งหมดของเรา

(เหมืองเน้น)

ddคนหน้าไม่พูดอะไรเกี่ยวกับปะและไม่คิดว่ามันอาจจะเป็นใหม่วัตถุประสงค์ที่จะทำต่อไปนี้

ไบนารีสามารถได้รับการแก้ไขด้วยddหรือไม่ มีความสำคัญทางประวัติศาสตร์ในเรื่องนี้หรือไม่?

มาลองดูกัน. นี่คือโปรแกรม C เล็กน้อย:

#include <stdio.h>
int main(int argc, char **argv) {
    puts("/usr/tmp");
}

เราจะสร้างสิ่งต่อไปนี้test:

$ cc -o test test.c

ถ้าเราเรียกใช้มันจะพิมพ์ "/ usr / tmp"

ลองหาว่า "" อยู่ที่ไหน/usr/tmpในไบนารี:

$ strings -t d test | grep /usr/tmp
1460 /usr/tmp

-t d พิมพ์ออฟเซ็ตเป็นทศนิยมลงในไฟล์ของแต่ละสตริงที่พบ

ตอนนี้ให้สร้างไฟล์ชั่วคราวโดยมีเพียง " /tmp\0":

$ printf "/tmp\x00" > tmp

ตอนนี้เรามีไบนารี่เรารู้ว่าสตริงที่เราต้องการเปลี่ยนคืออะไรและเรามีไฟล์ที่มีสตริงแทนที่อยู่

ตอนนี้เราสามารถใช้dd:

$ dd if=tmp of=test obs=1 seek=1460 conv=notrunc

สิ่งนี้อ่านข้อมูลจากtmp( /tmp\0ไฟล์ " " ของเรา) เขียนลงในไบนารี่ของเราโดยใช้ขนาดบล็อกออก 1 ไบต์ข้ามไปยังออฟเซ็ตที่เราพบก่อนหน้านี้ก่อนที่จะเขียนอะไรและไม่ตัดทอนไฟล์เมื่อทำเสร็จ

เราสามารถเรียกใช้ไฟล์ปฏิบัติการที่ถูกแก้ไขได้:

$ ./test
/tmp

สตริงตัวอักษรที่โปรแกรมพิมพ์มีการเปลี่ยนแปลงดังนั้นตอนนี้จึงมี " /tmp\0tmp\0" แต่ฟังก์ชั่นสตริงจะหยุดทันทีที่เห็นไบต์แรก การแพตช์นี้อนุญาตให้ทำให้สตริงสั้นลงหรือยาวเท่ากันและไม่นาน แต่ก็เพียงพอสำหรับวัตถุประสงค์เหล่านี้

ดังนั้นไม่เพียง แต่เราสามารถแก้ไขสิ่งต่าง ๆ โดยใช้ddเราเพิ่งทำมัน

มันขึ้นอยู่กับสิ่งที่คุณหมายถึงโดย "แก้ไขไบนารี"

ddบางครั้งฉันก็เปลี่ยนไบนารีโดยใช้ แน่นอนว่าไม่มีคุณสมบัติดังกล่าวddแต่สามารถเปิดไฟล์และอ่านและเขียนสิ่งต่าง ๆ ในออฟเซ็ตเฉพาะดังนั้นหากคุณรู้ว่าจะเขียนตำแหน่งไหน voila จะมีแพตช์ของคุณ

ตัวอย่างเช่นฉันมีไบนารีนี้ที่มีข้อมูล PNG บางส่วน ใช้binwalkเพื่อค้นหาออฟเซ็ตddเพื่อแยกมัน (โดยปกติ binwalk จะแยกสิ่งต่าง ๆ แต่สำเนาของฉันเป็น buggy) แก้ไขด้วยgimpตรวจสอบให้แน่ใจว่าไฟล์ที่แก้ไขมีขนาดเดียวกันหรือเล็กกว่าเดิม (เปลี่ยนออฟเซ็ตไม่ใช่สิ่งที่คุณทำได้ง่ายๆ ) จากนั้นใช้ddเพื่อทำให้ภาพที่ถูกเปลี่ยนกลับมาอยู่กับที่

$ binwalk thebinary
[…]
4194643    0x400153     PNG image, 800 x 160, 8-bit/color RGB, non-interlaced
[…]
$ dd if=nickel bs=1 skip=4194641 count=2 conv=swab | od -i
21869 # file size in this case - depends on the binary format
$ dd if=thebinary bs=1 skip=4194643 count=21869 of=theimage.png
$ gimp theimage.png
$ pngcrush myimage.png myimage.crush.png
# make sure myimage.crush.png is smaller than the original
$ dd if=myimage.crush.png of=thebinary bs=1 seek=4194643 conv=notrunc

บางครั้งฉันต้องการแทนที่สตริงในไบนารี (เช่นพา ธ หรือชื่อตัวแปร) ในขณะนี้ยังสามารถทำได้โดยใช้มันเป็นง่ายที่จะทำได้โดยใช้dd sedคุณต้องตรวจสอบให้แน่ใจว่าสตริงที่คุณแทนที่มีความยาวเท่ากับสตริงเดิมดังนั้นคุณจึงไม่ต้องเปลี่ยนออฟเซ็ต

sed -e s@/the/old/save/path@/the/new/save/path@ -i thebinary

หรือรับตัวอย่าง @ MichaelHomer พร้อมกับเพิ่ม 0 ไบต์ใน:

sed -e 's@/usr/tmp@/tmp\x00tmp@' -i test

แน่นอนคุณต้องตรวจสอบว่ามันใช้งานได้จริงในภายหลัง