มีโอกาสบ้างไหมที่จะรู้วิธีสร้างไบนารีภายใต้ Linux? (และหรือ Unix อื่น ๆ )
คอมไพเลอร์, รุ่น, เวลา, ตั้งค่าสถานะ ฯลฯ ...
ฉันดูreadelfและไม่พบอะไรมาก แต่อาจมีวิธีอื่นในการวิเคราะห์รหัสไบนารี / ส่วน ฯลฯ ...
สิ่งใดที่คุณรู้วิธีการแยก?
มีโอกาสบ้างไหมที่จะรู้วิธีสร้างไบนารีภายใต้ Linux? (และหรือ Unix อื่น ๆ )
คอมไพเลอร์, รุ่น, เวลา, ตั้งค่าสถานะ ฯลฯ ...
ฉันดูreadelfและไม่พบอะไรมาก แต่อาจมีวิธีอื่นในการวิเคราะห์รหัสไบนารี / ส่วน ฯลฯ ...
สิ่งใดที่คุณรู้วิธีการแยก?
คำตอบ:
ไม่มีวิธีสากล แต่คุณสามารถคาดเดาการศึกษาโดยการค้นหาสิ่งที่ทำโดยคอมไพเลอร์เดียวเท่านั้น
GCC เป็นวิธีที่ง่ายที่สุด มันเขียน.commentส่วนที่มีสตริงเวอร์ชัน GCC (สตริงเดียวกับที่คุณได้รับหากคุณเรียกใช้gcc --version) ฉันไม่ทราบว่ามีวิธีแสดงด้วยreadelfหรือไม่ แต่มีobjdump:
objdump -s --section .comment /path/binary
ฉันเพิ่งรู้ว่าฉันไม่สนใจคำถามที่เหลือของคุณ โดยทั่วไปแล้วการตั้งค่าสถานะจะไม่ถูกบันทึกทุกที่ พวกเขาจะอยู่ในส่วนความคิดเห็นส่วนใหญ่ แต่ฉันไม่เคยเห็นที่ทำ มีจุดในส่วนหัว COFF สำหรับการประทับเวลา แต่ไม่มีอะไรเทียบเท่าใน ELF ดังนั้นฉันไม่คิดว่าเวลาการคอมไพล์จะมีให้เช่นกัน
คุณสามารถลองใช้stringsคำสั่ง มันจะสร้างข้อความจำนวนมาก โดยตรวจสอบว่าคุณอาจเดาคอมไพเลอร์
pubuntu@pubuntu:~$ strings -a a.out |grep -i gcc
GCC: (Ubuntu 4.4.3-4ubuntu5) 4.4.3
ที่นี่ฉันรู้ว่ามันรวบรวมด้วยgccแต่คุณสามารถเปลี่ยนเส้นทางการstringsส่งออกไปยังไฟล์และตรวจสอบได้เสมอ
มียูทิลิตี้ที่ดีมากตัวหนึ่งที่เรียกว่าpeidสำหรับ Windows แต่ฉันไม่สามารถหาทางเลือกอื่นบน Linux ได้
มีสองวิธี ทั้งสองจะให้ผลลัพธ์เดียวกัน
objdump -s --section .comment path/to/binary
ใช้คำสั่ง readelf readelf -S binary จะแสดงส่วนหัว 40 ในไบนารี จดบันทึกหมายเลขซีเรียลของ .comment ส่วนหัว ในระบบของฉันมันแสดงให้เห็นว่า 27 (อาจแตกต่างกันสำหรับกรณีของคุณ)
readelf -x 30 path/to/binary -> ซึ่งจะแสดง Hex dump ของหัวข้อ '.comment' ในการถ่ายโอนข้อมูลนั้นคุณสามารถดูคอมไพเลอร์ที่ใช้สำหรับการสร้างไบนารี
readelf หรือ objdump ทั้งสองสามารถทำได้
ไฟล์ ELF ที่คอมไพล์โดย gcc จะเพิ่ม. note.ABI-tag และ .note.gnu.build-id สองส่วน ทั้งสองสามารถแสดงโดย
objdump -sj .note.ABI-tag ELFFILE
objdump -sj .note.gnu-build-id ELFFILE
ตัวเลือก "s" หมายถึงแสดงเนื้อหาแบบเต็ม "j" เพื่อระบุชื่อส่วน สไตล์นี้รับเนื้อหาฐานสิบหกของส่วนนั้น
readelf -n
จะแสดงเนื้อหาของ ELFFILE ที่มนุษย์อ่านได้หนึ่งครั้ง ตัวเลือก "n" หมายถึงหมายเหตุ
เลือกหนึ่งอย่างตามใจชอบ
โดยวิธีการใช้ objcopy คุณสามารถเพิ่มส่วนของคุณเองในไฟล์เอลฟ์
readelf -nทำงานให้ฉัน - ตัวอย่างผลลัพธ์:Displaying notes found in: .note.gnu.build-id Owner Data size Description GNU 0x00000014 NT_GNU_BUILD_ID (unique build ID bitstring) Build ID: b88bae04e9043b71b329bac0ce2a2e5314183272
คุณยังสามารถใช้สคริปต์ที่ฉลาดนี้ซึ่งนับจำนวนคำสั่ง CPU ต่างๆที่ใช้โดยไบนารี มันขึ้นอยู่กับการแยกวิเคราะห์เอาต์พุต objdump ระวังว่าอาจใช้เวลานานกว่าจะเสร็จสิ้นหากคุณใช้กับเลขฐานสองขนาดใหญ่
อาจจะคุ้มค่ากับการถ่ายภาพนำโชค บางโปรแกรมจะมีการคอมไพล์ในรูปแบบข้อมูลและสามารถเข้าถึงได้โดยการเรียกรุ่น (-V, --version, -Version, ฯลฯ ) คุณอาจพบส่วนย่อยของรายการเหล่านั้นที่คุณกำลังมองหา (รวมถึงชุดโมฆะ) นี่เป็นตัวอย่างที่มีประโยชน์อย่างยิ่ง Perl 5:
$ perl -V
Summary of my perl5 (revision 5 version 26 subversion 2) configuration:
Platform:
osname=linux
osvers=4.15.15-1-arch
archname=x86_64-linux-thread-multi
uname='linux flo-64 4.15.15-1-arch #1 smp preempt sat mar 31 23:59:25 utc 2018 x86_64 gnulinux '
config_args='-des -Dusethreads -Duseshrplib -Doptimize=-march=x86-64 -mtune=generic -O2 -pipe -fstack-protector-strong -fno-plt -Dprefix=/usr -Dvendorprefix=/usr -Dprivlib=/usr/share/perl5/core_perl -Darchlib=/usr/lib/perl5/5.26/core_perl -Dsitelib=/usr/share/perl5/site_perl -Dsitearch=/usr/lib/perl5/5.26/site_perl -Dvendorlib=/usr/share/perl5/vendor_perl -Dvendorarch=/usr/lib/perl5/5.26/vendor_perl -Dscriptdir=/usr/bin/core_perl -Dsitescript=/usr/bin/site_perl -Dvendorscript=/usr/bin/vendor_perl -Dinc_version_list=none -Dman1ext=1perl -Dman3ext=3perl -Dcccdlflags='-fPIC' -Dlddlflags=-shared -Wl,-O1,--sort-common,--as-needed,-z,relro,-z,now -Dldflags=-Wl,-O1,--sort-common,--as-needed,-z,relro,-z,now'
hint=recommended
useposix=true
d_sigaction=define
useithreads=define
usemultiplicity=define
use64bitint=define
use64bitall=define
uselongdouble=undef
usemymalloc=n
default_inc_excludes_dot=define
bincompat5005=undef
Compiler:
cc='cc'
ccflags ='-D_REENTRANT -D_GNU_SOURCE -fwrapv -fno-strict-aliasing -pipe -fstack-protector-strong -I/usr/local/include -D_LARGEFILE_SOURCE -D_FILE_OFFSET_BITS=64 -D_FORTIFY_SOURCE=2'
optimize='-march=x86-64 -mtune=generic -O2 -pipe -fstack-protector-strong -fno-plt'
cppflags='-D_REENTRANT -D_GNU_SOURCE -fwrapv -fno-strict-aliasing -pipe -fstack-protector-strong -I/usr/local/include'
ccversion=''
gccversion='7.3.1 20180312'
gccosandvers=''
intsize=4
longsize=8
ptrsize=8
doublesize=8
byteorder=12345678
doublekind=3
d_longlong=define
longlongsize=8
d_longdbl=define
longdblsize=16
longdblkind=3
ivtype='long'
ivsize=8
nvtype='double'
nvsize=8
Off_t='off_t'
lseeksize=8
alignbytes=8
prototype=define
Linker and Libraries:
ld='cc'
ldflags ='-Wl,-O1,--sort-common,--as-needed,-z,relro,-z,now -fstack-protector-strong -L/usr/local/lib'
libpth=/usr/local/lib /usr/lib/gcc/x86_64-pc-linux-gnu/7.3.1/include-fixed /usr/lib /lib/../lib /usr/lib/../lib /lib /lib64 /usr/lib64
libs=-lpthread -lnsl -lgdbm -ldb -ldl -lm -lcrypt -lutil -lc -lgdbm_compat
perllibs=-lpthread -lnsl -ldl -lm -lcrypt -lutil -lc
libc=libc-2.26.so
so=so
useshrplib=true
libperl=libperl.so
gnulibc_version='2.26'
Dynamic Linking:
dlsrc=dl_dlopen.xs
dlext=so
d_dlsymun=undef
ccdlflags='-Wl,-E -Wl,-rpath,/usr/lib/perl5/5.26/core_perl/CORE'
cccdlflags='-fPIC'
lddlflags='-shared -Wl,-O1,--sort-common,--as-needed,-z,relro,-z,now -L/usr/local/lib -fstack-protector-strong'
Characteristics of this binary (from libperl):
Compile-time options:
HAS_TIMES
MULTIPLICITY
PERLIO_LAYERS
PERL_COPY_ON_WRITE
PERL_DONT_CREATE_GVSV
PERL_IMPLICIT_CONTEXT
PERL_MALLOC_WRAP
PERL_OP_PARENT
PERL_PRESERVE_IVUV
USE_64_BIT_ALL
USE_64_BIT_INT
USE_ITHREADS
USE_LARGE_FILES
USE_LOCALE
USE_LOCALE_COLLATE
USE_LOCALE_CTYPE
USE_LOCALE_NUMERIC
USE_LOCALE_TIME
USE_PERLIO
USE_PERL_ATOF
USE_REENTRANT_API
Built under linux
Compiled at Apr 18 2018 22:21:20
%ENV:
PERL5LIB="/home/jhuber/perl5/lib/perl5"
PERL_LOCAL_LIB_ROOT="/home/jhuber/perl5"
PERL_MB_OPT="--install_base "/home/jhuber/perl5""
PERL_MM_OPT="INSTALL_BASE=/home/jhuber/perl5"
@INC:
/home/jhuber/perl5/lib/perl5/x86_64-linux-thread-multi
/home/jhuber/perl5/lib/perl5
/usr/lib/perl5/5.26/site_perl
/usr/share/perl5/site_perl
/usr/lib/perl5/5.26/vendor_perl
/usr/share/perl5/vendor_perl
/usr/lib/perl5/5.26/core_perl
/usr/share/perl5/core_perl
หากคุณเปิดไบนารีเอลฟ์ใน 7-zip มันจะแสดงรายการส่วนต่าง ๆ ภายใน จากตรงนั้นคุณสามารถใช้ตัวเลือก View context-menu เมื่อพูดถึงส่วน ".comment" เพื่อดูความคิดเห็นของคอมไพเลอร์ (เช่น "GCC: (GNU) 4.9 20150123 (วางจำหน่ายแล้ว) Android clang เวอร์ชัน 3.8.256229 (ขึ้นอยู่กับ LLVM 3.8.256229) ")
ระวังว่าส่วน ".comment" ถ้ามีอยู่ดูเหมือนว่าเริ่มต้นด้วยอักขระ null ดังนั้นโปรดเลือกแอปพลิเคชั่นวิวเวอร์เพื่อใช้ภายใน 7-zip ที่ไม่สับสนโดยสิ่งนี้ (เช่นพยายามตีความ ข้อมูลเป็น Unicode) ส่วนอื่น ๆ ที่อาจมีอยู่และเป็นที่สนใจคือ ".note. *"
objdumpอย่างไร? มันให้ข้อมูลเพิ่มเติมหรือไม่ พร้อมใช้งานบนแพลตฟอร์มที่แตกต่างกันอย่างไร รูปแบบผลลัพธ์ที่สะอาดขึ้น?