zoukankan      html  css  js  c++  java
  • 转: 关于Linux常用的二进制文件分析方法

    当你在unix下拿到一个二进制文件但不知道它是什么的时候,可以通过以下方法得到一此提示

    1、 最首先应该尝试strings命令,比如拿到一个叫cr1的二进制文件,可以:

      $ strings cr1 | more

      里面可能会有一些对于这个cr1的描述,这些信息都是编译之后在程序中留下的一些文本性的说明,所以可能会告诉你这个文件是什么.

      比如有输出:

      $ strings cr1 | more
      %s %s %s%s%s -> %s%s%s (%.*s)
      Version: 2.3
      Usage: dsniff [-cdmn] [-i interface] [-s snaplen] [-f services]
      [-t trigger[,...]] [-r|-w savefile] [expression]
      ...
      /usr/local/lib/dsniff.magic
      /usr/local/lib/dsniff.services
      ...

      那么我们就可以知道,其实 cr1就是dsniff命令.

      2、 如果这样的方法没有帮助你的话,那么你可以尝试:

      $ /usr/ccs/bin/nm -p cr1 | more

      比如说得到如下输出:

      cr1:
      [Index] Value Size Type Bind Other Shndx Name
      [180] |0 | 0| FILE | LOCL | 0 |ABS | decode_smtp.c
      [2198] |160348| 320| FUNC | GLOB | 0 | 9 | decode_sniffer

      这些都是生成这个二进制文件的obj文件的文件名称,这些名称会告诉你这个二进制文件的作用的.

      同样,如果希望查看二进制文件调用到的静态库文件都有哪些的话,可以使用nm -Du cr1来实现.

      3、 当然我们也可以通过使用dump命令来得到任何一个二进制文件的选定部分信息

      $ /usr/ccs/bin/dump -c ./cr1 | more

      dump命令的参数说明:

      -c Dump出字符串表

      -C Dump出C++符号表

      -D Dump出调试信息

      -f Dump出每个文件的头

      -h Dump出section的头

      -l Dump出行号信息

      -L Dump出动态与静态链接库部分内容

      -o Dump出每个程序的可执行头

      -r Dump出重定位信息

      -s 用十六进制信息Dump出section的内容

      -t Dump符号表.

      4、 可以使用file命令得到二进制文件的信息

      $ file cr1

      5、 如果还是不清楚的话,那么我们可以使用ldd命令

      $ ldd cr1

      比如说输出为:
      ...
      libsocket.so.1 => /usr/lib/libsocket.so.1
      librpcsvc.so.1 => /usr/lib/librpcsvc.so.1
      ...

      那么我们就可以知道这个程序与网络库相关,我们就可以知道它的大概功能了.

      我们也可以能过adb命令来得到一个二进制文件的执行过程.

      比如说:
      $ adb cr1
      :r
      Using device /dev/hme0 (promiscuous mode)
      192.168.2.119 -> web TCP D=22 S=1111 Ack=2013255208
      Seq=1407308568 Len=0 Win=17520
      web -> 192.168.2.119 TCP D=1111 S=22 Push Ack=1407308568

      我们知道这个程序是一个sniffer.

      6、 如果你确定要运行这个程序的话,你可以先通过:

    $ truss -f -o cr.out ./cr1
    listening on hme0
    ^C
    $

      truss命令可以帮你打开系统的信号与调用输出.你就可以知道这个程序到底干了什么.

      有了上面这些工具的话,我们就可以大概了解到一个未知的二进制程序到底是干什么的.

      最后提示大家,运行不了解的二进制程序有严重的安全问题,请大家小心.

  • 相关阅读:
    SEO值得学习建议
    ClientValidationFunction
    readystate的五种状态
    XMLHTTP对象参考
    Provider详解
    有缺点,向左走向右走
    DotNetBar 6.6.0.4 for Vs2005 (+特殊补丁)
    [无敌]一些web开发中常用的、做成cs文件的js代码 转帖来的
    AjaxPro.NET框架生成高效率的Tree(Asp.net 2.0)(示例代码下载)
    Vista 下使用Visual Studio 2005 开发Oracle 方面程序出现的数据连结问题及解决方案
  • 原文地址:https://www.cnblogs.com/dancheblog/p/3898933.html
Copyright © 2011-2022 走看看