Chinaunix首页 | 论坛 | 博客
  • 博客访问: 370598
  • 博文数量: 83
  • 博客积分: 2213
  • 博客等级: 大尉
  • 技术积分: 835
  • 用 户 组: 普通用户
  • 注册时间: 2006-03-16 20:26
文章分类

全部博文(83)

文章存档

2015年(1)

2012年(1)

2011年(14)

2007年(20)

2006年(47)

我的朋友

分类: LINUX

2006-03-24 16:05:47

如何分析一个未知二进制文件

当你在unix下拿到一个二进制文件但不知道它是什么的时候,可以通过以下方法得到一此提示

1. 最首先应该尝试strings命令,比如拿到一个叫cr1的二进制文件,可以:
$ strings cr1 | more
里面可能会有一些对于这个cr1的描述,这些信息都是编译之后在程序中留下的一些文本性的说明,所以可能会告诉你这个文件是什么.
比如有输出:
$ strings cr1 | more
                                     
%s %s %s%s%s -> %s%s%s (%.*s)                                    
Version: 2.3                                                    
Usage: dsniff [-cdmn] [-i interface] [-s snaplen] [-f services]  
             [-t trigger[,...]] [-r|-w savefile] [expression]  
...
/usr/local/lib/dsniff.magic                                      
/usr/local/lib/dsniff.services
...

那么我们就可以知道,其实 cr1就是dsniff命令.

2. 如果这样的方法没有帮助你的话,那么你可以尝试:
$ /usr/ccs/bin/nm -p cr1 | more
比如说得到如下输出:
cr1:                                                          
                                                           
[Index]   Value    Size  Type    Bind  Other   Shndx       Name  
[180]     |0     |    0| FILE |  LOCL | 0     |ABS |       decode_smtp.c      
[2198]    |160348|  320| FUNC |  GLOB | 0     | 9  |       decode_sniffer  
 

这些都是生成这个二进制文件的obj文件的文件名称,这些名称会告诉你这个二进制文件的作用的.

同样,如果希望查看二进制文件调用到的静态库文件都有哪些的话,可以使用nm -Du cr1来实现.

3. 当然我们也可以通过使用dump命令来得到任何一个二进制文件的选定部分信息
$ /usr/ccs/bin/dump -c ./cr1 | more
dump命令的参数说明:
-c        Dump出字符串表
-C       Dump出C++符号表
-D       Dump出调试信息
-f        Dump出每个文件的头
-h       Dump出section的头
-l        Dump出行号信息
-L       Dump出动态与静态链接库部分内容
-o       Dump出每个程序的可执行头
-r        Dump出重定位信息
-s       用十六进制信息Dump出section的内容
-t       Dump符号表.

4. 可以使用file命令得到二进制文件的信息
$ file cr1

5. 如果还是不清楚的话,那么我们可以使用ldd命令
$ ldd cr1
比如说输出为:
...
libsocket.so.1 =>       /usr/lib/libsocket.so.1
librpcsvc.so.1 =>       /usr/lib/librpcsvc.so.1
...

那么我们就可以知道这个程序与网络库相关,我们就可以知道它的大概功能了.

我们也可以能过adb命令来得到一个二进制文件的执行过程.
比如说:
$ adb cr1
:r
Using device /dev/hme0 (promiscuous mode)
192.168.2.119 -> web      TCP D=22 S=1111 Ack=2013255208
Seq=1407308568 Len=0 Win=17520
    web -> 192.168.2.119 TCP D=1111 S=22 Push Ack=1407308568

我们知道这个程序是一个sniffer.

6. 如果你确定要运行这个程序的话,你可以先通过:
$ truss -f -o cr.out ./cr1
listening on hme0
^C
$

truss命令可以帮你打开系统的信号与调用输出.你就可以知道这个程序到底干了什么.

有了上面这些工具的话,我们就可以大概了解到一个未知的二进制程序到底是干什么的.

最后提示大家,运行不了解的二进制程序有严重的安全问题,请大家小心.
阅读(2372) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~