怎么分析一个未知二进制文件
当你在unix下拿到一个二进制文件但不知道他是什么的时候,能通过以下方法得到一此提示
1. 最首先应该尝试strings命令,比如拿到一个叫cr1的二进制文件,能:
$ strings cr1 | more
里面可能会有一些对于这个cr1的描述,这些信息都是编译之后在程式中留下的一些文本性的说明,所以可能会告诉你这个文件是什么.
比如有输出:
$ strings cr1 | more
%s %s %s%s%s -> %s%s%s (%.*s)
Version: 2.3
Usage: dsniff [-cdmn] [-i interface] [-s snaplen] [-f services]
[-t trigger[,...]] [-r|-w savefile] [expression]
...
/usr/local/lib/dsniff.magic
/usr/local/lib/dsniff.services
...
那么我们就能知道,其实 cr1就是dsniff命令.
2. 如果这样的方法没有帮助你的话,那么你能尝试:
$ /usr/ccs/bin/nm -p cr1 | more
比如说得到如下输出:
cr1:
[Index] Value Size Type Bind Other Shndx Name
[180] |0 | 0| FILE | LOCL | 0 |ABS | decode_smtp.c
[2198] |160348| 320| FUNC | GLOB | 0 | 9 | decode_sniffer
这些都是生成这个二进制文件的obj文件的文件名称,这些名称会告诉你这个二进制文件的作用的.
同样,如果希望查看二进制文件调用到的静态库文件都有哪些的话,能使用nm -Du cr1来实现.
3. 当然我们也能通过使用dump命令来得到所有一个二进制文件的选定部分信息
$ /usr/ccs/bin/dump -c ./cr1 | more
dump命令的参数说明:
-c Dump出字符串表
-C Dump出C++符号表
-D Dump出调试信息
-f Dump出每个文件的头
-h Dump出section的头
-l Dump出行号信息
-L Dump出动态和静态链接库部分内容
-o Dump出每个程式的可执行头
-r Dump出重定位信息
-s 用十六进制信息Dump出section的内容
-t Dump符号表.
4. 能使用file命令得到二进制文件的信息
$ file cr1
5. 如果还是不清晰的话,那么我们能使用ldd命令
$ ldd cr1
比如说输出为:
...
libsocket.so.1 => /usr/lib/libsocket.so.1
librpcsvc.so.1 => /usr/lib/librpcsvc.so.1
...
那么我们就能知道这个程式和网络库相关,我们就能知道他的大概功能了.
我们也能能过adb命令来得到一个二进制文件的执行过程.
比如说:
$ adb cr1
:r
Using device /dev/hme0 (promiscuous mode)
192.168.2.119 -> web TCP D=22 S=1111 Ack=2013255208
Seq=1407308568 Len=0 Win=17520
web -> 192.168.2.119 TCP D=1111 S=22 Push Ack=1407308568
我们知道这个程式是个sniffer.
6. 如果你确定要运行这个程式的话,你能先通过:
$ truss -f -o cr.out ./cr1
listening on hme0
^C
$
truss命令能帮你打开系统的信号和调用输出.你就能知道这个程式到底干了什么.
有了上面这些工具的话,我们就能大概了解到一个未知的二进制程式到底是干什么的.
最后提示大家,运行不了解的二进制程式有严重的安全问题,请大家小心.
08-30
215
215
07-11
969
969
07-16
07-16
“相关推荐”对你有帮助么?
-
非常没帮助 -
没帮助 -
一般 -
有帮助 -
非常有帮助
提交
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
