【Linux】【开发】Linux下分析二进制可执行文件的工具汇总

已于 2024-02-22 10:56:22 修改
阅读量1k 收藏 11
点赞数 16
分类专栏: 1_____Linux技术_____ 文章标签: linux 二进制 可执行文件 ELF 分析 工具 命令
于 2024-02-20 10:46:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qxhgd/article/details/136182139
版权
本文介绍了Linux系统中用于静态和动态分析二进制可执行文件的工具,如file、ldd、strings、Hexdump、size、readelf、nm、objdump、ltrace、strace和gdb,帮助开发者理解和解析文件内容。
摘要由CSDN通过智能技术生成
  • 🐚作者简介:花神庙码农(专注于Linux、WLAN、TCP/IP、Python等技术方向)
  • 🐳博客主页:花神庙码农 ,地址:https://blog.csdn.net/qxhgd
  • 🌐系列专栏:Linux技术
  • 📰如觉得博主文章写的不错或对你有所帮助的话,还望大家三连支持一下呀!!! 👉关注✨、点赞👍、收藏📂、评论。
  • 如需转载请参考转载须知!!

Linux下分析二进制可执行文件的工具汇总

引言

  • 在日常的Linux软件的开发过程中,经常需要对二进制文件进行分析,并对其中的关键信息进行提取。本文对Linux下二进制可执行文件分析的工具做了一个小结,供各位参考。
  • 具体的分析方式,根据使用场景,可分为静态和动态两种。

静态分析

file

  • 日常处理的文件不一定都是可执行文件,通过该命令,可以帮助我们确定二进制文件的具体类型(如ELF、ASCII等);
  • 示例:
[qxhgd@localhost]$$ file /bin/ls
/bin/ls: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.6.32, BuildID[sha1]=94943a89d17e9d373b2794dcb1f7e38c95b66c86, stripped
[qxhgd@localhost]$$ file /etc/passwd
/etc/passwd: ASCII text

ldd

  • 用于显示二进制文件所需的动态库,通常用于解决程序因缺少某个库文件而不能运行的一些问题。
  • 示例如下:
[qxhgd@localhost]$ ldd /bin/ls
	linux-vdso.so.1 =>  (0x00007ffef5ba1000)
	libselinux.so.1 => /lib64/libselinux.so.1 (0x00007fea9f854000)
	libcap.so.2 => /lib64/libcap.so.2 (0x00007fea9f64f000)
	libacl.so.1 => /lib64/libacl.so.1 (0x00007fea9f446000)
	libc.so.6 => /lib64/libc.so.6 (0x00007fea9f079000)
	libpcre.so.1 => /lib64/libpcre.so.1 (0x00007fea9ee17000)
	libdl.so.2 => /lib64/libdl.so.2 (0x00007fea9ec13000)
	/lib64/ld-linux-x86-64.so.2 (0x00007fea9fa7b000)
	libattr.so.1 => /lib64/libattr.so.1 (0x00007fea9ea0e000)
	libpthread.so.0 => /lib64/libpthread.so.0 (0x00007fea9e7f2000)

strings

  • print the strings of printable characters in files.
  • 用于查找二进制文件中包含的字符串。它将提取文件中的可打印字符并显示它们。实际中,可结合grep进行搜索。
  • 示例(打印so中,某个函数所在文件,可变相确认到底该文件编入了哪个so库中):
[qxhgd@localhost]$strings -f "*.so" | grep "xxxxxx"

Hexdump

  • Display file contents in ASCII, decimal, hexadecimal, or octal.
  • Hexdump 是 Linux 系统中的一个强大工具,主要由开发人员和应用程序调试人员使用。它可以将输入文件和数据转换为令人愉快且可读的格式。例如,如果您使用二进制数据,这将很难理解。为了方便起见,您可以快速将二进制数据转换为十六进制或十进制。
  • 示例(以ASCII格式显示文件):
[qxhgd@localhost]$hexdump -C /bin/ls | head
[qxhgd@localhost]$hexdump -C system.log

size

  • GNU 的 size 程序列出参数列表中各目标文件或存档库文件的段大小 — 以及总大小。默认情况下,对每个目标文件或存档库中的每个模块都会产生一行输出。
  • 示例:
[qxhgd@localhost ~]$ size /bin/ls
   text    data     bss     dec     hex filename
 103119    4768    3360  111247   1b28f /bin/ls

readelf

  • Display information about ELF files.
  • 用来显示一个或者多个 elf 格式的目标文件的信息,可以通过它的选项来控制显示哪些信息
  • 示例:
    – 查看头部信息:
[qxhgd@localhost ~]$ readelf -h /bin/ls
ELF Header:
  Magic:   7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00
  Class:                             ELF64
  Data:                              2's complement, little endian
  Version:                           1 (current)
  OS/ABI:                            UNIX - System V
  ABI Version:                       0
  Type:                              EXEC (Executable file)
  Machine:                           Advanced Micro Devices X86-64
  Version:                           0x1
  Entry point address:               0x4042d4
  Start of program headers:          64 (bytes into file)
  Start of section headers:          115696 (bytes into file)
  Flags:                             0x0
  Size of this header:               64 (bytes)
  Size of program headers:           56 (bytes)
  Number of program headers:         9
  Size of section headers:           64 (bytes)
  Number of section headers:         31
  Section header string table index: 30

– 查看全部信息(如符号表)

[qxhgd@localhost ~]$ readelf -a /bin/ls

nm

  • nm命令是linux下自带的特定文件分析工具,一般用来检查分析二进制文件、库文件、可执行文件中的符号表,返回二进制文件中各段的信息。
  • nm命令的输出包含三个部分:
    – 符号值。默认显示十六进制,也可以指定;
    – 符号类型。小写表示是本地符号,大写表示全局符号(external);
    – 符号名称。
  • nm命令的部分功能和readelf是重叠的,但是就符号信息而言,二者是有区别的,整体看,readefl的功能更为强大。
  • 示例:
[qxhgd@localhost ~]$  nm hello | tail
0000000000600e20 d __JCR_END__
0000000000600e20 d __JCR_LIST__
00000000004005b0 T __libc_csu_fini
0000000000400540 T __libc_csu_init
                 U __libc_start_main@@GLIBC_2.2.5
000000000040051d T main
                 U printf@@GLIBC_2.2.5
0000000000400490 t register_tm_clones
0000000000400430 T _start
0000000000601030 D __TMC_END__

objdump

  • Display information from an object file;
  • objdump命令是Linux下的反汇编工具,可对目标文件或者可执行文件进行操作,它以一种可阅读的格式,让人们更多地了解二进制文件中的附加信息。
  • 常用选项:
  -d, --disassemble        Display assembler contents of executable sections
  -D, --disassemble-all    Display assembler contents of all sections
  -S, --source             Intermix source code with disassembly
  • 示例:
[qxhgd@localhost]$objdump -D -S main.o > main.o.txt

动态分析

ltrace

  • A library call tracer;
  • 系统调用的过程:
    – 用户调用syscall->glibc库->内核执行,返回值->glibc库->syscall->用户。
  • ltrace通过动态链接库的方式来实现跟踪,它在进程执行时插入自己的代码,对库函数的调用进行拦截和记录。
  • ltrace的功能是能够跟踪进程的库函数调用,它会显现出哪个库函数被调用。
  • 示例:
[qxhgd@localhost]$ ltrace ls

strace

  • strace 是 Linux 系统下的一个强大的工具,用于跟踪进程的系统调用和信号。它可以帮助你了解一个程序在运行时与操作系统进行了哪些交互,例如打开文件、读取或写入数据、网络通信等
  • Strace常用来跟踪进程在用户态执行的系统调用流程,但不会跟踪到内核里面发生的事情(内核里面用ftrace)。
  • ltrace与strace使用的技术大体相同,但ltrace在对支持fork和clone方面,不如strace。strace在收到frok和clone等系统调用后,做了相应的处理,而ltrace没有。
  • 示例:
[qxhgd@localhost]$ strace -f /bin/ls

gdb

  • GNU 调试器,用于调试二进制程序。它允许你设置断点、单步执行代码、查看变量值等。
  • 无需多言,懂的都懂。

小结

  • 一旦您熟悉了这些原生 Linux 二进制分析工具并了解了它们提供的输出,您就可以转向更高级、更专业的开源二进制分析工具,例如 radare2等。

如本文对你有些许帮助,欢迎大佬支持我一下,您的支持是我持续创作的不竭动力
支持我的方式

花神庙码农
关注
专栏目录
反汇编工具IDA使用详解(使用IDA查看二进制文件的汇编代码以及使用IDA分析崩溃问题实例分享)
dvlinker的技术专栏
10-07 5万+
本文详细介绍一下IDA反汇编工具,介绍如何使用IDA反汇编工具查看二进制文件的汇编代码,并分享一个使用IDA排查程序崩溃的实例。
Linux下内存检测利器Valgrind之Memcheck工具详解
热门推荐
dvlinker的技术专栏
10-16 2万+
Linux下内存检测利器Valgrind之Memcheck工具详解。
二进制文件查看器
11-29
支持二进制和十六进制查看文件,并且可以自定义窗口布局和窗口显示格式,包括(二进制、十六进制、UNICODE等编码),很不错的文件查看器。
可执行文件格式分析与应用
01-06
本资源是自己用软件从网上下载的,有瑕疵。对于想学习又不想花银子的朋友将就着看吧,若有侵权,请及时通知我删除。
一些有用的二进制工具
最新发布
power1952的专栏
08-10 284
然而,objdump有一个比较有用的功能,它能显示反汇编后的目标代码。objcopy - 将一个二进制目标文件的内容赋值到另一个文件中,在这个过程中可能转换目标文件的格式。ldd - 列出一个或多个目标文件所依赖的共享库。它是C库软件包的一部分。prelink - 对共享库和依赖它们的目标文件进行预链接,从而事先处理未解析的程序库引用。readelf - 提取elf文件中的各种内容。strip - 删除一个二进制文件中的符号和调试信息。nm - 显示目标文件中的符号。提取 elf 中所有的段。
linux 二进制文件分析工具
weixin_30802273的博客
08-02 408
语法:ldd参数 文件 作用: 输出共享库的依赖信息 例如: # ldd /bin/cat libc.so.6 => /lib/tls/libc.so.6 (0x42000000) /lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x40000000) 说明:ldd参数较少,其实ld...
[逆向工程] Linux 二进制分析(2):常用分析工具
[热爱分享]希望大家都能花时间在学习自己喜欢的东西上
05-12 1037
逆向工程实验二:Linux 二进制分析(2)
linux可执行文件的内容分析工具nm ldd
2> /dev/null
10-10 1851
;nm是用来查看指定程序中的符号表相关内容的工具。下面通过例子,分别来介绍一下这两个工具: 1. ldd是用来分析程序运行时需要依赖的动态库的工具, 先看下面的例子, 用ldd查看cs程序所依赖的动态库:
Linux 查看二进制文件
yiyu20180729的博客
02-28 1764
本文介绍在 Linux 系统中查看或编辑二进制文件的几种方法,包括使用 vim 编辑器,使用 hexdump、xxd、od 命令等。
Linux 性能分析工具汇总
weixin_53641036的博客
09-29 1374
我从cnaaa.com购买了服务器。出于对Linux操作系统的兴趣,以及对底层知识的强烈欲望,因此整理了这篇文章。本文也可以作为检验基础知识的指标,另外文章涵盖了一个系统的方方面面。如果没有完善的计算机系统知识,网络知识和操作系统知识,文档中的工具,是不可能完全掌握的,另外对系统性能分析和优化是一个长期的系列。
linux下qt的文件打包,【最详细最完整】在Linux 下如何打包免安装的QT程序?
weixin_29497981的博客
04-29 2180
版权声明:嵌入式linux相关的文章是我的学习笔记,基于Exynos 4412开发板,一部分内容是总结,一部分是查资料所得,大家可以自由转载,但请注明出处! https://blog.csdn.net/z3512498/article/details/64922180如题,近期因为项目需求,得打包QT程序,并将程序放到没有安装QT库的电脑上运行。网上索罗了下,打包QT程序的方式很多,主要分为以下几...
Windows和Linux下排查C++软件异常的常用调试器与内存检测工具详细介绍
dvlinker的技术专栏
08-17 2万+
本文详细介绍了Windows和Linux下排查C++软件异常的常用调试器与内存监测工具
linux二进制文件分析_在Linux分析二进制文件的10种方法
gaobozzxy的专栏
02-09 473
linux二进制文件分析 “这个世界上有十​​种人:懂二进制的人和不懂二进制的人。” Linux提供了丰富的工具集,可轻松进行二进制分析! 无论您的工作角色是什么,如果您在Linux上工作,了解有关这些工具的基础知识将有助于您更好地了解系统。 在本文中,我们将介绍这些Linux工具命令中最流行的一些,其中大多数将作为Linux发行版的一部分本地提供。 如果没有,您可以随时使用软件包管理器来安装和浏览它们。 请记住:在正确的场合学习使用正确的工具需要足够的耐心和练习。 文件 作用:帮助确定文件..
linux分析二进制文件,Linux环境下常用的二进制文件分析命令
weixin_42537831的博客
05-13 519
二进制文件是我们在学习Linux编程开发的时候会经常接触和使用到的一种文件,而今天我们就通过案例分析来了解一下,Linux环境下常用的二进制文件分析命令都有哪些。1、filefile命令用于分析文件的类型。如果你需要分析二进制文件,可以先使用file命令来切入。我们知道,在Linux下,一切皆文件,但并不是所有的文件都具有可执行性,我们还有各种各样的文件,比如:文本文件,管道文件,链接文件,soc...
可执行文件分析
技术之路
01-03 617
其中牵扯到一些操作系统的知识,内存管理中的分段和分页。分段是将内存分割成连续的但是不定长的段,长度可由程序员指定;分页是将内存分割成固定大小的页,长度由操作系统确定。现在一般的处理是采取段页式,也就是说先分段,再将每一段分割成固定大小的页 。 回忆起这些OS知识对理解C/C++的内存管理很有帮助,可执行文件在内存中的存储,可以理解为代码段(text)、数据段(data)、未初始化数据段(
可执行文件分析(2)
Exxos的专栏
01-04 667
COFF 文件格式分析  COFF 格式比 a.out 格式要复杂一些,最重要的是包含一个节段表(section table),因此除了 .text,.data,和 .bss 区段以外,还可以包含其它的区段。另外也多了一个可选的头部,不同的操作系统可一对此头部做特定的定义。  COFF 文件格式如下:
Linux二进制分析
停止更新,迁移至ykpeng.com
03-06 7432
Preface(序言) 软件工程是一种创造发明的行为,该发明在微处理器上存在、生活并且呼吸。我们称它为程序(program)。逆向工程是发觉程序是如何生活和呼吸,以及如何理解、剖析或者修改程序行为,通过结合使用反汇编器和逆向工具并且依赖我们的黑客直觉来掌控我们正在逆向的目标程序。我们必须理解二进制格式、内存布局和给定处理器指令集的复杂性。我们因此成为微处理器上的程序的主人。一个逆向工程师对二进制
Linux分析二进制文件的 10 种方法
wacpguo的专栏
06-26 425
hexdump - 以 ASCII、十进制、十六进制或八进制显示文件内容。技术|在 Linux分析二进制文件的 10 种方法。strings - 显示文件中的可打印字符串。readelf - 显示有关elf文件的信息。objdump - 显示对象文件的信息。strace - 跟踪系统调用和信号。nm - 列出对象文件中的符号。ltrace - 库调用跟踪器。file - 确定文件类型。gdb - gnu调试器。ldd - 显示依赖库。
linux无法执行二进制文件
06-06
### 回答1: 在Linux系统中执行二进制文件可能会出现问题,具体原因有很多,常见的原因包括: - 文件权限问题,该文件没有可执行权限。 - 缺少依赖库,需要安装依赖库或更新依赖库。 - 文件路径错误,请确保文件的路径是正确的。 - 文件损坏,请重新下载文件或更新文件。 建议检查这些问题并解决问题,如果问题仍然存在请提供更多细节以便于帮助更好的解决问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

花神庙码农

你的鼓励是我码字的最大动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值