ldd命令可能导致运行恶意代码

最新推荐文章于 2024-05-21 22:27:24 发布
最新推荐文章于 2024-05-21 22:27:24 发布
阅读量238 收藏
点赞数 1
分类专栏: Unix Like
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/thesre/article/details/116720871
版权

ldd命令可能导致运行恶意代码

文章目录

前言

ldd这个系统命令,是linux用户常用的一个命令,它可以打印出共享库依赖情况。

一、ldd为什么可能导致运行恶意代码

从ldd(1)手册可以知道,通过设置一个特殊变量LD_TRACE_LOADED_OBJECTS,然后执行程序工作,不可信的程序可能强制执行ldd的用户运行任意代码。因此,不要使用ldd查看不可信的程序的共享库依赖情况。
在这里插入图片描述

二、简单的例子

$ ldd /bin/ls
       librt.so.1 => /lib/librt.so.1 (0x4001d000)
       libc.so.6 => /lib/libc.so.6 (0x4002e000)
       libpthread.so.0 => /lib/libpthread.so.0 (0x40149000)
       /lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x40000000)

LD_TRACE_LOADED_OBJECTS变量设置为1

$ LD_TRACE_LOADED_OBJECTS=1 /bin/ls
       librt.so.1 => /lib/librt.so.1 (0x4001d000)
       libc.so.6 => /lib/libc.so.6 (0x4002e000)
       libpthread.so.0 => /lib/libpthread.so.0 (0x40149000)
       /lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x40000000)

这就是glibc program interpreter如何工作的。其它呢?我们来对比一下glibc与uclibc。
先写一段小程序

$ echo 'main() { printf("hello world\n"); }' > hello.c

首先glibc

$ gcc hello.c -o gcc_hello
$ ldd ./gcc_hello
        libc.so.6 => /lib/libc.so.6 (0x4001d000)
        /lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x40000000)

然后uclibc

$ i386-uclibc-gcc hello.c -o uclibc_hello
$ ldd ./uclibc_hello 
hello world

这里没有打印我们想要的共享库依赖情况,而是直接执行了程序。

有了上述的基本了解,我们来看看恶意程序将如何伪装自己?
假设我们有这么一段程序

$ cat nasty.c
int main()
{
   if (getenv("LD_TRACE_LOADED_OBJECTS") != 0) {
      /* we are being executed under ldd */
      printf("doing funny stuff\n");
      printf("\tlibc.so.6 => /lib/libc.so.6 (0x4001d000)\n");
      printf("\t/lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x40000000)\n");
      return 0;
   }

   printf("normally program execution\n");
   return 0;
}

使用uclibc编译

$ i386-uclibc-gcc nasty.c -o nasty
$ ldd ./nasty
doing funny stuff
        libc.so.6 => /lib/libc.so.6 (0x4001d000)
        /lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x40000000)

可以看到有伪装的共享依赖库信息输出。

总结

因此在做程序分析时,一定要在隔离,受保护的环境下进行。尤其是使用特权账号,更要注意。

参考资料

https://tldp.org/HOWTO/Program-Library-HOWTO/shared-libraries.html
http://reverse.lostrealm.com/protect/ldd.html

王万林 Ben
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
ldd命令解析
xiaorur的博客
08-30 5345
ldd :用于查看程序运行所需要的共享库(动态链接库),在ctf中一般用于查看本地libc库版本 ​ ben@ubuntu:~/ctf/stack-wiki/ret2libc/ret2libc3$ ldd ret2libc3 linux-gate.so.1 (0xf7fd4000) libc.so.6 => /lib/i386-linux-gnu/libc.so.6 (0xf7ddc000) /lib/ld-linux.so.2 (0xf7fd6000) 结果的第一列
ldd命令 打印程序依赖的共享库
01-09
ldd命令用于打印程序或者库文件所依赖的共享库列表。 语法格式: ldd [参数] [文件] 常用参数: -v 详细信息模式,打印所有相关信息 -u 打印未使用的直接依赖 -d 执行重定位和报告任何丢失的对象 -r 执行...
ldd命令
weixin_34249367的博客
06-10 129
ldd命令用于判断某个可执行的 binary 档案含有什么动态函式库。   参数说明:   --version 打印ldd的版本号   -v --verbose 打印所有信息,例如包括符号的版本信息   -d --data-relocs 执行符号重部署,并报告缺少的目标对象(只对ELF格式适用)   -r --function-relocs 对目标对象和函数执行重新部署,并报告缺少的目标...
linux运维命令ldd详解 (列出程序依赖的共享库的命令 ldd的使用和原理介绍)
最新发布
weixin_70208651的博客
05-21 1883
ldd是Linux和unix系统中的一个命令行工具,用于列出可执行文件或共享库所依赖的共享库。当你运行一个程序时,Linux 动态链接器负责加载程序所需的一个或多个共享库(例如libc.so.6libm.so.6等)。ldd命令可以帮助我们识别这些依赖项,提供了查看动态链接信息的方法。ldd 命令对于确保程序能够找到和链接到正确的共享库版本非常有用,特别是在软件迁移或调试时。本文还介绍了ldd的工作原理.
ldd命令的介绍
萧__xiao的专栏
11-20 1341
转自:http://blog.sina.com.cn/s/blog_4d6d0dd201000bda.html 1.在制作自己的发行版时经常需要判断某条命令需要哪些共享库文件的支持,以确保指定的命令在独立的系统内可以可靠的运行; 在Linux环境下通过ldd命令即可实现,在终端下执行: ldd /bin/ls//ldd命令通常使用"-v"或"--verbose"选项来显示所依赖的动态连接
ldd 命令
xuanguqiufeng的专栏
06-18 459
ldd是 list, dynamic, dependencies 的缩写。 列出动态库依赖关系,下图为 ldd *,列出当前目录下所有的动态库的依赖情况。
ldd code ldd3驱动源代码
04-17
ldd code ldd3驱动源代码》是关于Linux设备驱动程序开发的重要参考资料,它包含了丰富的源代码示例,帮助开发者深入理解Linux内核与驱动程序之间的交互机制。本资源的核心在于"ldd"(Linux Dynamic Debugging)和...
windows下的 ldd
05-11
4. 分析输出结果,查找任何可能导致运行时错误或缺失的依赖项。如果发现缺少的DLL,你可能需要从微软官方网站或其他可靠来源下载并安装。 5. 对于开发者而言,"ntldd"还能帮助优化程序,减少不必要的依赖,或者确保...
linux设备驱动程序中的源代码 ldd source
05-06
在上下文中,"ldd source"可能指的是与设备驱动开发相关的源代码示例或工具。 Linux设备驱动程序主要分为字符设备驱动、块设备驱动和网络设备驱动等类型。它们负责处理硬件中断、数据传输、设备状态报告等功能。在...
Ldd.rar_ldd
09-19
在"ldd"文件中,可能涵盖以上提到的各个知识点的详细解释、实例代码以及常见问题的解答。学习和理解这些内容,对于从事Linux系统开发、嵌入式系统设计或者想要优化硬件性能的工程师来说,都是至关重要的。 通过...
ldd(1) command
Dablelv 的博客专栏。
04-06 1768
ldd 命令用于打印程序或者共享库文件所依赖的共享库列表。which ldd我们知道,Linux 的动态库装载器 ld-linux.so 模块先于 executable 模块工作,并获得控制权,ld-linux.so 通过系统环境变量的设置,选择只显示可执行模块的dependency,而不运行可执行模块。LD_WARNLD_VERBOSELD_DEBUGldd 默认开启的环境变量是:LD_TRACE_LOADED_OBJECTS=1。
Linux命令ldd命令
月生的静心苑
03-05 1万+
LDD用来打印或者查看程序运行所需的共享库,常用来解决程序因缺少某个库文件而不能运行的一些问题。ldd不是一个可执行程序,而只是一个shell脚本。
Linux下的ldd命令
qq_42303254的博客
03-28 1126
ldd命令的解释 ldd本身不是一个程序,而仅是一个shell脚本:ldd可以列出一个程序所需要得动态链接库(so) 我们可以用which命令找到ldd的位置: [root@server1 ~]# which ldd /usr/bin/ldd 实例: ...
学习一个 Linux 命令ldd 命令
程序员小乐
03-02 969
点击上方 "编程技术圈"关注,星标或置顶一起成长后台回复“大礼包”有惊喜礼包!每日英文Tough people aren't born that way, the...
ldd命令详解
热门推荐
f_carey的博客
11-14 1万+
ldd命令详解ldd背景知识ldd不是一个可执行程序,而只是一个shell脚本ldd能够显示可执行模块的dependencyldd实质是通过ld-linux.so(elf动态库的装载器)来实现的。 ldd 命令用于打印程序或者库文件所依赖的共享库列表。 Usage: ldd [OPTION]... FILE... --help print this help and exit --version print version infor
ldd命令详解
12-05 1511
作用:用来查看程序运行所需的共享库,常用来解决程序因缺少某个库文件而不能运行的一些问题。 1、首先ldd不是一个可执行程序,而只是一个shell脚本 2、ldd能够显示可执行模块的dependency,其原理是通过设置一系列的环境变量,如下:LD_TRACE_LOADED_OBJECTS、LD_WARN、LD_BIND_NOW、LD_LIBRARY_VERSION、LD_VERBOSE
linux ldd命令的使用
qq_38694388的博客
04-06 2879
1 问题背景 最近有个项目需要将libwebp这个库的source code移植到linux 平台下,因为只需要部分功能,所以对代码进行了精简。精简过后可以编译通过,so加载到开发板上却无法实现对应的功能,也没有报出明显的错误。因为之前有遇到过引用了没有声明或者没有实现的函数导致so不能使用的情况,所以怀疑精简的时候出了问题,导致误删除了一些函数。 百度了一下linux 平台上如何查看so依赖的函数或者lib 是否有缺失方法,出现了ldd 这个命令,执行以下shell命令即可查看目标so依赖了哪些lib或函
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

王万林 Ben

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值