技巧篇 | Linux_如何对二进制文件进行分析？

最新推荐文章于 2023-11-02 07:00:00 发布

姜小逗

最新推荐文章于 2023-11-02 07:00:00 发布

阅读量1.2k

点赞数 1

分类专栏： 13.技巧篇 04.linux

本文链接：https://blog.csdn.net/weixin_42194161/article/details/106135342

版权

本文介绍了Linux系统中分析二进制文件的常用工具，如file、ldd、ltrace、strace、hexdump、strings、readelf、objdump、nm和gdb。这些工具分别用于识别文件类型、查看依赖、追踪函数调用、系统调用等，帮助理解二进制文件的工作原理。在分析未知二进制文件时，这些命令能够提供关键信息，但运行未知程序存在安全隐患。

摘要由CSDN通过智能技术生成

前言

Linux 下共有七种文件类型，普通文件类型是七种文件类型中最常见也是最多的一种。二进制文件是普通文件类型中的一份子。其实，我们天天在和二进制文件打交道，但很少有人知道它们的工作原理。

在 Linux 下，一切皆文件!!!

本篇博客意在讲解在 Linux 中用来分析二进制文件的常用指令

Linux 下共有七种文件类型，普通文件类型是七种文件类型中最常见也是最多的一种。二进制文件是普通文件类型中的一份子。其实，我们天天在和二进制文件打交道，举个例子，你天天要使用的 Linux 命令，也是二进制文件的一种，但很少有人知道它们的工作原理。linux 中的二进制文件，一般以 .o, .so, .a, .la 后缀

Linux下文件的类型是不依赖于其后缀名的，但一般来讲：
.o 后缀是：目标文件,相当于windows中的.obj文件
.so 后缀是：共享库,是shared object,用于动态连接的,和dll差不多
.a 后缀是：静态库,是好多个.o合在一起,用于静态连接
.la 后缀是：libtool自动生成的一些共享库，可用 vi 编辑查看，主要记录了一些配置信息。

推荐文章：动态链接库(.so)以及静态链接库(.a)的生成和使用

二进制文件分析指令及工具

file ldd ltrace strace hexdump strings readelf objdump nm gdb

file —— 用于分析文件的类型

如果你需要分析二进制文件，可以首先使用 file 命令来切入。我们知道，在 Linux 下，一切皆文件，但并不是所有的文件都具有可执行性，我们还有各种各样的文件，比如：文本文件，管道文件，链接文件，socket文件，等等。

在对一个文件进行分析之前，我们可以首先使用 file 命令来分析它们的类型。当然除此之外，我们还可以看到一些其它信息。

$ file /bin/pwd
/bin/pwd: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.6.32, BuildID[sha1]=f3c2ec3ab4ede5ab4588db69e8c1cfdb188b7ae7, stripped

ldd —— 用于分析可执行文件的依赖

我们使用 file 命令来分析一个可执行文件的时候，有时候可以看到输出中有 dynamically linked 这样的字眼。这个是啥意思呢？

大部分程序，都会使用到第三方库，这样就可以不用重复造轮子，节约大量时间。最简单的，我们写C程序代码的话，肯定会使用到 libc 或者 glibc 库。当然，除此之外，还可能使用其它的库。

那我们在什么情况下需要分析程序的依赖库呢？有一个场景大家肯定经历过。你去你同事那边拷备他写好的程序放到自己的环境下运行，有时候可能会跑不起来。当然跑不起来的原因可能很多，但其中一个原因可能就是缺少对应的依赖库。

这时候，ldd 就派上用场了。它可以分析程序需要一些什么依赖库，你只要把对应的库放在对应的位置就可以了。

$ ldd /bin/pwd
	linux-vdso.so.1 =>  (0x00007ffef1ddb000)
	libc.so.6 => /lib64/libc.so.6 (0x00007f490423a000)
	/lib64/ld-linux-x86-64.so.2 (0x00007f490461e000)

ltrace —— 能够跟踪进程的库函数调用

编译工具 ltrace 如果没有安装，使用 ltrace 指令会显示：
bash: ltrace: 未找到命令...
安装 ltrace：
sudo yum install -y ltrace
再输入密码，即可

我们可以使用 ldd 命令来找到程序的依赖库，但是，一个库里少则几个，多则几千个函数，怎么知道现在程序调用的是什么函数呢？

ltrace 命令就是用来做这个事的。在下面的例子里，我们可以看到程序调用的函数，以及传递进去的参数，同时你也可以看到函数调用的输出。

$ ltrace /bin/pwd
__libc_start_main(0x401760, 1, 0x7ffd63b06418, 0x404a00 <unfinished ...>
getenv("POSIXLY_CORRECT")                                = nil
strrchr("/bin/pwd", '/')                                 = "/pwd"
setlocale(LC_ALL, "")                                    = "zh_CN.UTF-8"
bindtextdomain("coreutils", "/usr/share/locale")         = "/usr/share/locale"
textdomain("coreutils")                                  = "coreutils"
__cxa_atexit(0x4022f0, 0, 0, 0x736c6974756572)           = 0
getopt_long(1, 0x7ffd63b06418, "LP", 0x606d00, nil)      = -1
getcwd(nil, 0)                                           = ""
puts("/home/JiangYu"/home/JiangYu
)                                    = 14
free(0x23fb040)                                          = <void>
exit(0 <unfinished ...>
__fpending(0x7fdddcbe0400, 0, 64, 0x7fdddcbe0eb0)        = 0
fileno(0x7fdddcbe0400)                                   = 1
__freading(0x7fdddcbe0400, 0, 64, 0x7fdddcbe0eb0)        = 0
__freading(0x7fdddcbe0400, 0, 2052, 0x7fdddcbe0eb0)      = 0
fflush(0x7fdddcbe0400)                                   = 0
fclose(0x7fdddcbe0400)