Linux二进制分析---读书笔记

已于 2025-04-24 11:08:41 修改
阅读量1.1k 收藏 15
点赞数 27
文章标签: linux 改行学it
于 2025-04-22 18:00:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43809838/article/details/147415212
版权

Linux二进制分析—读书笔记(1)

温故而知新

第1章 Linux环境和相关工具

前言

Linux环境
本章节使用的代码

//test.c
#include <stdio.h>
int main(void)
{
	printf("hello world\n");
	return 0;
}

gcc test.c -o test

//sleep.c
#include <unistd.h>
int main(void)
{
	sleep(100);
	return 0;
}

gcc sleep.c -o sleep

//rand.c
#include <time.h>
#include <stdio.h>
#include <stdlib.h>
int main(void)
{
	int i = 10;
	srand(time(NULL));
	while(i--)
		printf("%d\n", rand());
	return 0;
}

gcc rand.c -o rand

//urand.c
int rand()
{
	ret 666;
}

gcc -shared -fPIC urand.c -o urand.so

1.1 linux工具

1.1.1 GDB

常用动态调试。

1.1.2 GNU binutils中的objdump

objdump是一种对代码进行快速反编译的简洁方案,在反编译简单的、未被篡改的二进制文件非常有效,但其主要依赖ELF节头,且不会控制流分析,就显示出了它的局限性。

查看ELF文件中所有的节数据或代码:objdump -D <elf_object>
在这里插入图片描述
查看ELF文件中的程序代码:objdump -d <elf_object>
在这里插入图片描述
查看ELF文件中所有符号:objdump -tT <elf_object>
在这里插入图片描述

1.1.3 GNU binutils中的objcopy

可以用来分析和修改任意类型的ELF目标文件,还可以修改ELF节,或将ELF节复制到ELF二进制中(或从ELF二进制中复制ELF节)。

1.1.4 strace

strace通过使用PTRACE_SYSCALL请求来显示运行中的程序的系统调用活动相关的信息及程序执行中捕捉到的信号量来实现系统调用追踪。

使用strace命令来跟踪一个基本程序:strace /bin/ls -o ls.out
在这里插入图片描述
使用starce命令附加到一个现存的进程上:strace -p -o daemon.out
在这里插入图片描述

1.1.5 ltrace

ltrace会解析共享库,即一个程序的链接信息,并打印出用到的库函数。
在这里插入图片描述
还可以使用 -S 标记来查看系统调用。
在这里插入图片描述

1.1.6 readelf

readelf命令是一个非常有用的解析ELF二进制文件的工具。
查询节头表:readelf -S <elf_object>
查询程序头表:readelf -l <elf_object>
查询符号表:readelf -s <elf_object>
查询ELF文件头数据:readelf -e <elf_object>
查询重定位入口:readelf -r <elf_object>
查询动态段:readelf -d <elf_object>

1.2 有用的设备和文件

1.2.1 /proc/<pid>/maps

文件保存了一个进程镜像的布局,通过展现每个内存映射来实现。
在这里插入图片描述

1.2.2 /proc/kcore

Linux内核的动态核心文件,ELF文件形式。GDB可以使用/proc/kcore来对内核进行调试和分析。

1.2.3 /boot/System.map

这个文件几乎所有的Linux发行版中都有,包含了整个内核的所有符号。

1.2.4 /proc/kallsyms

与System.map类似,区别就是kallsyms是内核所属的/proc的一个入口并且动态更新。

1.2.5 /proc/iomem

iomem是一个非常有用的proc入口,与/proc/<pid>/maps类似,但它是跟系统内存相关的。
查看内核的text段所映射的物理内存位置:grep Kernel /proc/iomem
在这里插入图片描述

1.3 链接器相关的环境指针

1.3.1 LD_PRELOAD环境变量

LD_PRELOAD环境变量可以设置成一个指定库路径,动态链接时可以比其他库有更高的优先级。这就允许预加载库中的函数和符号能搞覆盖掉后续链接的库中的函数和符号。
在这里插入图片描述

1.3.2 LD_SHOW_AUXV环境变量

该环境变量能够通知程序加载器来展示程序运行是的辅助向量。辅助向量是放在程序栈(通过内核的ELF常规加载方式)上的信息,附带了传递给动态链接器的程序相关的特定信息。

1.3.3 链接器脚本

链接器脚本是由链接器解释的,把程序划分成相应的节、内存和符号。ld链接器程序有自己解释的一套语言,当有文件输入时,ld链接器程序会用自己的语言来决定输出文件的组织方式。

Linux 二进制分析
GitChat
11-06 2540
内容简介 二进制分析属于信息安全业界逆向工程中的一种技术,通过利用可执行的机器代码(二进制)来分析应用程序的控制结构和运行方式,有助于信息安全从业人员更好地分析各种漏洞、病毒以及恶意软件,从而找到相应的解决方案。本书将带领读者探索连一些专家都未曾接触的领域,正式进入计算机黑客世界。 本书是一本剖析 Linux ELF 工作机制的图书,共分为9章,其内容涵盖了 Linux 环境和相关工具、ELF ...
Linux习笔记---命令篇
Fatter$hday的博客
05-15 6199
Linux习笔记本笔记是根据尚硅谷的Linux视频,经过自己的总结得出来的笔记,分为两个大章节,一-四章讲的是Linux的文件目录结构、vim编辑器、网络配置和系统管理、进程和服务。第二个章节是Linux的基础常用命令总结。本篇文章基本上涵盖了所有shell命令,字数2w1+,预计阅读时间2h。
Linux笔记 --- 高级议题
HUOHUAAARSGJKD的博客
08-02 565
一般而言由于项目中文件较多所以建议用不同的文件夹存放不同类型的文件二进制的可执行文件用户自己写的头文件: 源文件那么在头文件和源文件分开放的时候要怎么编译呢因为很多头文件可能有很多其他头文件引用,因此为防止重定义要在头文件中加上下面的代码。
Linux源码阅读笔记15-块设备详解
Lenn Louis' Scribe
07-27 781
磁盘是计算机主要的存储介质,可以存储大量二进制数据,并且断电后也能保持数据不丢失。早期计算机使用的磁盘是软磁盘(Floppy Disk,简称软盘);如今常用的磁盘是硬磁盘(Hard Disk,简称硬盘)。是一种具有一定结构的随机存取设备,对这种设备的读写是按照块进行的,它使用缓冲区来存放暂时的数据,满足条件,从缓存一次性写入设备或者从设备一次性读取到缓冲区。中对块设备或者设备分区抽象,它唯一对应于一个设备号。,对通用磁盘的描述,与真正的底层物理设备关联。对于分区来说,主设备号相同,次设备号不同。
Linux 程序设计--读书笔记
Arion的笔记
05-06 495
1 Linux 程序设计 1.1 Linux shell 登录进 Linux 与 shell 进行交互时, 它像 Windows 中的命令提示窗口一样运行程序. 它在一组指定的目录路径下按照你给出的程序名搜索与之同名的文件. 搜索的目录路径存储在 shell 变量 PATH 中, 这一点与Windows 也十分类似. 搜索路径 (你也可以添加这个路径) 由系统管理员配置, 它通常包含如下...
读书笔记---arm-linux-objcopy命令解析
yanlinembed的专栏
04-25 1470
arm-linux-objcopy用于复制一个目标文件的内容到另一个文件中,可以使用不同于原目标文件的格式来输出目的文件,即其可以进行格式转换。 在开发中,一般会用其来将ELF格式的可执行文件转换为二进制格式的文件,arm-linux-objcopy的使用格式如下: arm-linux-objcopy [-F bfdname | –target=bfdname ]
RISV-V体系结构变成与实践阅读笔记
2201_75372556的博客
12-30 756
gcc 是一个 前端驱动程序,它将整个编译过程(编译、汇编、链接等)统一在一个命令中。在编译时,它会自动调用其他工具(如 汇编器(as) 和 链接器(ld)),并将它们串联起来。例如gcc 会调用 as 来处理 .s 汇编文件,调用 ld 来链接 .o 文件生成可执行文件。这使得你可以使用 gcc 命令一站式完成编译和链接的工作。简化的流程:编译:链接:如果你在汇编程序中定义了一个名为 _start 的入口点,而 GCC 和链接器默认会把程序的入口点设置为 main。
Linux 习笔记04--磁盘分区
qq_46426207的博客
11-23 896
Linux 习笔记04–磁盘分区 文章目录Linux 习笔记04--磁盘分区1.磁盘存储管理概述1.1磁盘分区简介1.2格式化简介2.Linux磁盘分区管理分区步骤:2.1Linux磁盘设备命名命名原则3.Linux文件系统管理4.文件系统的挂载和卸载卸载磁盘分区命令umount5.文件系统检查维护命令5.1文件系统的检查和修复命令fsck5.2查看磁盘的使用情况命令df 1.磁盘存储管理概述 1.1磁盘分区简介 磁盘分区是指将一个磁盘驱动器分成若干个逻辑驱动器,磁盘分区是对磁盘物理介质的逻辑划分。 磁
linux wc -l效率,Linux wc命令详解
weixin_32367173的博客
05-26 4946
wc常见命令参数wc -l : 统计行wc -c: 统计字节数wc -m:统计字符数,不能与-c同时使用wc -w:统计字数wc -L:打印最长长度注意: wc 可以直接后面跟文件使用,但是会显示文件 ls -l|wc -l 统计行的时候包含了当前目录,所以会多一个常用的命令展示常见的统计行数的命令wc -l h.txtcat -n h.txt | tail -nsed '=' h.tx...
深入理解Linux二进制分析:ELF格式与安全分析
"Learning Linux Binary Analysis (Ryan elfmaster O'neill) 是一本深入解析ELF格式和Linux二进制分析的书籍,旨在教授读者如何进行病毒分析二进制补丁、软件保护等黑客与安全分析师常用的技术。书中通过介绍UNIX/...
二进制 分析工具:Radare2、r2frida、Binutils、file、string、as、nm、ldd、objdump、readelf、strip
freeking101的博客
11-22 1814
二进制 分析工具:Radare2、r2frida、Binutils、file、string、as、nm、ldd、objdump、readelf、strip
Linux - 常用工具介绍
土司先生的博客
04-21 1027
vim, zip/unzip, gzip/gunzip, find 等常用工具讲解
Linux】基本指令(下)
输入的最佳方式是输出!✧⁺⸜(●˙▾˙●)⸝⁺✧
04-24 251
继续讲解Linux中基本指令
Linux:进程的创建&&进程的终止
最新发布
Visual_progress的博客
04-24 502
fork是c语言中的一个函数,用于创建新的子进程,它存放在<unistd.h>的头文件中当我们运行程序时,如果使用了fork函数那么就会为这个进程创建一个它的子进程,这个子进程会继承父进程的所有数据和代码,但其实子进程是和父进程共用一套数据和代码。还有一个重点是:内存指针子进程会继承父进程的内存指针,内存指针用于指向程序执行到了哪里。我们来测试一下fork是否真的会创建一个新的进程。我们来看以下代码运行结果我们可以看到,在fork之前的程序只运行了一次,但是在fork之后的语句运行了两次,
Shell脚本-变量的分类
m0_61787196的博客
04-21 422
Shell脚本-变量的分类
Linux ACL访问控制权限解析:超越传统权限的精细化管理
想进步的职场菜鸟。
04-22 506
详解Linux ACL访问控制权限,涵盖setfacl/getfacl命令实战、权限继承机制与Mask掩码原理,提供企业级权限管理方案示例,实现多用户精细权限控制。
Linux常用指令
ya3288426755的博客
04-23 924
最近在进行操作系统的实验,涉及到Linux系统的使用,下面总结一些常用指令,涵盖文件管理、系统信息、进程管理、用户与权限、网络工具、文本处理、压缩与归档、系统维护等核心功能。:将前一个命令的输出作为后一个命令的输入。:将命令输出保存到文件。
Linux:opencv安装
yyyyyyyyyyy_9的博客
04-24 466
如果你需要快速安装,且系统中已经包含OpenCV所需的依赖,使用APT安装最简单。如果你需要最新版本或定制安装,建议从源代码编译。如果只需要在Python中使用OpenCV,使用pip安装会更加方便。如果有其他问题,或者需要更详细的步骤,可以告诉我!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值