"Na tomto světě je 10 typů lidí:ti, kteří rozumí binárnímu systému, a ti, kteří ne."
Další zdroje pro Linux
- Cheat pro příkazy Linuxu
- Cheat sheet pro pokročilé příkazy systému Linux
- Bezplatný online kurz:Technický přehled RHEL
- Síťový cheat pro Linux
- Cheat sheet SELinux
- Cheat pro běžné příkazy pro Linux
- Co jsou kontejnery systému Linux?
- Naše nejnovější články o Linuxu
S binárními soubory pracujeme denně, ale rozumíme jim tak málo. Binárními soubory mám na mysli spustitelné soubory, které denně spouštíte, přímo z nástrojů příkazového řádku až po plnohodnotné aplikace.
Linux poskytuje bohatou sadu nástrojů, díky kterým je analýza binárních souborů hračkou! Ať už je vaše pracovní role jakákoli, pokud pracujete na Linuxu, znalost základů těchto nástrojů vám pomůže lépe porozumět vašemu systému.
V tomto článku pokryjeme některé z nejpopulárnějších těchto linuxových nástrojů a příkazů, z nichž většina bude k dispozici nativně jako součást vaší distribuce Linuxu. Pokud ne, můžete je kdykoli nainstalovat a prozkoumat pomocí správce balíčků. Pamatujte:naučit se používat správný nástroj při správné příležitosti vyžaduje spoustu trpělivosti a praxe.
soubor
Co to dělá:Pomůže určit typ souboru.
Toto bude váš výchozí bod pro binární analýzu. Se soubory pracujeme denně. Ne vše je spustitelný typ; existuje celá řada typů souborů. Než začnete, musíte porozumět typu souboru, který je analyzován. Je to binární soubor, soubor knihovny, textový soubor ASCII, soubor videa, soubor obrázku, PDF, datový soubor atd.?
soubor vám pomůže identifikovat přesný typ souboru, se kterým máte co do činění.
$ soubor /bin/ls
/bin/ls:ELF 64bitový spustitelný LSB, x86-64, verze 1 (SYSV), dynamicky propojený (používá sdílené knihovny), pro GNU/Linux 2.6.32 , BuildID[sha1]=94943a89d17e9d373b2794dcb1f7e38c95b66c86, odstraněno
$
$ soubor /etc/passwd
/etc/passwd:ASCII text
$
ldd
Co to dělá:Tisk závislostí sdílených objektů.
Pokud jste již použili soubor příkazu výše ve spustitelném binárním souboru, nemůžete ve výstupu přehlédnout zprávu „dynamicky propojeno“. Co to znamená?
Při vývoji softwaru se snažíme nevynalézat znovu kolo. Existuje sada běžných úloh, které většina softwarových programů vyžaduje, jako je tisk výstupu nebo čtení ze standardního formátu, otevírání souborů atd. Všechny tyto běžné úlohy jsou abstrahovány v sadě běžných funkcí, které pak může každý použít místo psaní. jejich vlastní varianty. Tyto běžné funkce jsou umístěny v knihovně s názvem libc nebo glibc .
Jak lze zjistit, na kterých knihovnách je spustitelný soubor závislý? To je místo ldd do obrázku vstoupí příkaz. Spuštěním s dynamicky propojeným binárním souborem se zobrazí všechny jeho závislé knihovny a jejich cesty.
$ ldd /bin/ls
linux-vdso.so.1 => (0x00007ffef5ba1000)
libselinux.so.1 => /lib64/libselinux.so.1 (07fe4a0900)> libcap.so.2 => /lib64/libcap.so.2 (0x00007fea9f64f000)
libacl.so.1 => /lib64/libacl.so.1 (0x00007fea9f44600)/lib64/libc.so.6 (0x00007fea9f079000)
libpcre.so.1 => /lib64/libpcre.so.1 (0x00007fea9ee17000)
libdl / dl .. 4 .so.2 (0x00007fea9ec13000)
/lib64/ld-linux-x86-64.so.2 (0x00007fea9fa7b000)
0 libattr.so.1 => 070.61x
libpthread.so.0 => /lib64/libpthread.so.0 (0x00007fea9e7f2000)
$
ltrace
Co to dělá:Sledování volání knihovny.
Nyní víme, jak najít knihovny, na kterých závisí spustitelný program pomocí ldd příkaz. Knihovna však může obsahovat stovky funkcí. Které z těchto stovek jsou skutečné funkce používané naším binárním systémem?
ltrace zobrazí všechny funkce, které jsou volány za běhu z knihovny. V níže uvedeném příkladu můžete vidět názvy funkcí, které jsou volány, spolu s argumenty předávanými této funkci. Můžete také vidět, co tyto funkce vrátily na pravé straně výstupu.
$ ltrace ls
__libc_start_main (0x4028c0, 1, 0x7ffd94023b88, 0x412950
strrch ("ls", '/') =nil
setlocale (lc_all, " ") =" EN_US.UTF-8 "
BindTextDomain (" Coreutils "," / usr / Share / Locale ") =" / usr / Share / Locale "
TextDomain (" Coreutils ") =" Coreutils "
__cxa_Atexit (0x40A930, 0, 0, 0x736c6974756572) =0
ISATTY (1) =1
getenv (" Citing_Style ") =nil
getenv (" sloupce ") =nil
ioctl(1, 21523, 0x7ffd94023a50) > =0
FCLOSE (0x7ff7baae61C0) =0
+++ ODHED (stav 0) +++
$
Hexdump
Co to dělá:Zobrazuje obsah souboru v ASCII, desítkové, šestnáctkové nebo osmičkové soustavě.
Často se stává, že otevřete soubor pomocí aplikace, která neví, co s tímto souborem dělat. Zkuste otevřít spustitelný soubor nebo video soubor pomocí vim; vše, co uvidíte, jsou bláboly hozené na obrazovce.
Otevření neznámých souborů v Hexdump vám pomůže zjistit, co přesně soubor obsahuje. Pomocí některých voleb příkazového řádku můžete také zobrazit ASCII reprezentaci dat přítomných v souboru. To vám může pomoci zjistit, o jaký druh souboru se jedná.
$ hexdump -C /bin/ls | hlava
00000000 7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00 00 d4 42 40 00 00 00 00 00 |..>......B@.....|
00000020 40 00 00 00 00 00 00 00 @ f0 c3 01 00 00 00 0 0 0 ...............|
00000030 00 00 00 00 40 00 38 00 09 00 40 00 1f 00 1e 00 |[email protected]...@. .....|
00000040 06 00 00 00 05 00 00 00 40 00 00 00 00 00 00 00 |........@.......|
00000050 40 00 40 00 00 00 00 00 40 00 40 00 00 00 00 00 00 00 00 00 |................|
00000070 08 00 00 00 00 00 00 00 03 00 00 00 04 00 00 00 |...... ..........|
00000080 38 02 00 00 00 00 00 00 38 02 40 00 00 00 00 00 |8.......8......@.....|
00000090 38 02 40 00 00 00 00 00 1c 00 00 00 00 00 00 00 |8.@.............|
$
řetězce
Co to dělá:Tisk řetězců tisknutelných znaků v souborech.
Pokud se vám Hexdump zdá trochu přehnaný pro váš případ použití a jednoduše hledáte tisknutelné znaky v binárním souboru, můžete použít řetězce příkaz.
Při vývoji softwaru se k němu přidávají různé textové/ASCII zprávy, jako je tisk informačních zpráv, informace o ladění, zprávy nápovědy, chyby a tak dále. Pokud jsou všechny tyto informace přítomny v binárním formátu, budou vypsány na obrazovku pomocí řetězců .
$ strings /bin/ls
readelf
Co to dělá:Zobrazuje informace o souborech ELF.
ELF (Executable and Linkable File Format) je dominantním formátem souborů pro spustitelné soubory nebo binární soubory, a to nejen na Linuxu, ale také na různých systémech UNIX. Pokud jste použili nástroje jako file command, který vám sdělí, že soubor je ve formátu ELF, dalším logickým krokem bude použití readelf příkaz a jeho různé možnosti pro další analýzu souboru.
Při používání readelf mít po ruce odkaz na skutečnou specifikaci ELF může být velmi užitečné. Specifikace naleznete zde.
$ readelf -h /bin/ls
ELF Header:
Magic: 7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00
Třída: 0 00 00
Třída: 6 E> Data:2 komplement, malý endan
verze:1 (proud)
OS / ABI:Unix - systém v
ABI verze:0
Typ:Exec (spustitelný soubor)
Stroj:Pokročilá mikro zařízení X86-64
Verze:0x1
Adresa vstupního bodu:0x4042d4
Začátek záhlaví programu:64 (bajty do souboru)
Začátek záhlaví sekce : 115696 (bajtů do souboru)
Příznaky: 0x0
Velikost tohoto záhlaví: 64 programu 64 (bytů)
Velikost záhlaví sekcí: 64 (bajtů)
Počet záhlaví sekcí: 31
Index tabulky řetězců záhlaví sekcí:30
$
objdump
Co to dělá:Zobrazuje informace z objektového souboru.
Binární soubory se vytvářejí, když píšete zdrojový kód, který se kompiluje pomocí nástroje, který se nepřekvapivě nazývá kompilátor. Tento kompilátor generuje instrukce ve strojovém jazyce ekvivalentní zdrojovému kódu, který pak může CPU spustit k provedení dané úlohy. Tento kód strojového jazyka lze interpretovat pomocí mnemotechnických pomůcek nazývaných jazyk symbolických instrukcí. Jazyk symbolických instrukcí je sada instrukcí, které vám pomohou porozumět operacím prováděným programem a nakonec prováděným na CPU.
objdump obslužný program přečte binární nebo spustitelný soubor a vypíše na obrazovku pokyny v jazyce symbolických instrukcí. Znalost sestavení je zásadní pro pochopení výstupu objdump příkaz.
Pamatujte:jazyk symbolických instrukcí je specifický pro architekturu.
$ objdump -d /bin/ls | head
/bin/ls: formát souboru elf64-x86-64
Demontáž sekce .init:
0000000000402150 <_init @@ základna>:
402150:48 83 EC 08 sub $ 0x8,% rsp
402154:48 8b 05 6d 8E 21 00 mov 0x218E6d (% rip),% rax # 61Afc8 <__ gmon_start __>
40215b: 48 85 c0 test %rax,%rax
$
strace
Co to dělá:Sledování systémových volání a signálů.
Pokud jste použili ltrace , zmiňovaný dříve, vzpomeňte si na strace být podobný. Jediný rozdíl je v tom, že namísto volání knihovny je to strace utility sleduje systémová volání. Systémová volání jsou způsob, jakým se propojujete s jádrem, abyste mohli pracovat.
Chcete-li uvést příklad, pokud chcete něco vytisknout na obrazovku, použijete printf nebo vloží funkce ze standardní knihovny libc; pod kapotou je však nakonec systémové volání s názvem write budou provedeny tak, aby skutečně něco vytiskly na obrazovku.
$ strace -f /bin/ls
execve("/bin/ls", ["/bin/ls"], [/* 17 vars */]) =0
brk( NULL) =0x686000
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1"f79) -cld) -1"f/9) =ac. cld. 1 ENOENT (Žádný takový soubor nebo adresář)
open("/etc/ld.so.cache", O_RDONLY|O_CLOEXEC) =3
fstat(3, {st_mode=S_IFREG|0644, st_size=40661 , ...}) =0
mmap(NULL, 40661, PROT_READ, MAP_PRIVATE, 3, 0) =0x7f9679560000
zavřít(3) < < ni> br / 0>< >fstat(1, {st_mode=S_IFCHR|0620, st_rdev=makedev(136, 1), ...}) =0
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0 ) =0x7F9679569000
zápis (1, "R2 RH", 7R2 RH
) =7
Zavřít (1) =0
Munmap (0x7F9679569000, 4096) =0
zavřít(2) =0
exit_group(0) =?
++ + skončilo s 0 +++
$
nm
Co to dělá:Seznam symbolů ze souborů objektů.
Pokud pracujete s binárním souborem, který není odstraněn, nm příkaz vám poskytne cenné informace, které byly vložené do binárního souboru během kompilace. nm vám může pomoci identifikovat proměnné a funkce z binárního kódu. Dokážete si představit, jak užitečné by to bylo, kdybyste neměli přístup ke zdrojovému kódu analyzovaného binárního souboru.
Chcete-li předvést nm , rychle napíšeme malý program a zkompilujeme ho s -g a také uvidíme, že binární soubor není odstraněn pomocí příkazu file.
$ cat hello.c
#include
int main() {
printf("Ahoj světe!");
return 0;
}
$
$ gcc -g ahoj.c -o ahoj
$
$ soubor ahoj
ahoj:spustitelný soubor ELF 64-bit LSB , x86-64, verze 1 (SYSV), dynamicky propojené (používá sdílené knihovny), pro GNU/Linux 2.6.32, BuildID[sha1]=3de46c8efb98bce4ad525d3328121568ba3d8a5d, neodstraněno /
$. br />Ahoj světe!$
$
$ nm ahoj | ocas
000000000000600E20 d __jcr_end__
000000000000600E20 d __jcr_csu_fini
00000000000000400540 t __LIBC_CSU_INIT
000000000000400540> U printf@@GLIBC_2.2.5
0000000000400490 t register_tm_clones
0000000000400430 T _start
0000600_0_0_000000_0_0_000000000000000000000000gdb
Co to dělá:GNU debugger.
No, ne všechno v binárním systému lze staticky analyzovat. Provedli jsme některé příkazy, které spouštěly binární soubor, například ltrace a strace; software se však skládá z různých podmínek, které by mohly vést k provedení různých alternativních cest.
Jediný způsob, jak analyzovat tyto cesty, je za běhu tím, že máte možnost zastavit nebo pozastavit program na libovolném místě a budete schopni analyzovat informace a poté se posunout dále dolů.
To je místo, kde přicházejí debuggery do obrázku a v systému Linux gdb je defacto debugger. Pomůže vám načíst program, nastavit body přerušení na konkrétních místech, analyzovat paměť a registr CPU a dělat mnohem více. Doplňuje ostatní výše uvedené nástroje a umožňuje vám provádět mnohem více analýzy za běhu.Jedna věc, kterou je třeba si všimnout, je, že jakmile načtete program pomocí gdb , zobrazí se vám vlastní (gdb) výzva. Všechny další příkazy budou spouštěny v tomto gdb příkazového řádku, dokud neukončíte.
Použijeme program „ahoj“, který jsme zkompilovali dříve, a použijeme gdb abyste viděli, jak to funguje.
$ gdb -q ./hello
Čtení symbolů z /home/flash/ahoj...hotovo.
(gdb) break main
Bod 1 na 0x400521:soubor hello.c , řádek 4.
(gdb) info break
Num Typ Disp Enb Address Co
1 bod přerušení keep y 0x00000000004000521 (hlavní g) 400521 />Spouštěcí program:/home/flash/./hello
Bod 1, hlavní () na hello.c:4
4 printf("Ahoj svět!");
Chybí samostatné informace o ladění, použijte:debuginfo-install glibc-2.17-260.el7_6.6.x86_64
(gdb) bt
#0 main () na hello.c:4
(gdb ) c
Pokračujeme.
Ahoj světe![Inferior 1 (proces 29620) skončil normálně]
(gdb) q
$Závěr
Jakmile se seznámíte s používáním těchto nativních nástrojů pro binární analýzu Linuxu a pochopíte výstup, který poskytují, můžete přejít na pokročilejší a profesionálnější nástroje pro binární analýzu s otevřeným zdrojovým kódem, jako je radare2.
Linux