Binary程序分析查看类命令
[TOC]
0x00 快速入门
编程相关缩写 缩写 | 全称 | 说明 — | — | — cc | C Compiler | gcc | Gnu Compiler Collection | 作为一个软件集被你下载下来编译安装的时候 gcc | Gnu C Compiler | 作为一个软件被你调用来编译C程序的时候 g++ | Gnu c++ compiler | 其实g++只是调用gcc,然后连接c++的库,并且作相应的一些编译设置而已 gcj | Gnu Compiler for Java | gdb | Gnu DeBug |
file命令
描述:用来探测给定文件的类型,file命令对文件的检查分为文件系统、魔法幻数检查和语言检查3个过程.
#基础语法和参参数
file (选项) (参数) # parameters-> 文件:要确定类型的文件列表,多个文件之间使用空格分开,可以使用shell通配符匹配多个文件
WeiyiGeek.参数
示例:
#示例1.显示文件类型
$file anaconda-ks.cfg
anaconda-ks.cfg: ASCII text
$file PentextBox.zip
PentextBox.zip: Zip archive data, at least v2.0 to extract
$file -b PentextBox.zip #不显示文件名称
Zip archive data, at least v2.0 to extract
$file -b -i PentextBox.zip #显示MIME类别
application/zip; charset=binary
$file -b -i anaconda-ks.cfg
text/plain; charset=us-ascii
#示例2.判断当前系统的位数(运行的平台,以及架构和是不是支持裁剪stripped,)
$file /bin/ls
/bin/ls: [关键点]ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.6.32, BuildID[sha1]=ceaf496f3aec08afced234f4f36330d3d13a657b, stripped
#示例3.显示符合链接的文件类型以及目录
$file anaconda-ks.ln
anaconda-ks.ln: symbolic link to `anaconda-ks.cfg`
$file /root/
/root/: directorysize 命令
描述:分析Linux程序内存段分布,但它的输出不包括stack和heap的部分,只包括文本段(text), 代码段(data),未初始化数据段(bss)三部分。
- 1、文本段:包含程序的指令,它在程序的执行过程中一般不会改变。
- 2、数据段:包含了经过初始化的全局变量和静态变量,以及他们的值。
- 3、BSS段:包含未经初始化的全局变量和静态变量。
- 4、堆栈段:包含了函数内部声明的局部变量。当然上面段的作用不仅于此具体的作用
#示例1.以C脚本来分析
[root@pc201 ccodes]# cat test.c
// 论1:未初始化的全局变量保存在BSS段
int g_data; //4B(由于整型占用了4B)
//论2:经过初始化的全局变量保存在数据段中
int gg_data=1;
// 论6:const修饰的全局变量保存在文本段
const int g_data=1;
//论8:字符串常量保存在文本段/数据data段
char *pstr="123456789"; //文本占用9B,数据data段4B
//char ptrs[10]="123456789"; //这个只增加数据data段
int main()
{
//论3:未初始化的静态变量保存在BSS段中
static int sg_data;
//论4:经过初始化的静态变量保存在数据段中
static int sgg_data = 2;
//结论7:const修饰的局部变量保存在文本段
const int i_data=1;
return 1;
}
WeiyiGeek.案例演示
0x01 应用依赖查看
ldd 命令
描述:用于打印程序或者库文件所依赖的共享库列表。值得注意的是ldd不是一个可执行程序而只是一个shell脚本: cat whereis ldd | cut -f 2 -d ' ',ldd显示可执行模块的dependency(所属)的工作原理,其实质是通过ld-linux.so(elf动态库的装载器)来实现的;
它能够显示可执行模块的dependency(所属)(所属),其原理是通过设置一系列的环境变量,如下:LD_TRACE_LOADED_OBJECTS、LD_WARN、LD_BIND_NOW、LD_LIBRARY_VERSION、LD_VERBOSE等。
当LD_TRACE_LOADED_OBJECTS环境变量不为空时,任何可执行程序在运行时,它都会只显示模块的dependency(所属),而程序并不真正执行。 例如:
$ export LD_TRACE_LOADED_OBJECTS=0
$ ls (实际上命令并未执行)
linux-vdso.so.1 => (0x00007fffcb2ff000)
libselinux.so.1 => /lib64/libselinux.so.1 (0x00007f236c95d000)
libcap.so.2 => /lib64/libcap.so.2 (0x00007f236c758000)
libacl.so.1 => /lib64/libacl.so.1 (0x00007f236c54f000)
libc.so.6 => /lib64/libc.so.6 (0x00007f236c181000)
libpcre.so.1 => /lib64/libpcre.so.1 (0x00007f236bf1f000)
libdl.so.2 => /lib64/libdl.so.2 (0x00007f236bd1b000)
/lib64/ld-linux-x86-64.so.2 (0x00007f236cb84000)
libattr.so.1 => /lib64/libattr.so.1 (0x00007f236bb16000)
libpthread.so.0 => /lib64/libpthread.so.0 (0x00007f236b8fa000)
$ unset LD_TRACE_LOADED_OBJECTS
$ ls
aio.h bits dlfcn.hQ:那为何会如此?
我们知道ld-linux.so模块会先于executable模块程序工作,并获得控制权,因此当上述的那些环境变量被设置时ld-linux.so选择了显示可执行模块的dependency(所属)。
实际上可以直接执行ld-linux.so模块,如:/lib/ld-linux.so.2 --list program(这相当于ldd program)
基础语法:
ldd (选项) (参数-指定可执行程序或者文库)
-v:详细信息模式,打印所有相关信息;
-u:打印未使用的直接依赖;
-d:执行重定位和报告任何丢失的对象;
-r:执行数据对象和函数的重定位,并且报告任何丢失的对象和函数;基础实例:
#1.显示su应用依赖的动态链接库
ldd `whereis sudo|cut -f2 -d ' '`
linux-vdso.so.1 => (0x00007ffceeb96000)
libaudit.so.1 => /lib64/libaudit.so.1 (0x00007f1b92599000)
libselinux.so.1 => /lib64/libselinux.so.1 (0x00007f1b92372000)
libutil.so.1 => /lib64/libutil.so.1 (0x00007f1b9216f000)
libsudo_util.so.0 => /usr/libexec/sudo/libsudo_util.so.0 (0x00007f1b91f5c000)
libdl.so.2 => /lib64/libdl.so.2 (0x00007f1b91d58000)
libc.so.6 => /lib64/libc.so.6 (0x00007f1b9198a000)
libcap-ng.so.0 => /lib64/libcap-ng.so.0 (0x00007f1b91784000)
libpcre.so.1 => /lib64/libpcre.so.1 (0x00007f1b91522000)
/lib64/ld-linux-x86-64.so.2 (0x00007f1b929e7000)
libpthread.so.0 => /lib64/libpthread.so.0 (0x00007f1b91306000)
#2.详细依赖查看
$ ldd -v `whereis sudo|cut -f2 -d ' '`
linux-vdso.so.1 => (0x00007fff4269e000)
libaudit.so.1 => /lib64/libaudit.so.1 (0x00007f7efb74f000)
Version information:
/usr/bin/sudo:
libutil.so.1 (GLIBC_2.2.5) => /lib64/libutil.so.1
libc.so.6 (GLIBC_2.9) => /lib64/libc.so.6
libc.so.6 (GLIBC_2.3) => /lib64/libc.so.6
libc.so.6 (GLIBC_2.14) => /lib64/libc.so.6
libc.so.6 (GLIBC_2.8) => /lib64/libc.so.6
libc.so.6 (GLIBC_2.4) => /lib64/libc.so.6
libc.so.6 (GLIBC_2.6) => /lib64/libc.so.6
libc.so.6 (GLIBC_2.3.4) => /lib64/libc.so.6
libc.so.6 (GLIBC_2.2.5) => /lib64/libc.so.6
libc.so.6 (GLIBC_2.11) => /lib64/libc.so.6
#3.当应用报错时候可以采用ldd来查看缺少的so链接库(比如下图)
#解决程式因缺少某个库文件而不能运行的一些问题
ln -s /usr/lib/i386-linux-gnu/libpangoxft-1.0.so.0.3800.1 /usr/lib/libpangoxft-1.0.so.0
WeiyiGeek.
注意事项:
- ldd的标准版本和glibc2一起提供, Libc5和老版本以前提供在一些系统中还存在。
- 在libc5版本中长选项不支持
- glibc2版本不支持-V选项,只提供等价的–version选项。
- 如果命令行中给定的库名字包含/,这个程式的libc5版本将使用他作为库名字;否则他将在标准位置搜索库;
- 注意ldd不能工作在a.out格式的共享库上,调试异常。