關(guān)于Linux常用的二進(jìn)制文件分析方法

出處：maychang 發(fā)布于：2009-03-13 09:15:24

　　當(dāng)你在unix下拿到一個(gè)二進(jìn)制文件但不知道它是什么的時(shí)候,可以通過以下方法得到一此提示

　　1、首先應(yīng)該嘗試strings命令,比如拿到一個(gè)叫cr1的二進(jìn)制文件,可以:

　　$ strings cr1 | more

　　里面可能會(huì)有一些對(duì)于這個(gè)cr1的描述,這些信息都是編譯之后在程序中留下的一些文本性的說明,所以可能會(huì)告訴你這個(gè)文件是什么.

　　比如有輸出:

　　$ strings cr1 | more
　　%s %s %s%s%s -> %s%s%s (%.*s)
　　Version: 2.3
　　Usage: dsniff [-cdmn] [-i interface] [-s snaplen] [-f services]
　　[-t trigger[,...]] [-r|-w savefile] [expression]
　　...
　　/usr/local/lib/dsniff.magic
　　/usr/local/lib/dsniff.services
　　...

　　那么我們就可以知道,其實(shí) cr1就是dsniff命令.

　　2、如果這樣的方法沒有幫助你的話,那么你可以嘗試:

　　$ /usr/ccs/bin/nm -p cr1 | more

　　比如說得到如下輸出:

　　cr1:
　　[Index]   Value    Size Type    Bind Other   Shndx       Name
　　[180]     |0     |    0| FILE | LOCL | 0     |ABS |       decode_smtp.c
　　[2198]    |160348| 320| FUNC | GLOB | 0     | 9 |       decode_sniffer

　　這些都是生成這個(gè)二進(jìn)制文件的obj文件的文件名稱,這些名稱會(huì)告訴你這個(gè)二進(jìn)制文件的作用的.

　　同樣,如果希望查看二進(jìn)制文件調(diào)用到的靜態(tài)庫文件都有哪些的話,可以使用nm -Du cr1來實(shí)現(xiàn).

　　3、當(dāng)然我們也可以通過使用dump命令來得到任何一個(gè)二進(jìn)制文件的選定部分信息

　　$ /usr/ccs/bin/dump -c ./cr1 | more

　　dump命令的參數(shù)說明:

　　-c Dump出字符串表

　　-C Dump出C++符號(hào)表

　　-D Dump出調(diào)試信息

　　-f Dump出每個(gè)文件的頭

　　-h Dump出section的頭

　　-l Dump出行號(hào)信息

　　-L Dump出動(dòng)態(tài)與靜態(tài)鏈接庫部分內(nèi)容

　　-o Dump出每個(gè)程序的可執(zhí)行頭

　　-r Dump出重定位信息

　　-s 用十六進(jìn)制信息Dump出section的內(nèi)容

　　-t Dump符號(hào)表.

　　4、可以使用file命令得到二進(jìn)制文件的信息

　　$ file cr1

　　5、如果還是不清楚的話,那么我們可以使用ldd命令

　　$ ldd cr1

　　比如說輸出為:
　　...
　　libsocket.so.1 => /usr/lib/libsocket.so.1
　　librpcsvc.so.1 => /usr/lib/librpcsvc.so.1
　　...

　　那么我們就可以知道這個(gè)程序與網(wǎng)絡(luò)庫相關(guān),我們就可以知道它的大概功能了.

　　我們也可以能過adb命令來得到一個(gè)二進(jìn)制文件的執(zhí)行過程.

　　比如說:
　　$ adb cr1
　　:r
　　Using device /dev/hme0 (promiscuous mode)
　　192.168.2.119 -> web TCP D=22 S=1111 Ack=2013255208
　　Seq=1407308568 Len=0 Win=17520
　　web -> 192.168.2.119 TCP D=1111 S=22 Push Ack=1407308568

　　我們知道這個(gè)程序是一個(gè)sniffer.

　　6、如果你確定要運(yùn)行這個(gè)程序的話,你可以先通過:

$ truss -f -o cr.out ./cr1 listening on hme0 ^C $

　　truss命令可以幫你打開系統(tǒng)的信號(hào)與調(diào)用輸出.你就可以知道這個(gè)程序到底干了什么.

　　有了上面這些工具的話,我們就可以大概了解到一個(gè)未知的二進(jìn)制程序到底是干什么的.

　　提示大家,運(yùn)行不了解的二進(jìn)制程序有嚴(yán)重的安全問題,請(qǐng)大家小心.

關(guān)鍵詞：關(guān)于Linux常用的二進(jìn)制文件分析方法Linux二進(jìn)

上一篇：基于嵌入式系統(tǒng)調(diào)試診斷方法

下一篇：基于Linux操作系統(tǒng)下運(yùn)行命令時(shí)CTRL+Z的作用

版權(quán)與免責(zé)聲明

凡本網(wǎng)注明“出處：維庫電子市場(chǎng)網(wǎng)”的所有作品，版權(quán)均屬于維庫電子市場(chǎng)網(wǎng)，轉(zhuǎn)載請(qǐng)必須注明維庫電子市場(chǎng)網(wǎng)，http://www.hbjingang.com，違反者本網(wǎng)將追究相關(guān)法律責(zé)任。

本網(wǎng)轉(zhuǎn)載并注明自其它出處的作品，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性，不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。其他媒體、網(wǎng)站或個(gè)人從本網(wǎng)轉(zhuǎn)載時(shí)，必須保留本網(wǎng)注明的作品出處，并自負(fù)版權(quán)等法律責(zé)任。

如涉及作品內(nèi)容、版權(quán)等問題，請(qǐng)?jiān)谧髌钒l(fā)表之日起一周內(nèi)與本網(wǎng)聯(lián)系，否則視為放棄相關(guān)權(quán)利。

相關(guān)技術(shù)資料