转: 关于Linux常用的二进制文件分析方法

当你在unix下拿到一个二进制文件但不知道它是什么的时候,可以通过以下方法得到一此提示

1、 最首先应该尝试strings命令,比如拿到一个叫cr1的二进制文件,可以:

  $ strings cr1 | more

  里面可能会有一些对于这个cr1的描述,这些信息都是编译之后在程序中留下的一些文本性的说明,所以可能会告诉你这个文件是什么.

  比如有输出:

  $ strings cr1 | more
  %s %s %s%s%s -> %s%s%s (%.*s)
  Version: 2.3
  Usage: dsniff [-cdmn] [-i interface] [-s snaplen] [-f services]
  [-t trigger[,...]] [-r|-w savefile] [expression]
  ...
  /usr/local/lib/dsniff.magic
  /usr/local/lib/dsniff.services
  ...

  那么我们就可以知道,其实 cr1就是dsniff命令.

  2、 如果这样的方法没有帮助你的话,那么你可以尝试:

  $ /usr/ccs/bin/nm -p cr1 | more

  比如说得到如下输出:

  cr1:
  [Index] Value Size Type Bind Other Shndx Name
  [180] |0 | 0| FILE | LOCL | 0 |ABS | decode_smtp.c
  [2198] |160348| 320| FUNC | GLOB | 0 | 9 | decode_sniffer

  这些都是生成这个二进制文件的obj文件的文件名称,这些名称会告诉你这个二进制文件的作用的.

  同样,如果希望查看二进制文件调用到的静态库文件都有哪些的话,可以使用nm -Du cr1来实现.

  3、 当然我们也可以通过使用dump命令来得到任何一个二进制文件的选定部分信息

  $ /usr/ccs/bin/dump -c ./cr1 | more

  dump命令的参数说明:

  -c Dump出字符串表

  -C Dump出C++符号表

  -D Dump出调试信息

  -f Dump出每个文件的头

  -h Dump出section的头

  -l Dump出行号信息

  -L Dump出动态与静态链接库部分内容

  -o Dump出每个程序的可执行头

  -r Dump出重定位信息

  -s 用十六进制信息Dump出section的内容

  -t Dump符号表.

  4、 可以使用file命令得到二进制文件的信息

  $ file cr1

  5、 如果还是不清楚的话,那么我们可以使用ldd命令

  $ ldd cr1

  比如说输出为:
  ...
  libsocket.so.1 => /usr/lib/libsocket.so.1
  librpcsvc.so.1 => /usr/lib/librpcsvc.so.1
  ...

  那么我们就可以知道这个程序与网络库相关,我们就可以知道它的大概功能了.

  我们也可以能过adb命令来得到一个二进制文件的执行过程.

  比如说:
  $ adb cr1
  :r
  Using device /dev/hme0 (promiscuous mode)
  192.168.2.119 -> web TCP D=22 S=1111 Ack=2013255208
  Seq=1407308568 Len=0 Win=17520
  web -> 192.168.2.119 TCP D=1111 S=22 Push Ack=1407308568

  我们知道这个程序是一个sniffer.

  6、 如果你确定要运行这个程序的话,你可以先通过:

$ truss -f -o cr.out ./cr1
listening on hme0
^C
$

  truss命令可以帮你打开系统的信号与调用输出.你就可以知道这个程序到底干了什么.

  有了上面这些工具的话,我们就可以大概了解到一个未知的二进制程序到底是干什么的.

  最后提示大家,运行不了解的二进制程序有严重的安全问题,请大家小心.

转: 关于Linux常用的二进制文件分析方法

时间: 2024-11-08 23:37:07

转: 关于Linux常用的二进制文件分析方法的相关文章

Linux内核源码分析方法

  一.内核源码之我见 Linux内核代码的庞大令不少人“望而生畏”,也正因为如此,使得人们对Linux的了解仅处于泛泛的层次.如果想透析Linux,深入操作系统的本质,阅读内核源码是最有效的途径.我们都知道,想成为优秀的程序员,需要大量的实践和代码的编写.编程固然重要,但是往往只编程的人很容易把自己局限在自己的知识领域内.如果要扩展自己知识的广度,我们需要多接触其他人编写的代码,尤其是水平比我们更高的人编写的代码.通过这种途径,我们可以跳出自己知识圈的束缚,进入他人的知识圈,了解更多甚至我们一

linux常用的日志分析脚本

linux实用的日志分析脚本 日志分析 随意的tail一个access_log文件,下面是一条经典的访问记录 218.19.140.242 – - [10/Dec/2010:09:31:17 +0800] “GET /query/trendxml/district/todayreturn/month/2009-12-14/2010-12-09/haizhu_tianhe.xml HTTP/1.1″ 200 1933 “-” “Mozilla/5.0 (Windows; U; Windows NT

3.linux常用软件的安装方法

linux 上的软件不像windows上直接运行安装那么容易,在linux上有很多不同的安装包,大概常见的就有deb.tar.gz.tar.bz(tar.bz2).rpm等类型文件 1.deb文件安装方法(dpkg命令常用格式如下:) sudo dpkg -I linuxidc.deb#查看linuxidc.deb软件包的详细信息,包括软件名称.版本以及大小等(其中-I等价于--info) sudo dpkg -c linuxidc.deb#查看linuxidc.deb软件包中包含的文件结构(其

linux常用命令:cat使用方法

linux命令:cat(常用方法详解) 说明:   cat 是一个文本文件查看和连接工具.查看一个文件的内容,用cat比较简单,就是cat 后面直接接文件名,如cat linuxyw.txt.cat命令的用途是连接文件或标准输入并打印.这个命令常用来显示文件内容,或者将几个文件连接起来显示,或者从标准输入读取内容并显示,它常与重定向符号配合使用.cat --help可以查看cat帮助信息,如各种参数使用方法,当然也可以用man cat来查看,建议大家养成遇到命令不懂用法时,用--help或man

Linux下apache日志分析与状态查看方法

假设apache日志格式为:118.78.199.98 – - [09/Jan/2010:00:59:59 +0800] “GET /Public/Css/index.css HTTP/1.1″ 304 – “http://www.a.cn/common/index.php” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6.3)” 问题1:在apachelog中找出访问次数最多的10个IP.awk '{print $1}

Linux常用命令(十二)日志文件分析

? ? ? ? ? ? ? ? ? ? ? ? Linux常用命令(十二)日志文件分析 日志文件是用于记录Linux系统中各种运行消息的文件,相当于Linux主机的"日记".不同的日志文件记载了不同类型的信息,如Linux内核消息.用户登录事件.程序错误等. 一.主要日志文件 ???? ? ? ? 在Linux系统中,日志数据主要包括以下三种类型. ■ 内核及系统日志: 这种日志数据由系统服务rslslog统一管理,根据其主配置文件/etc/rsyslog.conf中的设置决定将内核消

linux下常用的日志分析命令

linux下常用的日志分析命令 本文介绍下,在linux中常用的一些分析日志的命令行或脚本,有需要的朋友参考下. 形如下面这样的access.log日志内容: 211.123.23.133 – - [10/Dec/2010:09:31:17 +0800] “GET /query/trendxml/district/todayreturn/month/2009-12-14/2010-12-09/haizhu_tianhe.xml HTTP/1.1″ 200 1933 “-” “Mozilla/5.

linux 程序分析方法

1. 背景 现实中,我们需要学习已有的软件构造方法,或维护旧的软件,或添加新功能,亦或优化性能, 这时面对的代码都不是自己所写,那如何才能快速知道这个代码库干了什么,源文件如何组织,模块间如何交互? 2. 程序的运转 a)应用程序:一般是一个语法树结构,树的叶子结点或是简单的操作(+.-.=等),或是系统调用(read.write.sleep), 树根一般是main:如果有多线程/进程,那就会产生多颗树:在出现递归调用时,也会出现环路. b)内核:内核是应用与硬件间的中间层,交互方法就是软中断和

Linux内核分析方法谈

本文来自 http://blog.csdn.net/ouyang_linux007/article/details/7422346 Linux的最大的好处之一就是它的源码公开.同时,公开的核心源码也吸引着无数的电脑爱好者和程序员:他们把解读和分析Linux的核心源码作为自己的最大兴趣,把修改Linux源码和改造Linux系统作为自己对计算机技术追求的最大目标. Linux内核源码是很具吸引力的,特别是当你弄懂了一个分析了好久都没搞懂的问题:或者是被你修改过了的内核,顺利通过编译,一切运行正常的时