it-swarm-eu.dev

Můžeme získat informace o kompilátoru od binárního elfa?

Existuje nějaká šance vědět, jak byl vytvořen binární pod Linuxem? (nebo jiný Unix)

Kompilátor, verze, čas, příznaky atd ...

Podíval jsem se na readelf a moc jsem nenašel, ale existují i ​​jiné způsoby, jak analyzovat binární kód/sekci atd. ...

Něco, co umíš extrahovat?

53
elmarco

Neexistuje univerzální způsob, ale můžete udělat vzdělaný odhad tím, že hledáte věci, které provádí pouze jeden kompilátor.

GCC je nejjednodušší; zapíše .comment sekce, která obsahuje řetězec verze GCC (stejný řetězec dostanete, pokud spustíte gcc --version). Nevím, jestli existuje způsob, jak to zobrazit pomocí readelf, ale s objdump je to:

objdump -s --section .comment /path/binary

Právě jsem si uvědomil, že jsem ignoroval zbytek tvé otázky. Vlajky nejsou nikde obecně ukládány; budou pravděpodobně v sekci komentářů, ale nikdy jsem to neviděl. V záhlaví COFF je místo pro časové razítko, ale v ELF neexistuje ekvivalent, takže si nemyslím, že je k dispozici také čas kompilace

52
Michael Mrozek

Co takhle:

readelf -p .comment a.out
29
Colin King

Můžete zkusit použít příkaz strings. To vytvoří spoustu textového výstupu; jeho kontrolou byste mohli uhodnout kompilátor.

[email protected]:~$ strings -a a.out |grep -i gcc
GCC: (Ubuntu 4.4.3-4ubuntu5) 4.4.3

Tady vím, že je kompilován s gcc, ale vždy můžete přesměrovat výstup strings do souboru a prozkoumat jej.

Existuje jeden velmi dobrý nástroj s názvem peid pro Windows, ale na Linuxu nemůžu najít žádnou alternativu.

19
Hemant

readelf nebo objdump to mohou udělat.

Soubor ELF kompilovaný pomocí gcc přidá dvě sekce .note.ABI-tag a .note.gnu.build-id. oba mohli zobrazit

objdump -sj .note.ABI-tag ELFFILE
objdump -sj .note.gnu-build-id ELFFILE

volba "s" znamená zobrazit celý obsah, "j" pro označení názvu sekce. Tento styl získá hex obsah těchto sekcí.

readelf -n

jednou ukáže obsah ELFFILE čitelný pro člověka. možnost „n“ znamená POZNÁMKY.

Vyberte si, jak se vám líbí.

Mimochodem, pomocí objcopy, můžete přidat vlastní sekci do elf souboru.

5
liuyang1

Existují dvě metody. Oba budou mít stejný výsledek

objdump -s --section .comment path/to/binary

Pomocí příkazu readelf readelf -S binary zobrazí v binárním souboru 40 záhlaví sekcí. Poznamenejte si sériové číslo .comment záhlaví sekce. V mém systému to bylo 27 (může se lišit ve vašem případě)

readelf -x 30 path/to/binary -> který zobrazí hexadecimální výpis sekce '.comment'. Na tomto výpisu můžete vidět kompilátor použitý pro sestavení binárního kódu.

5
Ranjini

Můžete také použít tento chytrý skript , který počítá počty různých instrukcí CPU používaných binárním programem. Je založen na analýze výstupu objdump. Dejte si pozor, že dokončení může trvat poměrně dlouho, pokud ji použijete na velkém binárním kódu.

4
rozcietrzewiacz

Pokud otevřete binární ELF v 7-Zipu, zobrazí se seznam různých sekcí uvnitř. Odtud můžete použít možnost Zobrazit kontextové menu na vyslovení v části „.comment“ a zobrazit komentáře kompilátoru (např. „GCC: (GNU) 4.9 20150123 (prerelease) Android = verze clang 3.8.256229 (na základě LLVM 3.8.256229) ").

Dbejte na to, aby sekce ".comment", pokud existuje, začala začínat nulovým znakem, takže nezapomeňte vybrat prohlížečovou aplikaci pro použití v 7-Zipu, která tím nebude zmatena (např. Pokusí se interpretovat data jako Unicode). Ostatní oddíly, které mohou existovat a mohou být zajímavé, jsou „.note. *“.

0
Joe

V závislosti na tom, který program, může být hodná štěstí. Některé programy to nechají zkompilovat jako informace a budou dostupné nějakým druhem volání verze (-V, --verze, -verze atd.). Můžete najít libovolnou podmnožinu těch položek, které hledáte (včetně nulové sady). Zde je zvláště plodný příklad, Perl 5:

$ Perl -V

Summary of my Perl5 (revision 5 version 26 Subversion 2) configuration:

  Platform:
    osname=linux
    osvers=4.15.15-1-Arch
    archname=x86_64-linux-thread-multi
    uname='linux flo-64 4.15.15-1-Arch #1 smp preempt sat mar 31 23:59:25 utc 2018 x86_64 gnulinux '
    config_args='-des -Dusethreads -Duseshrplib -Doptimize=-march=x86-64 -mtune=generic -O2 -pipe -fstack-protector-strong -fno-plt -Dprefix=/usr -Dvendorprefix=/usr -Dprivlib=/usr/share/Perl5/core_Perl -Darchlib=/usr/lib/Perl5/5.26/core_Perl -Dsitelib=/usr/share/Perl5/site_Perl -Dsitearch=/usr/lib/Perl5/5.26/site_Perl -Dvendorlib=/usr/share/Perl5/vendor_Perl -Dvendorarch=/usr/lib/Perl5/5.26/vendor_Perl -Dscriptdir=/usr/bin/core_Perl -Dsitescript=/usr/bin/site_Perl -Dvendorscript=/usr/bin/vendor_Perl -Dinc_version_list=none -Dman1ext=1Perl -Dman3ext=3Perl -Dcccdlflags='-fPIC' -Dlddlflags=-shared -Wl,-O1,--sort-common,--as-needed,-z,relro,-z,now -Dldflags=-Wl,-O1,--sort-common,--as-needed,-z,relro,-z,now'
    hint=recommended
    useposix=true
    d_sigaction=define
    useithreads=define
    usemultiplicity=define
    use64bitint=define
    use64bitall=define
    uselongdouble=undef
    usemymalloc=n
    default_inc_excludes_dot=define
    bincompat5005=undef
  Compiler:
    cc='cc'
    ccflags ='-D_REENTRANT -D_GNU_SOURCE -fwrapv -fno-strict-aliasing -pipe -fstack-protector-strong -I/usr/local/include -D_LARGEFILE_SOURCE -D_FILE_OFFSET_BITS=64 -D_FORTIFY_SOURCE=2'
    optimize='-march=x86-64 -mtune=generic -O2 -pipe -fstack-protector-strong -fno-plt'
    cppflags='-D_REENTRANT -D_GNU_SOURCE -fwrapv -fno-strict-aliasing -pipe -fstack-protector-strong -I/usr/local/include'
    ccversion=''
    gccversion='7.3.1 20180312'
    gccosandvers=''
    intsize=4
    longsize=8
    ptrsize=8
    doublesize=8
    byteorder=12345678
    doublekind=3
    d_longlong=define
    longlongsize=8
    d_longdbl=define
    longdblsize=16
    longdblkind=3
    ivtype='long'
    ivsize=8
    nvtype='double'
    nvsize=8
    Off_t='off_t'
    lseeksize=8
    alignbytes=8
    prototype=define
  Linker and Libraries:
    ld='cc'
    ldflags ='-Wl,-O1,--sort-common,--as-needed,-z,relro,-z,now -fstack-protector-strong -L/usr/local/lib'
    libpth=/usr/local/lib /usr/lib/gcc/x86_64-pc-linux-gnu/7.3.1/include-fixed /usr/lib /lib/../lib /usr/lib/../lib /lib /lib64 /usr/lib64
    libs=-lpthread -lnsl -lgdbm -ldb -ldl -lm -lcrypt -lutil -lc -lgdbm_compat
    perllibs=-lpthread -lnsl -ldl -lm -lcrypt -lutil -lc
    libc=libc-2.26.so
    so=so
    useshrplib=true
    libperl=libperl.so
    gnulibc_version='2.26'
  Dynamic Linking:
    dlsrc=dl_dlopen.xs
    dlext=so
    d_dlsymun=undef
    ccdlflags='-Wl,-E -Wl,-rpath,/usr/lib/Perl5/5.26/core_Perl/CORE'
    cccdlflags='-fPIC'
    lddlflags='-shared -Wl,-O1,--sort-common,--as-needed,-z,relro,-z,now -L/usr/local/lib -fstack-protector-strong'


Characteristics of this binary (from libperl): 
  Compile-time options:
    HAS_TIMES
    MULTIPLICITY
    PERLIO_LAYERS
    Perl_COPY_ON_WRITE
    Perl_DONT_CREATE_GVSV
    Perl_IMPLICIT_CONTEXT
    Perl_MALLOC_WRAP
    Perl_OP_PARENT
    Perl_PRESERVE_IVUV
    USE_64_BIT_ALL
    USE_64_BIT_INT
    USE_ITHREADS
    USE_LARGE_FILES
    USE_LOCALE
    USE_LOCALE_COLLATE
    USE_LOCALE_CTYPE
    USE_LOCALE_NUMERIC
    USE_LOCALE_TIME
    USE_PERLIO
    USE_Perl_ATOF
    USE_REENTRANT_API
  Built under linux
  Compiled at Apr 18 2018 22:21:20
  %ENV:
    Perl5LIB="/home/jhuber/Perl5/lib/Perl5"
    Perl_LOCAL_LIB_ROOT="/home/jhuber/Perl5"
    Perl_MB_OPT="--install_base "/home/jhuber/Perl5""
    Perl_MM_OPT="INSTALL_BASE=/home/jhuber/Perl5"
  @INC:
    /home/jhuber/Perl5/lib/Perl5/x86_64-linux-thread-multi
    /home/jhuber/Perl5/lib/Perl5
    /usr/lib/Perl5/5.26/site_Perl
    /usr/share/Perl5/site_Perl
    /usr/lib/Perl5/5.26/vendor_Perl
    /usr/share/Perl5/vendor_Perl
    /usr/lib/Perl5/5.26/core_Perl
    /usr/share/Perl5/core_Perl
0
Joshua Huber