it-swarm-eu.dev

Pouvons-nous obtenir des informations sur le compilateur à partir d'un binaire elfe?

Y a-t-il une chance de savoir comment un binaire a été construit, sous Linux? (et ou autre Unix)

Compilateur, version, heure, drapeaux etc ...

J'ai regardé readelf et je n'ai pas trouvé grand-chose, mais il pourrait y avoir d'autres façons d'analyser le code/section binaire, etc.

Quelque chose que vous savez extraire?

53
elmarco

Il n'y a pas de méthode universelle, mais vous pouvez faire une supposition éclairée en recherchant des choses uniquement effectuées par un seul compilateur.

GCC est le plus simple; il écrit un .comment section contenant la chaîne de version GCC (la même chaîne que vous obtenez si vous exécutez gcc --version). Je ne sais pas s'il y a moyen de l'afficher avec readelf, mais avec objdump c'est:

objdump -s --section .comment /path/binary

Je viens de réaliser que j'ai ignoré le reste de votre question. Les drapeaux ne sont généralement enregistrés nulle part; ils seraient probablement dans une section de commentaires, mais je ne l'ai jamais vu faire. Il y a une place dans l'en-tête COFF pour un horodatage, mais il n'y a pas d'équivalent dans ELF, donc je ne pense pas que le temps de compilation soit disponible non plus

52
Michael Mrozek

Que diriez-vous:

readelf -p .comment a.out
29
Colin King

Vous pouvez essayer d'utiliser la commande strings. Cela créera beaucoup de sortie de texte; en le vérifiant, vous pourriez deviner le compilateur.

[email protected]:~$ strings -a a.out |grep -i gcc
GCC: (Ubuntu 4.4.3-4ubuntu5) 4.4.3

Ici, je sais qu'il est compilé avec gcc mais vous pouvez toujours rediriger la sortie de strings vers un fichier et l'examiner.

Il existe un très bon utilitaire appelé peid pour Windows mais je ne trouve aucune alternative pour cela sous Linux.

19
Hemant

readelf ou objdump peuvent le faire.

Le fichier ELF compilé par gcc ajoutera .note.ABI-tag et .note.gnu.build-id deux sections. les deux pourraient être affichés par

objdump -sj .note.ABI-tag ELFFILE
objdump -sj .note.gnu-build-id ELFFILE

l'option "s" signifie afficher le contenu complet, "j" pour indiquer le nom de la section. Ce style obtient le contenu hexadécimal de ces sections.

readelf -n

affichera une fois le contenu lisible par l'homme d'ELFFILE. l'option "n" signifie NOTES.

Choisissez-en un à votre guise.

Au fait, utilisez objcopy, vous pouvez ajouter votre propre section dans le fichier elf.

5
liuyang1

Il existe deux méthodes. Les deux donneront le même résultat

objdump -s --section .comment path/to/binary

En utilisant la commande readelf, readelf -S binary affichera les 40 en-têtes de section dans le binaire. Notez le numéro de série de .comment en-tête de section. Dans mon système, il était affiché comme 27 (peut être différent pour votre cas)

readelf -x 30 path/to/binary -> qui affichera le vidage hexadécimal de la section '.comment'. Dans ce vidage, vous pouvez voir le compilateur utilisé pour construire le binaire.

5
Ranjini

Vous pouvez également utiliser ce script intelligent qui compte le nombre de diverses instructions CPU utilisées par le binaire. Il est basé sur l'analyse de la sortie objdump. Attention, cela peut prendre un certain temps pour finir si vous l'utilisez sur un gros binaire.

4
rozcietrzewiacz

Si vous ouvrez un binaire ELF dans 7-Zip, il répertorie les différentes sections qu'il contient. De là, vous pouvez utiliser l'option Afficher le menu contextuel sur, disons, la section ".comment", pour voir les commentaires du compilateur (par exemple "GCC: (GNU) 4.9 20150123 (version préliminaire) Android = version clang 3.8.256229 (basée sur LLVM 3.8.256229) ").

Sachez que la section ".comment", si elle existe, semble commencer par un caractère nul, alors assurez-vous de choisir une application de visualisation à utiliser dans 7-Zip qui ne soit pas déroutée par cela (par exemple. Essaie d'interpréter le données au format Unicode). D'autres sections pouvant exister et présenter un intérêt sont ".note. *".

0
Joe

Cela peut valoir un coup de chance, selon le programme. Certains programmes auront cela compilé comme information et accessible par une sorte d'appel de version (-V, --version, -Version, etc.). Vous pouvez trouver n'importe quel sous-ensemble de ces éléments que vous recherchez (y compris un ensemble nul). Voici un exemple particulièrement fructueux, Perl 5:

$ Perl -V

Summary of my Perl5 (revision 5 version 26 Subversion 2) configuration:

  Platform:
    osname=linux
    osvers=4.15.15-1-Arch
    archname=x86_64-linux-thread-multi
    uname='linux flo-64 4.15.15-1-Arch #1 smp preempt sat mar 31 23:59:25 utc 2018 x86_64 gnulinux '
    config_args='-des -Dusethreads -Duseshrplib -Doptimize=-march=x86-64 -mtune=generic -O2 -pipe -fstack-protector-strong -fno-plt -Dprefix=/usr -Dvendorprefix=/usr -Dprivlib=/usr/share/Perl5/core_Perl -Darchlib=/usr/lib/Perl5/5.26/core_Perl -Dsitelib=/usr/share/Perl5/site_Perl -Dsitearch=/usr/lib/Perl5/5.26/site_Perl -Dvendorlib=/usr/share/Perl5/vendor_Perl -Dvendorarch=/usr/lib/Perl5/5.26/vendor_Perl -Dscriptdir=/usr/bin/core_Perl -Dsitescript=/usr/bin/site_Perl -Dvendorscript=/usr/bin/vendor_Perl -Dinc_version_list=none -Dman1ext=1Perl -Dman3ext=3Perl -Dcccdlflags='-fPIC' -Dlddlflags=-shared -Wl,-O1,--sort-common,--as-needed,-z,relro,-z,now -Dldflags=-Wl,-O1,--sort-common,--as-needed,-z,relro,-z,now'
    hint=recommended
    useposix=true
    d_sigaction=define
    useithreads=define
    usemultiplicity=define
    use64bitint=define
    use64bitall=define
    uselongdouble=undef
    usemymalloc=n
    default_inc_excludes_dot=define
    bincompat5005=undef
  Compiler:
    cc='cc'
    ccflags ='-D_REENTRANT -D_GNU_SOURCE -fwrapv -fno-strict-aliasing -pipe -fstack-protector-strong -I/usr/local/include -D_LARGEFILE_SOURCE -D_FILE_OFFSET_BITS=64 -D_FORTIFY_SOURCE=2'
    optimize='-march=x86-64 -mtune=generic -O2 -pipe -fstack-protector-strong -fno-plt'
    cppflags='-D_REENTRANT -D_GNU_SOURCE -fwrapv -fno-strict-aliasing -pipe -fstack-protector-strong -I/usr/local/include'
    ccversion=''
    gccversion='7.3.1 20180312'
    gccosandvers=''
    intsize=4
    longsize=8
    ptrsize=8
    doublesize=8
    byteorder=12345678
    doublekind=3
    d_longlong=define
    longlongsize=8
    d_longdbl=define
    longdblsize=16
    longdblkind=3
    ivtype='long'
    ivsize=8
    nvtype='double'
    nvsize=8
    Off_t='off_t'
    lseeksize=8
    alignbytes=8
    prototype=define
  Linker and Libraries:
    ld='cc'
    ldflags ='-Wl,-O1,--sort-common,--as-needed,-z,relro,-z,now -fstack-protector-strong -L/usr/local/lib'
    libpth=/usr/local/lib /usr/lib/gcc/x86_64-pc-linux-gnu/7.3.1/include-fixed /usr/lib /lib/../lib /usr/lib/../lib /lib /lib64 /usr/lib64
    libs=-lpthread -lnsl -lgdbm -ldb -ldl -lm -lcrypt -lutil -lc -lgdbm_compat
    perllibs=-lpthread -lnsl -ldl -lm -lcrypt -lutil -lc
    libc=libc-2.26.so
    so=so
    useshrplib=true
    libperl=libperl.so
    gnulibc_version='2.26'
  Dynamic Linking:
    dlsrc=dl_dlopen.xs
    dlext=so
    d_dlsymun=undef
    ccdlflags='-Wl,-E -Wl,-rpath,/usr/lib/Perl5/5.26/core_Perl/CORE'
    cccdlflags='-fPIC'
    lddlflags='-shared -Wl,-O1,--sort-common,--as-needed,-z,relro,-z,now -L/usr/local/lib -fstack-protector-strong'


Characteristics of this binary (from libperl): 
  Compile-time options:
    HAS_TIMES
    MULTIPLICITY
    PERLIO_LAYERS
    Perl_COPY_ON_WRITE
    Perl_DONT_CREATE_GVSV
    Perl_IMPLICIT_CONTEXT
    Perl_MALLOC_WRAP
    Perl_OP_PARENT
    Perl_PRESERVE_IVUV
    USE_64_BIT_ALL
    USE_64_BIT_INT
    USE_ITHREADS
    USE_LARGE_FILES
    USE_LOCALE
    USE_LOCALE_COLLATE
    USE_LOCALE_CTYPE
    USE_LOCALE_NUMERIC
    USE_LOCALE_TIME
    USE_PERLIO
    USE_Perl_ATOF
    USE_REENTRANT_API
  Built under linux
  Compiled at Apr 18 2018 22:21:20
  %ENV:
    Perl5LIB="/home/jhuber/Perl5/lib/Perl5"
    Perl_LOCAL_LIB_ROOT="/home/jhuber/Perl5"
    Perl_MB_OPT="--install_base "/home/jhuber/Perl5""
    Perl_MM_OPT="INSTALL_BASE=/home/jhuber/Perl5"
  @INC:
    /home/jhuber/Perl5/lib/Perl5/x86_64-linux-thread-multi
    /home/jhuber/Perl5/lib/Perl5
    /usr/lib/Perl5/5.26/site_Perl
    /usr/share/Perl5/site_Perl
    /usr/lib/Perl5/5.26/vendor_Perl
    /usr/share/Perl5/vendor_Perl
    /usr/lib/Perl5/5.26/core_Perl
    /usr/share/Perl5/core_Perl
0
Joshua Huber