當(dāng)你在unix下拿到一個(gè)二進(jìn)制文件但不知道它是什么的時(shí)候,可以通過以下方法得到一此提示

1、 最首先應(yīng)該嘗試strings命令,比如拿到一個(gè)叫cr1的二進(jìn)制文件,可以:

$ strings cr1 | more

里面可能會(huì)有一些對于這個(gè)cr1的描述,這些信息都是編譯之后在程序中留下的一些文本性的說明,所以可能會(huì)告訴你這個(gè)文件是什么.

比如有輸出:

$ strings cr1 | more

%s %s %s%s%s -> %s%s%s (%.*s)

Version: 2.3

Usage: dsniff [-cdmn] [-i interface] [-s snaplen] [-f services]

[-t trigger[,...]] [-r|-w savefile] [expressiON]

...

/usr/local/lib/dsniff.magic

/usr/local/lib/dsniff.services

...

那么我們就可以知道,其實(shí) cr1就是dsniff命令.

2、 如果這樣的方法沒有幫助你的話,那么你可以嘗試:

$ /usr/ccs/bin/nm -p cr1 | more

比如說得到如下輸出:

cr1:

[Index] Value Size Type Bind Other Shndx Name

[180] |0 | 0| FILE | LOCL | 0 |ABS | decode_smtp.c

[2198] |160348| 320| FUNC | GLOB | 0 | 9 | decode_sniffer

這些都是生成這個(gè)二進(jìn)制文件的obj文件的文件名稱,這些名稱會(huì)告訴你這個(gè)二進(jìn)制文件的作用的.

同樣,如果希望查看二進(jìn)制文件調(diào)用到的靜態(tài)庫文件都有哪些的話,可以使用nm -Du cr1來實(shí)現(xiàn).

3、 當(dāng)然我們也可以通過使用dump命令來得到任何一個(gè)二進(jìn)制文件的選定部分信息

$ /usr/ccs/bin/dump -c ./cr1 | more

dump命令的參數(shù)說明:

-c Dump出字符串表

-C Dump出C++符號(hào)表

-D Dump出調(diào)試信息

-f Dump出每個(gè)文件的頭

-h Dump出section的頭

-l Dump出行號(hào)信息

-L Dump出動(dòng)態(tài)與靜態(tài)鏈接庫部分內(nèi)容

-o Dump出每個(gè)程序的可執(zhí)行頭

-r Dump出重定位信息

-s 用十六進(jìn)制信息Dump出section的內(nèi)容

-t Dump符號(hào)表.

4、 可以使用file命令得到二進(jìn)制文件的信息

$ file cr1

5、 如果還是不清楚的話,那么我們可以使用ldd命令

$ ldd cr1

比如說輸出為:

...

libsocket.so.1 => /usr/lib/libsocket.so.1

librpcsvc.so.1 => /usr/lib/librpcsvc.so.1

...

那么我們就可以知道這個(gè)程序與網(wǎng)絡(luò)庫相關(guān),我們就可以知道它的大概功能了.

我們也可以能過adb命令來得到一個(gè)二進(jìn)制文件的執(zhí)行過程.

比如說:

$ adb cr1

:r

Using device /dev/hme0 (promiscuous mode)

192.168.2.119 -> web TCP D=22 S=1111 Ack=2013255208

Seq=1407308568 Len=0 Win=17520

web -> 192.168.2.119 TCP D=1111 S=22 Push Ack=1407308568

我們知道這個(gè)程序是一個(gè)sniffer.

6、 如果你確定要運(yùn)行這個(gè)程序的話,你可以先通過:

$ truss -f -o cr.out ./cr1

listening on hme0

^C

$

truss命令可以幫你打開系統(tǒng)的信號(hào)與調(diào)用輸出.你就可以知道這個(gè)程序到底干了什么.

有了上面這些工具的話,我們就可以大概了解到一個(gè)未知的二進(jìn)制程序到底是干什么的.

最后提示大家,運(yùn)行不了解的二進(jìn)制程序有嚴(yán)重的安全問題,請大家小心.