【转载】ELF文件-逆向工具

时间 2020-09-14

标签转载 elf 文件逆向工具繁體版

原文原文链接

本篇为转载，原连接以下：http://bdxnote.blog.163.com/blog/static/8444235201532911597959/vim

主要是作一个我的的资料收集，之后能够快速找到。Ps.若是不喜欢被我转载，能够联系我删掉，谢谢！socket

一、ELF文件内容解析
readelf : 可解析ELF文件的全部内容;
strings : 查看ELF文件中的字符串;
file : 查看ELF文件的信息;
nm : 查看ELF文件中的符号信息;
ldd : 查看ELF文件所依赖的库文件;

二、objdump
用于对ELF文件进行反汇编;
objdump -d ;反汇编部分可执行的二进制代码;
objdump -D ;反汇编所有的可执行的二进制代码;
objdump -S ;尽可能把可执行的二进制代码反汇编成源码;

三、hexdump
以十六进制格式查看ELF格式的二进制可执行文件的内容;
hexdump -C elf_file_name

四、od
以指定的进制格式查看ELF格式的二进制可执行文件的内容;默认是八进制;
od -t x4 ;-t指定格式化的字节单元单位;
;x4-每4个字节为一个单元格式化成十六进制,
;x2-每2个字节为一个单元格式化成十六进制,
;x1-以1个字节为一个单元格式化成十六进制;
-t x2 等价于 -x
-A选项指定进制格式:x-十六进制, d-十进制,o-八进制;
若是使用-t指定了十六进制格式,则-A选项就不是必须的了;

五、xxd
以十六进制格式查看ELF格式的二进制可执行文件的内容;
xxd ;以小写的十六进制格式显示;
xxd -u ;以大写的十六进制格式显示;
xxd -s +10 ;以ELF文件头处的第1个字节为参照,从第10个字节处开始显示;
xxd -s -10 ;以ELF文件尾处的第1个字节为参照,从第10个字节处开始显示;

六、编辑ELF文件
使用vi/vim与命令xxd配合完成;
STEP1:使用vi/vim以二进制模式打开ELF文件;
      vi -b binary_file
      vim -b binary_file
STEP2:在vi/vim的命令模式下输入以下内容,把二进制内容转换成16进制格式显示:
       :%!xxd -u
STEP3:按照vi/vim正常的编辑方法来修改以十六进制格式显示的二进制内容;
STEP4:编辑完成以后,在vi/vim的命令模式下输入如下内容,把十六进制格式显示的内容转换回原始的二进制格式:
       :%!xxd -r
STEP5:在vi/vim的命令模式下输入如下内容,保存二进制格式的ELF文件:
       :wq
---备注---
% :表示当前文件中显示的全部行;
!xxd:表示执行外部命令xxd;函数

格式"%!xxd"表示把当前文件中的全部行传递给外部命令xxd;

七、动态调试工具
ltrace : 跟踪ELF文件或进程对库函数的调用(library_function_call);
strace: 跟踪ELF文件或进程对系统调用的调用(system_call);
gdb : 对一个程序进行调试;使用gcc编译该程序时需加上选项-g,让编译器增长一些调试信息;
strip : 删除程序中的调试信息;这些调试信息是编译该程序时,gcc编译器的-g选项添加的;
splint : 查看一个程序中对未赋值变量的引用、未使用的函数参数,等状况;( 静态检测) lsof : 查看一个进程打开的文件; fuser : 查看正在访问指定的file、filesystem或socket的全部进程的信息;即:查看都有哪些进程正在访问指定的file、filesystem或socket; 若是没有找到任何进程,fuser返回非零值;若是找到至少一个进程,则fuser返回0; -k:该选项会向全部这些进程发送SIGKILL信号,以kill掉全部正在访问指定file、filesystem或socket的全部进程; -i:在kill掉fuser命令找到的这些进程以前进行必要的提示信息; fuser命令显示的是pid,而且在每一个pid后面附加一个字母,用以表示访问方式: c: 以目录方式访问; e: 以可执行文件方式访问; f: 以打开文件方式访问,默认不显示; F: 以写的方式打开文件进行访问; r: 以root目录的方式访问; m: 以mmap文件或共享库的方式访问; /proc : proc文件系统中包含进程的全部信息;