Как анализировать двоичные файлы ELF с помощью Binsider в Linux

Binsider — это инструмент командной строки, который упрощает анализ двоичных файлов ELF (исполняемый и компонуемый формат). В этой статье блога мы рассмотрим функции Binsider, его удобный интерфейс и способы его использования для эффективного анализа двоичных файлов ELF в Linux.

Что такое Binsider?

Binsider — это мощный инструмент командной строки, предоставляющий удобный интерфейс терминала для статического и динамического анализа двоичных файлов ELF. Он предлагает такие функции, как проверка строк, изучение связанных библиотек и выполнение шестнадцатеричных дампов, аналогичные популярным инструментам, таким как readelf и strace.

Binsider предоставляет подробную панель управления и представление в виде шестнадцатеричного кода для структурированного анализа двоичного содержимого. Его также можно использовать для изменения шестнадцатеричных данных и ввода новых значений, как в редакторе, хотя перед внесением каких-либо изменений рекомендуется создать резервную копию двоичного файла.

Binsider разработан для того, чтобы инженерам-реверс-инженерам и специалистам по безопасности было проще изучать и понимать двоичные файлы ELF.

Почему именно Binsider?

Binsider упрощает сложный мир двоичного анализа. Вот почему исследователям в области безопасности, разработчикам и всем, кто работает с двоичными файлами, стоит рассмотреть возможность его использования:

• Удобный интерфейс: Binsider использует графический интерфейс, который представляет сложную информацию в удобной для навигации форме.
• Статический и динамический анализ: Binsider позволяет проводить как статический анализ двоичных компонентов, так и динамический анализ поведения двоичного кода во время выполнения.
• Широкий набор функций: от проверки строк и связанных библиотек до выполнения шестнадцатеричных дампов и отслеживания системных вызовов — Binsider предлагает широкий спектр функций

Установите Binsider в Linux

Установить Binsider очень просто. Поскольку он написан на языке программирования Rust, вы можете установить его с помощью менеджера пакетов cargo. Убедитесь, что вы установили Rust:

• Как установить язык программирования Rust в Linux

После установки Rust выполните следующую команду, чтобы установить binsider с помощью Cargo:

cargo install binsider

Анализируйте двоичные файлы ELF с помощью Binsider

После установки проанализируйте двоичный файл ELF, просто запустив:

binsider <binary>

Вы даже можете запустить Binsider без каких-либо аргументов, чтобы проанализировать сам двоичный файл Binsider!

Анализируйте сами двоичный файл Binsider с помощью Binsider

Нажмите клавишу tab, чтобы перейти к другим разделам. Чтобы выйти, нажмите q.

Общий анализ

Например, давайте рассмотрим двоичный файл /bin/uname с помощью команды:

binsider /bin/uname

Анализируйте двоичные файлы ELF с помощью Binsider

• При запуске Binsider вы увидите общую информацию о двоичном файле, аналогичную выводам stat(1) и ldd(1). Она включает сведения о файле, такие как размер, права доступа и связанные общие библиотеки.
• Binsider позволяет легко переключаться между анализом основного двоичного файла и связанных с ним общих библиотек. Эта функция обеспечивает целостное представление о двоичной экосистеме.

Статический анализ

Статический анализ двоичных файлов ELF

• Binsider отлично подходит для статического анализа, обеспечивая глубокое понимание структуры ELF без запуска двоичного файла.
• Вы можете изучить различные компоненты ELF, включая разделы, сегменты, заголовки, символы, перемещения и примечания.
• Визуальное представление структуры ELF в Binsider и удобные клавиши навигации (например, n/p для перехода к следующему/предыдущему компоненту и h/j/k/l для прокрутки) делают навигацию по этим компонентам интуитивно понятной.

Динамический анализ

Динамический анализ двоичных файлов ELF

• Binsider позволяет проводить динамический анализ, запуская двоичный файл и отслеживая его системные вызовы.
• Как и strace(1) , Binsider предоставляет подробную информацию о каждом системном вызове, включая идентификатор процесса, название системного вызова, аргументы и возвращаемое значение.
• Binsider предоставляет сводную информацию о выполнении, включая затраченное время, ошибки и количество выполненных системных вызовов, что позволяет получить представление о поведении двоичного файла во время выполнения.

Строки

Извлечение строк из двоичного файла ELF

• Binsider может извлекать строки из двоичного файла, аналогично команде strings(1).
• Это особенно полезно для обнаружения скрытой информации в двоичном коде, например URL-адресов, паролей или других конфиденциальных данных.
• Вы даже можете изменить длину извлечённых строк с помощью клавиш +/- или аргумента -n.

Hexdump

Просмотреть шестнадцатеричный дамп двоичного файла ELF

• Binsider предоставляет возможность просмотра шестнадцатеричного кода, а также подробную панель управления для анализа исходного содержимого двоичного файла.
• Эта функция позволяет детально изучить двоичные данные и облегчает выявление закономерностей.
• Binsider расширяет возможности шестнадцатеричного дампа, позволяя изменять шестнадцатеричные данные и сохранять изменения непосредственно в двоичном файле.

Заключение

Binsider — это мощный и универсальный инструмент, который упрощает анализ двоичных файлов ELF. Благодаря удобному пользовательскому интерфейсу, широкому набору функций и интуитивно понятной навигации он является отличным выбором для всех, кто работает с двоичными файлами.

Независимо от того, проводите ли вы исследование в области безопасности, отлаживаете программное обеспечение или изучаете внутреннюю структуру ELF-файлов, Binsider предоставляет необходимые инструменты в доступном и эффективном пакете.

Ресурс:

• Репозиторий Binsider на GitHub

(1 оценок, среднее: 5,00 из 5)

Загрузка...