Binsider — это инструмент командной строки, который упрощает анализ двоичных файлов ELF (исполняемый и компонуемый формат). В этой статье блога мы рассмотрим функции Binsider, его удобный интерфейс и способы его использования для эффективного анализа двоичных файлов ELF в Linux.
Что такое Binsider?
Binsider — это мощный инструмент командной строки, предоставляющий удобный интерфейс терминала для статического и динамического анализа двоичных файлов ELF. Он предлагает такие функции, как проверка строк, изучение связанных библиотек и выполнение шестнадцатеричных дампов, аналогичные популярным инструментам, таким как readelf и strace.
Binsider предоставляет подробную панель управления и представление в виде шестнадцатеричного кода для структурированного анализа двоичного содержимого. Его также можно использовать для изменения шестнадцатеричных данных и ввода новых значений, как в редакторе, хотя перед внесением каких-либо изменений рекомендуется создать резервную копию двоичного файла.
Binsider разработан для того, чтобы инженерам-реверс-инженерам и специалистам по безопасности было проще изучать и понимать двоичные файлы ELF.
Почему именно Binsider?
Binsider упрощает сложный мир двоичного анализа. Вот почему исследователям в области безопасности, разработчикам и всем, кто работает с двоичными файлами, стоит рассмотреть возможность его использования:
- Удобный интерфейс: Binsider использует графический интерфейс, который представляет сложную информацию в удобной для навигации форме.
- Статический и динамический анализ: Binsider позволяет проводить как статический анализ двоичных компонентов, так и динамический анализ поведения двоичного кода во время выполнения.
- Широкий набор функций: от проверки строк и связанных библиотек до выполнения шестнадцатеричных дампов и отслеживания системных вызовов — Binsider предлагает широкий спектр функций
Установите Binsider в Linux
Установить Binsider очень просто. Поскольку он написан на языке программирования Rust, вы можете установить его с помощью менеджера пакетов cargo. Убедитесь, что вы установили Rust:
После установки Rust выполните следующую команду, чтобы установить binsider с помощью Cargo:
cargo install binsider
Анализируйте двоичные файлы ELF с помощью Binsider
После установки проанализируйте двоичный файл ELF, просто запустив:
binsider <binary>
Вы даже можете запустить Binsider без каких-либо аргументов, чтобы проанализировать сам двоичный файл Binsider!
Анализируйте сами двоичный файл Binsider с помощью Binsider
Нажмите клавишу tab, чтобы перейти к другим разделам. Чтобы выйти, нажмите q.
Общий анализ
Например, давайте рассмотрим двоичный файл /bin/uname с помощью команды:
binsider /bin/uname
Анализируйте двоичные файлы ELF с помощью Binsider
- При запуске Binsider вы увидите общую информацию о двоичном файле, аналогичную выводам
stat(1)иldd(1). Она включает сведения о файле, такие как размер, права доступа и связанные общие библиотеки. - Binsider позволяет легко переключаться между анализом основного двоичного файла и связанных с ним общих библиотек. Эта функция обеспечивает целостное представление о двоичной экосистеме.
Статический анализ
Статический анализ двоичных файлов ELF
- Binsider отлично подходит для статического анализа, обеспечивая глубокое понимание структуры ELF без запуска двоичного файла.
- Вы можете изучить различные компоненты ELF, включая разделы, сегменты, заголовки, символы, перемещения и примечания.
- Визуальное представление структуры ELF в Binsider и удобные клавиши навигации (например,
n/pдля перехода к следующему/предыдущему компоненту иh/j/k/lдля прокрутки) делают навигацию по этим компонентам интуитивно понятной.
Динамический анализ
Динамический анализ двоичных файлов ELF
- Binsider позволяет проводить динамический анализ, запуская двоичный файл и отслеживая его системные вызовы.
- Как и
strace(1), Binsider предоставляет подробную информацию о каждом системном вызове, включая идентификатор процесса, название системного вызова, аргументы и возвращаемое значение. - Binsider предоставляет сводную информацию о выполнении, включая затраченное время, ошибки и количество выполненных системных вызовов, что позволяет получить представление о поведении двоичного файла во время выполнения.
Строки
Извлечение строк из двоичного файла ELF
- Binsider может извлекать строки из двоичного файла, аналогично команде
strings(1). - Это особенно полезно для обнаружения скрытой информации в двоичном коде, например URL-адресов, паролей или других конфиденциальных данных.
- Вы даже можете изменить длину извлечённых строк с помощью клавиш
+/-или аргумента-n.
Hexdump
Просмотреть шестнадцатеричный дамп двоичного файла ELF
- Binsider предоставляет возможность просмотра шестнадцатеричного кода, а также подробную панель управления для анализа исходного содержимого двоичного файла.
- Эта функция позволяет детально изучить двоичные данные и облегчает выявление закономерностей.
- Binsider расширяет возможности шестнадцатеричного дампа, позволяя изменять шестнадцатеричные данные и сохранять изменения непосредственно в двоичном файле.
Заключение
Binsider — это мощный и универсальный инструмент, который упрощает анализ двоичных файлов ELF. Благодаря удобному пользовательскому интерфейсу, широкому набору функций и интуитивно понятной навигации он является отличным выбором для всех, кто работает с двоичными файлами.
Независимо от того, проводите ли вы исследование в области безопасности, отлаживаете программное обеспечение или изучаете внутреннюю структуру ELF-файлов, Binsider предоставляет необходимые инструменты в доступном и эффективном пакете.
Ресурс: