Понимание — начало согласия (Б. Спиноза).

Как анализировать двоичные файлы ELF с помощью Binsider в Linux

Главное меню » Linux » Как анализировать двоичные файлы ELF с помощью Binsider в Linux

20.10.2024

Binsider — это инструмент командной строки, который упрощает анализ двоичных файлов ELF (исполняемый и компонуемый формат). В этой статье блога мы рассмотрим функции Binsider, его удобный интерфейс и способы его использования для эффективного анализа двоичных файлов ELF в Linux.

Что такое Binsider?

Binsider — это мощный инструмент командной строки, предоставляющий удобный интерфейс терминала для статического и динамического анализа двоичных файлов ELF. Он предлагает такие функции, как проверка строк, изучение связанных библиотек и выполнение шестнадцатеричных дампов, аналогичные популярным инструментам, таким как readelf и strace.

Binsider предоставляет подробную панель управления и представление в виде шестнадцатеричного кода для структурированного анализа двоичного содержимого. Его также можно использовать для изменения шестнадцатеричных данных и ввода новых значений, как в редакторе, хотя перед внесением каких-либо изменений рекомендуется создать резервную копию двоичного файла.

Binsider разработан для того, чтобы инженерам-реверс-инженерам и специалистам по безопасности было проще изучать и понимать двоичные файлы ELF.

Почему именно Binsider?

Binsider упрощает сложный мир двоичного анализа. Вот почему исследователям в области безопасности, разработчикам и всем, кто работает с двоичными файлами, стоит рассмотреть возможность его использования:

Удобный интерфейс: Binsider использует графический интерфейс, который представляет сложную информацию в удобной для навигации форме.
Статический и динамический анализ: Binsider позволяет проводить как статический анализ двоичных компонентов, так и динамический анализ поведения двоичного кода во время выполнения.
Широкий набор функций: от проверки строк и связанных библиотек до выполнения шестнадцатеричных дампов и отслеживания системных вызовов — Binsider предлагает широкий спектр функций

Читать Как запустить быстрое сетевое сканирование с помощью Nmap

Установите Binsider в Linux

Установить Binsider очень просто. Поскольку он написан на языке программирования Rust, вы можете установить его с помощью менеджера пакетов cargo. Убедитесь, что вы установили Rust:

Как установить язык программирования Rust в Linux

После установки Rust выполните следующую команду, чтобы установить binsider с помощью Cargo:

cargo install binsider

Анализируйте двоичные файлы ELF с помощью Binsider

После установки проанализируйте двоичный файл ELF, просто запустив:

binsider <binary>

Вы даже можете запустить Binsider без каких-либо аргументов, чтобы проанализировать сам двоичный файл Binsider!

Анализируйте сам двоичный файл Binsider с помощью Binsider

Анализируйте сами двоичный файл Binsider с помощью Binsider

Нажмите клавишу tab, чтобы перейти к другим разделам. Чтобы выйти, нажмите q.

Общий анализ

Например, давайте рассмотрим двоичный файл /bin/uname с помощью команды:

binsider /bin/uname

При запуске Binsider вы увидите общую информацию о двоичном файле, аналогичную выводам stat(1) и ldd(1). Она включает сведения о файле, такие как размер, права доступа и связанные общие библиотеки.
Binsider позволяет легко переключаться между анализом основного двоичного файла и связанных с ним общих библиотек. Эта функция обеспечивает целостное представление о двоичной экосистеме.

Статический анализ

Binsider отлично подходит для статического анализа, обеспечивая глубокое понимание структуры ELF без запуска двоичного файла.
Вы можете изучить различные компоненты ELF, включая разделы, сегменты, заголовки, символы, перемещения и примечания.
Визуальное представление структуры ELF в Binsider и удобные клавиши навигации (например, n/p для перехода к следующему/предыдущему компоненту и h/j/k/l для прокрутки) делают навигацию по этим компонентам интуитивно понятной.

Читать Переименовать файлы Linux с помощью Rename

Динамический анализ

Binsider позволяет проводить динамический анализ, запуская двоичный файл и отслеживая его системные вызовы.
Как и strace(1) , Binsider предоставляет подробную информацию о каждом системном вызове, включая идентификатор процесса, название системного вызова, аргументы и возвращаемое значение.
Binsider предоставляет сводную информацию о выполнении, включая затраченное время, ошибки и количество выполненных системных вызовов, что позволяет получить представление о поведении двоичного файла во время выполнения.

Строки

Binsider может извлекать строки из двоичного файла, аналогично команде strings(1).
Это особенно полезно для обнаружения скрытой информации в двоичном коде, например URL-адресов, паролей или других конфиденциальных данных.
Вы даже можете изменить длину извлечённых строк с помощью клавиш +/- или аргумента -n.

Hexdump

Просмотреть шестнадцатеричный дамп двоичного файла ELF

Binsider предоставляет возможность просмотра шестнадцатеричного кода, а также подробную панель управления для анализа исходного содержимого двоичного файла.
Эта функция позволяет детально изучить двоичные данные и облегчает выявление закономерностей.
Binsider расширяет возможности шестнадцатеричного дампа, позволяя изменять шестнадцатеричные данные и сохранять изменения непосредственно в двоичном файле.

Заключение

Binsider — это мощный и универсальный инструмент, который упрощает анализ двоичных файлов ELF. Благодаря удобному пользовательскому интерфейсу, широкому набору функций и интуитивно понятной навигации он является отличным выбором для всех, кто работает с двоичными файлами.

Читать Как мне перемещаться в терминале Linux

Независимо от того, проводите ли вы исследование в области безопасности, отлаживаете программное обеспечение или изучаете внутреннюю структуру ELF-файлов, Binsider предоставляет необходимые инструменты в доступном и эффективном пакете.

Ресурс: