|
Рубрика:
Безопасность /
Форензика
|
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|
Моисей Сутулин, любопытный инженер, автор курсов, разработчик, mosesutulin@ya.ru
Статический анализ бинарных файлов стандартными консольными средствами Linux. Часть 2
Вычисляем точный размер ELF через заголовок и секции. Осваиваем readelf, nm, objdump. Извлекаем и анализируем скрытые программы без запуска.
Введение
В первой статье цикла «Статический анализ бинарных файлов стандартными консольными средствами Linux» (от редакции – «СА»,03, 2026) мы научились находить ELF-сигнатуры внутри, казалось бы, безобидных файлов – JPEG, текстовых логов, ZIP-архивов. На примере одного из таких изображений мы извлекли скрытую программу, скопировав данные от найденной сигнатуры до конца файла-контейнера. Однако этот метод работает, только если вредонос вшит в самый конец файла. А если он спрятан в середине? Тогда мы захватим лишние байты – «мусор», который может нарушить работу извлечённой программы или исказить результаты анализа.
Теперь наша цель научиться точно извлекать вшитые ELF-файлы независимо от их положения внутри контейнера, а затем провести их глубокий статический анализ. Для этого потребуется освоить три ключевых инструмента:
- readelf – для чтения заголовка и секций;
- nm – для анализа символов (импортируемых функций);
- objdump – для дизассемблирования кода.
<...>
Ключевые слова: ELF, статический анализ, бинарные файлы, Linux, информационная безопасность, форензика, расследование инцидентов
Полную версию статьи читайте в журнале Подпишитесь на журнал
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|