Czy możemy uzyskać informacje o kompilatorze z pliku binarnego elfa?

Czy jest jakaś szansa, aby dowiedzieć się, jak zbudowano plik binarny pod Linuksem? (i / lub inny Unix)

Kompilator, wersja, czas, flagi itp ...

Patrzyłem readelfi nie mogłem znaleźć wiele, ale mogą istnieć inne sposoby analizy kodu / sekcji binarnej itp.

Coś wiesz jak wyodrębnić?

Nie ma uniwersalnego sposobu, ale można zgadywać, szukając rzeczy wykonanych tylko przez jeden kompilator.

GCC jest najłatwiejszy; zapisuje .commentsekcję zawierającą ciąg wersji GCC (ten sam ciąg, który otrzymasz, jeśli uruchomisz gcc --version). Nie wiem, czy można to wyświetlić readelf, ale dzięki objdump:

objdump -s --section .comment /path/binary

Właśnie zdałem sobie sprawę, że zignorowałem resztę twojego pytania. Flagi nie są nigdzie zapisywane; najprawdopodobniej znajdą się w sekcji komentarzy, ale nigdy tego nie widziałem. W nagłówku COFF jest miejsce na znacznik czasu, ale nie ma odpowiednika w ELF, więc nie sądzę, że czas kompilacji jest dostępny

Co powiesz na:

readelf -p .comment a.out

Możesz spróbować użyć stringspolecenia. Stworzy dużo tekstu wyjściowego; sprawdzając go, możesz zgadnąć kompilator.

pubuntu@pubuntu:~$ strings -a a.out |grep -i gcc
GCC: (Ubuntu 4.4.3-4ubuntu5) 4.4.3

Tutaj wiem, że jest skompilowany, gccale zawsze możesz przekierować stringsdane wyjściowe do pliku i zbadać go.

Istnieje jedno bardzo dobre narzędzie o nazwie peiddla systemu Windows, ale nie mogę znaleźć alternatywy dla systemu Linux.

Istnieją dwie metody. Oba dadzą ten sam wynik

objdump -s --section .comment path/to/binary

Za pomocą polecenia readelf readelf -S binary wyświetli 40 nagłówków sekcji w pliku binarnym. Zanotuj numer seryjny .comment nagłówka sekcji. W moim systemie pokazał się jako 27 (może być inny w twoim przypadku)

readelf -x 30 path/to/binary ->, który wyświetli zrzut heksowy sekcji „.comment”. Na tym zrzucie widać kompilator użyty do zbudowania pliku binarnego.

readelf lub objdump oba mogą to zrobić.

Plik ELF skompilowany przez gcc doda dwie sekcje .note.ABI-tag i .note.gnu.build-id. oba mogą być wyświetlane przez

objdump -sj .note.ABI-tag ELFFILE
objdump -sj .note.gnu-build-id ELFFILE

opcja „s” oznacza wyświetl pełną treść, „j” oznacza nazwę sekcji. Ten styl pobiera zawartość szesnastkową tych sekcji.

readelf -n

pokaże raz czytelną dla ludzi zawartość ELFFILE. opcja „n” oznacza UWAGI.

Wybierz taki, jaki lubisz.

Nawiasem mówiąc, użyj objcopy, możesz dodać własną sekcję w pliku elfa.

Możesz również użyć tego sprytnego skryptu, który zlicza liczby różnych instrukcji procesora używanych przez plik binarny. Opiera się na analizie danych wyjściowych objdump. Uważaj, że może potrwać dość długo, jeśli używasz go na dużym pliku binarnym.

Może być wart szczęścia, w zależności od programu. Niektóre programy będą miały tę kompilację jako informację i będą dostępne przez wywołanie wersji (-V, --version, -Version itp.). Możesz znaleźć dowolny podzbiór tych elementów, których szukasz (w tym zestaw zerowy). Oto szczególnie owocny przykład, Perl 5:

$ perl -V

Summary of my perl5 (revision 5 version 26 subversion 2) configuration:

  Platform:
    osname=linux
    osvers=4.15.15-1-arch
    archname=x86_64-linux-thread-multi
    uname='linux flo-64 4.15.15-1-arch #1 smp preempt sat mar 31 23:59:25 utc 2018 x86_64 gnulinux '
    config_args='-des -Dusethreads -Duseshrplib -Doptimize=-march=x86-64 -mtune=generic -O2 -pipe -fstack-protector-strong -fno-plt -Dprefix=/usr -Dvendorprefix=/usr -Dprivlib=/usr/share/perl5/core_perl -Darchlib=/usr/lib/perl5/5.26/core_perl -Dsitelib=/usr/share/perl5/site_perl -Dsitearch=/usr/lib/perl5/5.26/site_perl -Dvendorlib=/usr/share/perl5/vendor_perl -Dvendorarch=/usr/lib/perl5/5.26/vendor_perl -Dscriptdir=/usr/bin/core_perl -Dsitescript=/usr/bin/site_perl -Dvendorscript=/usr/bin/vendor_perl -Dinc_version_list=none -Dman1ext=1perl -Dman3ext=3perl -Dcccdlflags='-fPIC' -Dlddlflags=-shared -Wl,-O1,--sort-common,--as-needed,-z,relro,-z,now -Dldflags=-Wl,-O1,--sort-common,--as-needed,-z,relro,-z,now'
    hint=recommended
    useposix=true
    d_sigaction=define
    useithreads=define
    usemultiplicity=define
    use64bitint=define
    use64bitall=define
    uselongdouble=undef
    usemymalloc=n
    default_inc_excludes_dot=define
    bincompat5005=undef
  Compiler:
    cc='cc'
    ccflags ='-D_REENTRANT -D_GNU_SOURCE -fwrapv -fno-strict-aliasing -pipe -fstack-protector-strong -I/usr/local/include -D_LARGEFILE_SOURCE -D_FILE_OFFSET_BITS=64 -D_FORTIFY_SOURCE=2'
    optimize='-march=x86-64 -mtune=generic -O2 -pipe -fstack-protector-strong -fno-plt'
    cppflags='-D_REENTRANT -D_GNU_SOURCE -fwrapv -fno-strict-aliasing -pipe -fstack-protector-strong -I/usr/local/include'
    ccversion=''
    gccversion='7.3.1 20180312'
    gccosandvers=''
    intsize=4
    longsize=8
    ptrsize=8
    doublesize=8
    byteorder=12345678
    doublekind=3
    d_longlong=define
    longlongsize=8
    d_longdbl=define
    longdblsize=16
    longdblkind=3
    ivtype='long'
    ivsize=8
    nvtype='double'
    nvsize=8
    Off_t='off_t'
    lseeksize=8
    alignbytes=8
    prototype=define
  Linker and Libraries:
    ld='cc'
    ldflags ='-Wl,-O1,--sort-common,--as-needed,-z,relro,-z,now -fstack-protector-strong -L/usr/local/lib'
    libpth=/usr/local/lib /usr/lib/gcc/x86_64-pc-linux-gnu/7.3.1/include-fixed /usr/lib /lib/../lib /usr/lib/../lib /lib /lib64 /usr/lib64
    libs=-lpthread -lnsl -lgdbm -ldb -ldl -lm -lcrypt -lutil -lc -lgdbm_compat
    perllibs=-lpthread -lnsl -ldl -lm -lcrypt -lutil -lc
    libc=libc-2.26.so
    so=so
    useshrplib=true
    libperl=libperl.so
    gnulibc_version='2.26'
  Dynamic Linking:
    dlsrc=dl_dlopen.xs
    dlext=so
    d_dlsymun=undef
    ccdlflags='-Wl,-E -Wl,-rpath,/usr/lib/perl5/5.26/core_perl/CORE'
    cccdlflags='-fPIC'
    lddlflags='-shared -Wl,-O1,--sort-common,--as-needed,-z,relro,-z,now -L/usr/local/lib -fstack-protector-strong'


Characteristics of this binary (from libperl): 
  Compile-time options:
    HAS_TIMES
    MULTIPLICITY
    PERLIO_LAYERS
    PERL_COPY_ON_WRITE
    PERL_DONT_CREATE_GVSV
    PERL_IMPLICIT_CONTEXT
    PERL_MALLOC_WRAP
    PERL_OP_PARENT
    PERL_PRESERVE_IVUV
    USE_64_BIT_ALL
    USE_64_BIT_INT
    USE_ITHREADS
    USE_LARGE_FILES
    USE_LOCALE
    USE_LOCALE_COLLATE
    USE_LOCALE_CTYPE
    USE_LOCALE_NUMERIC
    USE_LOCALE_TIME
    USE_PERLIO
    USE_PERL_ATOF
    USE_REENTRANT_API
  Built under linux
  Compiled at Apr 18 2018 22:21:20
  %ENV:
    PERL5LIB="/home/jhuber/perl5/lib/perl5"
    PERL_LOCAL_LIB_ROOT="/home/jhuber/perl5"
    PERL_MB_OPT="--install_base "/home/jhuber/perl5""
    PERL_MM_OPT="INSTALL_BASE=/home/jhuber/perl5"
  @INC:
    /home/jhuber/perl5/lib/perl5/x86_64-linux-thread-multi
    /home/jhuber/perl5/lib/perl5
    /usr/lib/perl5/5.26/site_perl
    /usr/share/perl5/site_perl
    /usr/lib/perl5/5.26/vendor_perl
    /usr/share/perl5/vendor_perl
    /usr/lib/perl5/5.26/core_perl
    /usr/share/perl5/core_perl

Jeśli otworzysz plik binarny ELF w 7-zipie, wyświetli on listę różnych sekcji. Stamtąd możesz użyć opcji Wyświetl menu kontekstowe powiedzmy w sekcji „.comment”, aby zobaczyć komentarze kompilatora (np. „GCC: (GNU) 4.9 20150123 (wersja wstępna) Android clang wersja 3.8.256229 (na podstawie LLVM 3.8.256229) ”).

Uwaga: sekcja „.comment”, jeśli istnieje, wydaje się zaczynać od znaku zerowego, więc pamiętaj, aby wybrać aplikację przeglądarki do użytku w ciągu 7-zip, która nie jest przez to mylona (np. Próbuje zinterpretować dane jako Unicode). Inne sekcje, które mogą istnieć i które mogą być interesujące to „.note. *”.