it-swarm-ru.tech

Можем ли мы получить информацию о компиляторе из двоичного файла elf?

Есть ли шанс узнать, как был построен бинарный файл под Linux? (и/или другой Unix)

Компилятор, версия, время, флаги и т.д ...

Я посмотрел на readelf и ​​не смог найти много, но могут быть другие способы анализа двоичного кода/раздела и т.д.

Что-нибудь, что вы знаете, как извлечь?

53
elmarco

Универсального способа не существует, но вы можете сделать обоснованное предположение, ища вещи, которые выполняет только один компилятор.

GCC самый простой; он пишет .comment раздел, содержащий строку версии GCC (ту же строку, которую вы получите, если вы запустите gcc --version). Я не знаю, есть ли способ отобразить это с помощью readelf, но с objdump это:

objdump -s --section .comment /path/binary

Я только что понял, что проигнорировал остальную часть вашего вопроса. Флаги вообще нигде не сохраняются; скорее всего, они будут в разделе комментариев, но я никогда не видел, чтобы это было сделано. В заголовке COFF есть место для метки времени, но в ELF нет эквивалента, поэтому я не думаю, что время компиляции также доступно

52
Michael Mrozek

Как насчет:

readelf -p .comment a.out
29
Colin King

Вы можете попробовать использовать команду strings. Это создаст много текстового вывода; проверив его, вы можете угадать компилятор.

[email protected]:~$ strings -a a.out |grep -i gcc
GCC: (Ubuntu 4.4.3-4ubuntu5) 4.4.3

Здесь я знаю, что он скомпилирован с помощью gcc, но вы всегда можете перенаправить вывод strings в файл и просмотреть его.

Есть одна очень хорошая утилита, называемая peid для Windows, но я не могу найти для нее альтернативы в Linux.

19
Hemant

readelf или objdump оба могут сделать это.

ELF-файл, скомпилированный gcc, добавит .note.ABI-tag и .note.gnu.build-id в два раздела. оба могут отображаться

objdump -sj .note.ABI-tag ELFFILE
objdump -sj .note.gnu-build-id ELFFILE

опция "s" означает отображение полного содержимого, "j" для указания названия раздела. Этот стиль получает шестнадцатеричное содержимое этих разделов.

readelf -n

покажет удобочитаемый контент ELFFILE один раз. опция "n" означает ЗАМЕЧАНИЯ.

Выберите тот, который вам нравится.

Кстати, используйте objcopy, вы можете добавить свой собственный раздел в файл elf.

5
liuyang1

Есть два метода. Оба дадут одинаковый результат

objdump -s --section .comment path/to/binary

Используя команду readelf, readelf -S binary отобразит 40 заголовков разделов в двоичном виде. Обратите внимание на серийный номер .comment заголовок раздела. В моей системе это показывалось как 27 (может отличаться для вашего случая)

readelf -x 30 path/to/binary -> который будет отображать шестнадцатеричный дамп раздела .comment. В этом дампе вы можете увидеть компилятор, используемый для сборки двоичного файла.

5
Ranjini

Вы также можете использовать этот умный скрипт , который подсчитывает количество различных инструкций процессора, используемых двоичным файлом. Он основан на разборе вывода objdump. Помните, что это может занять довольно много времени, если вы используете его в большом двоичном файле.

4
rozcietrzewiacz

Если вы откроете бинарный файл ELF в 7-Zip, в нем будут перечислены различные разделы. Оттуда вы можете использовать опцию View context-menu, например, в разделе ".comment", чтобы увидеть комментарии компилятора (например, "GCC: (GNU) 4.9 20150123 (prerelease) Android"). = clang версия 3.8.256229 (на основе LLVM 3.8.256229) ").

Помните, что раздел ".comment", если он существует, кажется, начинается с нулевого символа, поэтому обязательно выберите приложение для просмотра для использования в 7-Zip, которое не смущается этим (например, пытается интерпретировать данные как Unicode). Другие разделы, которые могут существовать и представлять интерес: ".note. *".

0
Joe

Может стоить удачного выстрела, в зависимости от того, какая программа. В некоторых программах это будет скомпилировано как информация и доступно с помощью какого-либо вызова версии (-V, --version, -Version и т.д.). Вы можете найти любое подмножество тех элементов, которые вы ищете (включая нулевое множество). Вот особенно плодотворный пример Perl 5:

$ Perl -V

Summary of my Perl5 (revision 5 version 26 Subversion 2) configuration:

  Platform:
    osname=linux
    osvers=4.15.15-1-Arch
    archname=x86_64-linux-thread-multi
    uname='linux flo-64 4.15.15-1-Arch #1 smp preempt sat mar 31 23:59:25 utc 2018 x86_64 gnulinux '
    config_args='-des -Dusethreads -Duseshrplib -Doptimize=-march=x86-64 -mtune=generic -O2 -pipe -fstack-protector-strong -fno-plt -Dprefix=/usr -Dvendorprefix=/usr -Dprivlib=/usr/share/Perl5/core_Perl -Darchlib=/usr/lib/Perl5/5.26/core_Perl -Dsitelib=/usr/share/Perl5/site_Perl -Dsitearch=/usr/lib/Perl5/5.26/site_Perl -Dvendorlib=/usr/share/Perl5/vendor_Perl -Dvendorarch=/usr/lib/Perl5/5.26/vendor_Perl -Dscriptdir=/usr/bin/core_Perl -Dsitescript=/usr/bin/site_Perl -Dvendorscript=/usr/bin/vendor_Perl -Dinc_version_list=none -Dman1ext=1Perl -Dman3ext=3Perl -Dcccdlflags='-fPIC' -Dlddlflags=-shared -Wl,-O1,--sort-common,--as-needed,-z,relro,-z,now -Dldflags=-Wl,-O1,--sort-common,--as-needed,-z,relro,-z,now'
    hint=recommended
    useposix=true
    d_sigaction=define
    useithreads=define
    usemultiplicity=define
    use64bitint=define
    use64bitall=define
    uselongdouble=undef
    usemymalloc=n
    default_inc_excludes_dot=define
    bincompat5005=undef
  Compiler:
    cc='cc'
    ccflags ='-D_REENTRANT -D_GNU_SOURCE -fwrapv -fno-strict-aliasing -pipe -fstack-protector-strong -I/usr/local/include -D_LARGEFILE_SOURCE -D_FILE_OFFSET_BITS=64 -D_FORTIFY_SOURCE=2'
    optimize='-march=x86-64 -mtune=generic -O2 -pipe -fstack-protector-strong -fno-plt'
    cppflags='-D_REENTRANT -D_GNU_SOURCE -fwrapv -fno-strict-aliasing -pipe -fstack-protector-strong -I/usr/local/include'
    ccversion=''
    gccversion='7.3.1 20180312'
    gccosandvers=''
    intsize=4
    longsize=8
    ptrsize=8
    doublesize=8
    byteorder=12345678
    doublekind=3
    d_longlong=define
    longlongsize=8
    d_longdbl=define
    longdblsize=16
    longdblkind=3
    ivtype='long'
    ivsize=8
    nvtype='double'
    nvsize=8
    Off_t='off_t'
    lseeksize=8
    alignbytes=8
    prototype=define
  Linker and Libraries:
    ld='cc'
    ldflags ='-Wl,-O1,--sort-common,--as-needed,-z,relro,-z,now -fstack-protector-strong -L/usr/local/lib'
    libpth=/usr/local/lib /usr/lib/gcc/x86_64-pc-linux-gnu/7.3.1/include-fixed /usr/lib /lib/../lib /usr/lib/../lib /lib /lib64 /usr/lib64
    libs=-lpthread -lnsl -lgdbm -ldb -ldl -lm -lcrypt -lutil -lc -lgdbm_compat
    perllibs=-lpthread -lnsl -ldl -lm -lcrypt -lutil -lc
    libc=libc-2.26.so
    so=so
    useshrplib=true
    libperl=libperl.so
    gnulibc_version='2.26'
  Dynamic Linking:
    dlsrc=dl_dlopen.xs
    dlext=so
    d_dlsymun=undef
    ccdlflags='-Wl,-E -Wl,-rpath,/usr/lib/Perl5/5.26/core_Perl/CORE'
    cccdlflags='-fPIC'
    lddlflags='-shared -Wl,-O1,--sort-common,--as-needed,-z,relro,-z,now -L/usr/local/lib -fstack-protector-strong'


Characteristics of this binary (from libperl): 
  Compile-time options:
    HAS_TIMES
    MULTIPLICITY
    PERLIO_LAYERS
    Perl_COPY_ON_WRITE
    Perl_DONT_CREATE_GVSV
    Perl_IMPLICIT_CONTEXT
    Perl_MALLOC_WRAP
    Perl_OP_PARENT
    Perl_PRESERVE_IVUV
    USE_64_BIT_ALL
    USE_64_BIT_INT
    USE_ITHREADS
    USE_LARGE_FILES
    USE_LOCALE
    USE_LOCALE_COLLATE
    USE_LOCALE_CTYPE
    USE_LOCALE_NUMERIC
    USE_LOCALE_TIME
    USE_PERLIO
    USE_Perl_ATOF
    USE_REENTRANT_API
  Built under linux
  Compiled at Apr 18 2018 22:21:20
  %ENV:
    Perl5LIB="/home/jhuber/Perl5/lib/Perl5"
    Perl_LOCAL_LIB_ROOT="/home/jhuber/Perl5"
    Perl_MB_OPT="--install_base "/home/jhuber/Perl5""
    Perl_MM_OPT="INSTALL_BASE=/home/jhuber/Perl5"
  @INC:
    /home/jhuber/Perl5/lib/Perl5/x86_64-linux-thread-multi
    /home/jhuber/Perl5/lib/Perl5
    /usr/lib/Perl5/5.26/site_Perl
    /usr/share/Perl5/site_Perl
    /usr/lib/Perl5/5.26/vendor_Perl
    /usr/share/Perl5/vendor_Perl
    /usr/lib/Perl5/5.26/core_Perl
    /usr/share/Perl5/core_Perl
0
Joshua Huber