Detectando chamadas de API usadas para um aplicativo

DR: você pode conectar chamadas de função regulares através dos limites de objetos compartilhados com bpftrace. No entanto, especialmente para o que consideramos biblioteca padrão C++, isso é apenas uma pequena parte da funcionalidade real da "biblioteca padrão" do C++. Mas, mesmo que você pudesse rastrear todas essas chamadas de função, isso não lhe daria nenhuma garantia.

Não existe uma maneira geral de saber quais funções são chamadas: no final, você não pode saber qual parte da biblioteca padrão foi vinculada estaticamente ao programa; a maior parte estará em linha, por design! Em C++, uma enorme quantidade de funcionalidade padrão está em modelos C++, portanto, parte da unidade de compilação do seu programa, não libstdc++. Pior ainda, mesmo quando se usa apenas uma funcionalidade que é definitivamente de uma biblioteca compartilhada, uma "chamada de função" simplesmente não é algo "especial"; é apenas configurar os registros necessários para passar argumentos e pular para um endereço. Para objetos compartilhados, esse endereço geralmente é resolvido usando o vinculador dinâmico padrão no momento da inicialização, mas não há absolutamente nenhuma garantia de que isso seja a única coisa que acontece. Especialmente se um programa carrega bibliotecas em tempo de execução (qualquer coisa que faça plugins, por exemplo, ou linguagens de script, ou…), não é tão fácil quanto apenas listar a tabela de funções a serem importadas.

Você pode rastrear seu programa de usuário e inserir um gancho para cada função na biblioteca padrão C++ e registrá-lo. bpftraceprovavelmente seria a ferramenta de escolha aqui. Instale o bpftrace e veja suas ferramentas de exemplo, normalmente em /usr/share/bpftrace/tools, especialmente bashreadline.bt:

#!/usr/bin/bpftrace
/*
 * bashreadline    Print entered bash commands from all running shells.
 *                 For Linux, uses bpftrace and eBPF.
 *
 * This works by tracing the readline() function using a uretprobe (uprobes).
 *
 * USAGE: bashreadline.bt
 *
 * This is a bpftrace version of the bcc tool of the same name.
 *
 * Copyright 2018 Netflix, Inc.
 * Licensed under the Apache License, Version 2.0 (the "License")
 *
 * 06-Sep-2018  Brendan Gregg   Created this.
 */

BEGIN
{
    printf("Tracing bash commands... Hit Ctrl-C to end.\n");
    printf("%-9s %-6s %s\n", "TIME", "PID", "COMMAND");
}

uretprobe:/bin/bash:readline
{
    time("%H:%M:%S  ");
    printf("%-6d %s\n", pid, str(retval));
}

Escreva um pequeno programa awk, Python, PERL ou PL1 que gere tal uretprobe:executable name:function namepara cada entrada objdump -T /lib64/libstdc++.so(ou qualquer biblioteca que você acha que o programa pode estar usando; você pode descobrir isso por meio de strace, procurando por openchamadas). Tudo isso é muito programável!

Preciso executar um aplicativo C++ proprietário no Linux e preciso entender se ele contém alguma função fora dos recursos anunciados.

Sim, isso não lhe dará nenhuma garantia. Na melhor das hipóteses, você vê quais endereços são chamados. Se o programa preparou um trampolim ROP para fazer a biblioteca externa fazer o que quiser na situação certa, não pode ser feito. Geralmente, você só pode observar o que seu programa faz durante uma execução normal. Mas, a menos que você leia toda a sua desmontagem, não saberá se ele faz algo diferente quando executado em uma sexta-feira, 13, ou quando UID=1234, ou o CPUID termina em 7, ou… E: Qualquer funcionalidade indesejável em qualquer biblioteca externa que você não deseja que o programa chame, os programadores poderiam simplesmente ter incluído no próprio programa (copiando a funcionalidade ou apenas por meio de link estático).

É por isso que os sistemas operacionais e os UNIXoids segmentam especialmente os privilégios através de um sistema operacional/limite de usuário: nenhuma garantia pode ser feita sobre o comportamento de qualquer programa, mas o Linux pode garantir (com uma quantidade satisfatória de certeza) que um programa que não é permitido para acessar um arquivo não é possível acessá-lo; e a permissão de acesso é impossível de ser alcançada pelo próprio programa.