主页 / unix / 问题 / 419242
Accepted
Rui F Ribeiro
Asked: 2018-01-24 18:39:49 +0800 CST

奇怪的 Linux 二进制文件

  • 772

我有一个可执行文件,它不适合像往常/预期的那样进行反汇编或反编译。

fileldd给出与平常不同的输出:

$ file exe_file
exe_file: ELF 64-bit LSB shared object, x86-64, version 1 (GNU/Linux), statically linked, stripped

$ ldd exe_file
    not a dynamic executable

strings也暗示了一些事情是关闭的:

$strings exe_file
UPX!
.....
PROT_EXEC|PROT_WRITE failed.
$Info: This file is packed with the UPX executable packer http://upx.sf.net $
$Id: UPX 3.91 Copyright (C) 1996-2013 the UPX Team. All Rights Reserved. $

还:

$ ls -la exe_file
-rwxr-xr-x 1 root root 59896 Jan 22 15:26 exe_file

怎么了?

linux reverse-engineering

1 个回答

  1. Best Answer

    从告示签名中,我们正在处理一个打包的UPX可执行文件。

    UPX 是一个免费的、可移植的、可扩展的、高性能的可执行打包器,适用于多种可执行格式。

    通常UPX用于打包/屏蔽二进制文件/恶意软件/病毒,因为它的签名/核心在大多数 AV 解决方案中都被列入白名单。

    请注意,在某些恶意软件可执行文件中,UPX 可以是外层,在“解包”UPX 层之后,您可能还有其他打包/压缩技术的另一个“内”打包程序。

    要解压二进制文件,需要安装upx.

    使用 MacPorts 在 MacOS 中安装 UPX:

    sudo port install upx

    在 Debian 及其衍生版本中安装 UPX:

    sudo apt-get install upx-ucl

    解压可执行二进制文件:

    upx -d exe_file

    打包:

    upx exe_file

    为了比较,拆包exe_file后:

    upx -d exe_file

    我们重新运行问题中的命令,结果完全不同:

    $ file exe_file
exe_file: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=3c233e12c466a83aa9b2094b07dbfaa5bd10eccd, stripped

$ ldd exe_file
    linux-vdso.so.1 (0x00007ffd431d3000)
    libselinux.so.1 => /lib/x86_64-linux-gnu/libselinux.so.1 (0x00007f7f7fb7d000)
    libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f7f7f7de000)
    libpcre.so.3 => /lib/x86_64-linux-gnu/libpcre.so.3 (0x00007f7f7f56b000)
    libdl.so.2 => /lib/x86_64-linux-gnu/libdl.so.2 (0x00007f7f7f367000)
    /lib64/ld-linux-x86-64.so.2 (0x00007f7f7ffc6000)
    libpthread.so.0 => /lib/x86_64-linux-gnu/libpthread.so.0 (0x00007f7f7f14a000)

# ls -la exe_file
-rwxr-xr-x 1 root root 130736 Jan 22 15:26 exe_file

    相关问题了解 Linux 二进制文件在做什么

    • 5

相关问题