Help us understand the problem. What is going on with this article?

バイナリレベルでの調査に使用するLinuxコマンドメモ

More than 3 years have passed since last update.

バイナリファイルの解析、調査に使えるコマンドメモ

下記のコマンド実行例の環境はこちら

[rso@localhost log]$ cat /etc/issue
CentOS release 6.3 (Final)
Kernel \r on an \m

バイナリファイルの読み書き

ファイルタイプを調べたい

file コマンドで簡単に調べられる。

[rso@localhost log]$ file /bin/ls /bin/sh /var/log/messages  /dev/sda /dev/tty11 /tmp /tmp/test.pl /tmp/hoge
/bin/ls:           ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.6.18, stripped
/bin/sh:           symbolic link to `bash'
/var/log/messages: ASCII English text
/dev/sda:          block special
/dev/tty11:        character special
/tmp:              sticky directory
/tmp/test.pl:      ASCII text
/tmp/hoge:         data

バイナリファイルに含まれる文字列を抽出したい。

strings で可能。バイナリファイルの文字列を抜き出すには一番手っ取り早い。

[rso@localhost log]$ strings /var/log/wtmp | head
reboot
2.6.32-279.el6.x86_64
runlevel
2.6.32-279.el6.x86_64
tty1
LOGIN
tty2
LOGIN
tty3
LOGIN

ちなみに、対象となるバイナリファイルがオブジェクトファイル(ELFファイル)の場合、
初期化・ロードされたセクション内の文字列のみ抽出する。ファイル全体から抽出したい場合、
strings -aを使う。

バイナリファイルを16進ダンプしたい

od で可能。

[rso@localhost log]$ od -Ax -tx1z /var/log/wtmp |head
000000 02 00 00 00 00 00 00 00 7e 00 00 00 00 00 00 00  >........~.......<
000010 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  >................<
000020 00 00 00 00 00 00 00 00 7e 7e 00 00 72 65 62 6f  >........~~..rebo<
000030 6f 74 00 00 00 00 00 00 00 00 00 00 00 00 00 00  >ot..............<
000040 00 00 00 00 00 00 00 00 00 00 00 00 32 2e 36 2e  >............2.6.<
000050 33 32 2d 35 37 33 2e 33 2e 31 2e 65 6c 36 2e 78  >32-573.3.1.el6.x<
000060 38 36 5f 36 34 00 00 00 00 00 00 00 00 00 00 00  >86_64...........<
000070 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  >................<
*
000150 00 00 00 00 ba 75 ff 55 84 37 09 00 00 00 00 00  >.....u.U.7......<```

hexdump でも可能。どちらを使うかは好き好きで。
個人的にはレトロな環境ではhexdumpが使えないところもあり、od のほうがどこでも使える感じがする。

[rso@localhost log]$ hexdump -C /var/log/wtmp | head
00000000  02 00 00 00 00 00 00 00  7e 00 00 00 00 00 00 00  |........~.......|
00000010  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000020  00 00 00 00 00 00 00 00  7e 7e 00 00 72 65 62 6f  |........~~..rebo|
00000030  6f 74 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |ot..............|
00000040  00 00 00 00 00 00 00 00  00 00 00 00 32 2e 36 2e  |............2.6.|
00000050  33 32 2d 32 37 39 2e 65  6c 36 2e 78 38 36 5f 36  |32-279.el6.x86_6|
00000060  34 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |4...............|
00000070  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
*
00000150  00 00 00 00 33 8d fc 4f  34 e5 01 00 00 00 00 00  |....3..O4.......|

また、objdump でも可能。
こちらは後述のELFファイルを扱う時に使用する。

[rso@localhost log]$ objdump -s -b binary /var/log/wtmp | head

/var/log/wtmp:     file format binary

Contents of section .data:
 00000 02000000 00000000 7e000000 00000000  ........~.......
 00010 00000000 00000000 00000000 00000000  ................
 00020 00000000 00000000 7e7e0000 7265626f  ........~~..rebo
 00030 6f740000 00000000 00000000 00000000  ot..............
 00040 00000000 00000000 00000000 322e362e  ............2.6.
 00050 33322d32 37392e65 6c362e78 38365f36  32-279.el6.x86_6

バイナリファイルを編集したい

vimでバイナリモードで開いた後、コマンド%!xxdでバイナリ表示にできる。
編集が終わったら、:%!xxd -r で戻す。

[rso@localhost log]$ vim -b binfile
 (省略)
:%!xxd
 (16進表示になる。編集する)
:%!xxd -r
 (元に戻る)
:wq

また、vim(xxd)が入ってないような前時代的なマシンで作業している場合や、vimで開くまでもない、開くと重過ぎる、という場合にはdd でも以下のように編集はできる。

[rso@localhost log]$ hexdump binfile2 -C
00000000  62 62 62 62 62 62 62 62  62 62 62 62 62 62 62 62  |bbbbbbbbbbbbbbbb|
00000010  62 62 62 62 62 62 62 62  62 62 0a                 |bbbbbbbbbb.|
[rso@localhost log]$ echo  -en '\x5A\x5A' | dd of=binfile2 bs=1 se
ek=16 conv=notrunc
2+0 records in
2+0 records out
2 bytes (2 B) copied, 6.0608e-05 s, 33.0 kB/s
[rso@localhost log]$ hexdump binfile2 -C
00000000  62 62 62 62 62 62 62 62  62 62 62 62 62 62 62 62  |bbbbbbbbbbbbbbbb|
00000010  5a 5a 62 62 62 62 62 62  62 62 0a                 |ZZbbbbbbbb.|

ELFファイル入門

ELF (Exectable and Linking Format) とは、Linux 上で実行可能なプログラムやそれにリンクされる共有ライブラリなどのバイナリファイルのファイル形式。

ELFヘッダの表示

以下のような簡単なHello worldバイナリを対象とする。

[rso@localhost log]$ cat main.c
#include <stdio.h>

int main(){
        printf("hello, world\n");
}
[rso@localhost log]$ gcc main.c

readelf コマンドを使用する。

[rso@localhost log]$ readelf  -h a.out
ELF Header:
  Magic:   7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00
  Class:                             ELF64
  Data:                              2's complement, little endian
  Version:                           1 (current)
  OS/ABI:                            UNIX - System V
  ABI Version:                       0
  Type:                              EXEC (Executable file)
  Machine:                           Advanced Micro Devices X86-64
  Version:                           0x1
  Entry point address:               0x4003e0
  Start of program headers:          64 (bytes into file)
  Start of section headers:          2472 (bytes into file)
  Flags:                             0x0
  Size of this header:               64 (bytes)
  Size of program headers:           56 (bytes)
  Number of program headers:         8
  Size of section headers:           64 (bytes)
  Number of section headers:         30
  Section header string table index: 27

64bitバイナリ、エンディアンなどが記載されている。

プログラムヘッダの表示

[rso@localhost log]$ readelf  -l a.out
  (省略)
Program Headers:
  Type           Offset             VirtAddr           PhysAddr
                 FileSiz            MemSiz              Flags  Align
  PHDR           0x0000000000000040 0x0000000000400040 0x0000000000400040
                 0x00000000000001c0 0x00000000000001c0  R E    8
  INTERP         0x0000000000000200 0x0000000000400200 0x0000000000400200
                 0x000000000000001c 0x000000000000001c  R      1
      [Requesting program interpreter: /lib64/ld-linux-x86-64.so.2]
  LOAD           0x0000000000000000 0x0000000000400000 0x0000000000400000
                 0x000000000000068c 0x000000000000068c  R E    200000
  LOAD           0x0000000000000690 0x0000000000600690 0x0000000000600690
                 0x00000000000001ec 0x0000000000000200  RW     200000
  (省略)

 Section to Segment mapping:
  Segment Sections...
   00
   01     .interp
   02     .interp .note.ABI-tag .note.gnu.build-id .gnu.hash .dynsym .dynstr .gnu.version .gnu.version_r .rela.dyn .rela.plt .init .plt .text .fini .rodata .eh_frame_hdr .eh_frame
   03     .ctors .dtors .jcr .dynamic .got .got.plt .data .bss
  (省略)

各セグメントの開始オフセットのメモリ読み書きに関する権限、セグメント内に含まれるセクションの情報が表示される。
例えば、セクション.rodata は権限RE(読み込み、実行)のLOADセグメント内にあることが分かる。

セクションヘッダの表示

[rso@localhost log]$ cat main.c
#include <stdio.h>

int main(){
        printf("hello, world\n");
}
[rso@localhost log]$ gcc main.c
[rso@localhost log]$ readelf -S a.out
There are 30 section headers, starting at offset 0x9a8:

Section Headers:
  [Nr] Name              Type             Address           Offset
       Size              EntSize          Flags  Link  Info  Align
  [ 0]                   NULL             0000000000000000  00000000
       0000000000000000  0000000000000000           0     0     0
  [ 1] .interp           PROGBITS         0000000000400200  00000200
       000000000000001c  0000000000000000   A       0     0     1
  (省略)
  [13] .text             PROGBITS         00000000004003e0  000003e0
       00000000000001d8  0000000000000000  AX       0     0     16
  (省略)
  [15] .rodata           PROGBITS         00000000004005c8  000005c8
       000000000000001d  0000000000000000   A       0     0     8
  (省略)
  [24] .data             PROGBITS         0000000000600878  00000878
       0000000000000004  0000000000000000  WA       0     0     4
  (省略)

各セクションヘッダの種類と位置が表示される。Offset表示部分がプログラムの先頭からの距離で、セクションヘッダの種類をいくつかメモしておく。

  • .text ・・・テキストセグメント。実行プログラムが配置されている領域
  • .rodata ・・・読み込み専用の定数値等が配置されている領域
  • .data ・・・変更可能な初期化済みデータの配置されている領域

試しに .rodata セグメントの内容をダンプしてみる。

[rso@localhost log]$ hexdump a.out -s 0x5c8 -n $((0x01d)) -C
000005c8  01 00 02 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000005d8  68 65 6c 6c 6f 2c 20 77  6f 72 6c 64 00           |hello, world.|

上記のプログラムの文字列定数が含まれていることがわかる。
セクション名が分かっていてそれを抜き出したいときは、objdumpでも可能。

[rso@localhost log]$ objdump -s -j .rodata a.out

a.out:     file format elf64-x86-64

Contents of section .rodata:
 4005c8 01000200 00000000 00000000 00000000  ................
 4005d8 68656c6c 6f2c2077 6f726c64 00        hello, world.

ちなみに、strings コマンドでも以下のように調べられる。

[rso@localhost log]$ strings -tx a.out
    200 /lib64/ld-linux-x86-64.so.2
  (省略)
    5d8 hello, world

ELFファイルからシンボルを表示させる。

シンボルとは、関数、変数、アドレスに紐付けられた識別子のようなもの。
プログラムの実行時やリンク時に使用される。

nm コマンドを使用すれば、シンボルを表示できる。

[rso@localhost ~]$ gcc -o main -c main.o
[rso@localhost ~]$ nm main.o
0000000000000000 T main
                 U puts

シンボルの種類についてはここでは詳しく書かないが、Uは未定義のシンボル。
実行可能なファイルに対しても使用できる。

[rso@localhost ~]$ nm a.out
00000000006006b8 d _DYNAMIC
 (省略) 
00000000004004c4 T main
                 U puts@@GLIBC_2.2.5

実行ファイルから使用される共有ライブラリの表示

ldd を使えば便利。
実行時に読み込まれるライブラリ一覧が表示される。

[rso@localhost log]$ ldd a.out
        linux-vdso.so.1 =>  (0x00007ffe39db9000)
        libc.so.6 => /lib64/libc.so.6 (0x0000003bc3e00000)
        /lib64/ld-linux-x86-64.so.2 (0x0000003bc3600000)

参考文献

主に以下の資料から自分なりに理解したものを記載した。

参考文献

// 記載内容に間違いなどありましたらご指摘いただけると幸いです。

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした