Linux 软件逆向静态分析

Linux 软件逆向静态分析的概念

静态分析是在不运行程序的情况下，通过分析程序的二进制文件、字节码或源代码（如果有）来理解程序的结构、功能和行为的过程。在 Linux 环境下，主要针对 ELF（Executable and Linkable Format）格式的可执行文件和库文件进行分析。这种分析可以帮助发现程序的潜在漏洞、理解程序的算法、查看加密算法的实现细节等诸多用途。

具体步骤

文件格式分析

查看文件头信息：使用命令初步判断文件类型。

file

例如，对于一个二进制文件test，执行命令

file test

可以得到文件是 ELF 格式、32 位还是 64 位、是可执行文件还是共享库等基本信息。

使用 readelf 工具深入分析：

readelf -h test

可以查看 ELF 文件头的详细信息，如入口点地址、程序头表的偏移量等。例如，入口点地址告诉我们程序开始执行的位置。

readelf -S test

用于查看节区（Section）信息，比如.text节存放代码，.data节存放已初始化的全局变量，通过这些信息可以了解程序的布局。

反汇编分析

使用 objdump 工具进行反汇编：

objdump -d test

命令可以将二进制文件反汇编为汇编语言。分析汇编代码可以了解程序的基本控制流和操作。例如，通过识别call指令来确定函数调用，mov指令用于数据移动等操作。对于一个简单的加法函数可能会看到类似mov eax, [ebp + 8]（将第一个参数加载到eax寄存器）、add eax, [ebp + 12]（将第二个参数与eax中的值相加）的指令。

确定关键函数和代码块：在反汇编后的代码中，寻找关键的函数入口点，如main函数（程序的主入口）、初始化函数等。可以通过搜索main等关键字或者根据程序的逻辑来确定重要的代码块。例如，在一个网络服务程序中，关注与网络连接初始化（如socket、bind、listen等系统调用对应的汇编代码）相关的函数。

符号表分析

查看符号信息：使用命令查看符号表。

readelf -s test

符号表包含函数名、变量名等信息。可以确定程序中定义和引用的外部函数和变量。例如，如果看到一个符号printf，就知道程序调用了printf函数用于输出。通过符号的类型（如FUNC表示函数，OBJECT表示变量）和所在节区可以进一步了解它们在程序中的作用。

字符串提取与分析

提取字符串：使用命令从二进制文件中提取可打印的 ASCII 字符串。

strings

例如

strings test

会输出文件中的所有字符串。这些字符串可能包含错误信息、文件路径、加密密钥的提示等有用信息。

分析字符串用途：例如，如果提取出的字符串中有/etc/password，可能暗示程序会访问密码文件；如果有类似Invalid password的字符串，可能表示程序有密码验证功能。

代码示例（用于辅助分析过程）

编写脚本提取函数调用关系（使用 Python 和 re 模块）

假设已经通过该命令

objdump -d

得到了反汇编代码并保存为disassembly.txt文件，以下代码可以提取函数调用关系：

import re

function_calls = []
with open("disassembly.txt", "r") as file:
    lines = file.readlines()
    for line in lines:
        match = re.search(r"call\s+(.*)", line)
        if match:
            function_calls.append(match.group(1))

print("函数调用关系:")
for call in function_calls:
    print(call)

编写脚本分析符号表信息（使用 Python 和 subprocess 模块）

以下代码可以获取并简单分析readelf -s输出的符号表信息：

import subprocess

result = subprocess.check_output(["readelf", "-s", "test"]).decode("utf - 8")
lines = result.splitlines()
for line in lines:
    if "FUNC" in line:
        parts = line.split()
        symbol_name = parts[-1]
        print(f"函数名: {symbol_name}")