最近,我得到了一个用于基于 ARM 的微控制器的 ELF 可执行文件。令我惊讶的是,当我尝试通过使用arm-none-eabi-objdump 转储所有内容来检查它时,它一直失败并出现错误
文件格式无法识别
在询问提供二进制文件的人后,我得知它是使用专有工具链编译(和链接)的,为了避免给他们额外的宣传,我不会提及它。随后,有人告诉我,我需要上述专有工具链中的实用程序才能反汇编二进制文件。现在,这让我感到好奇。 GNU 的 objdump 怎么可能不解析 ELF 文件?据我所知,ELF 是一种标准的免费文件格式。当然,即使指令集不被识别,那么至少应该可以获得节和符号表,以及符号的二进制反汇编。也许信息被加密了?
【问题讨论】:
很可能,ELF 标头以某种方式被破坏以强制执行反调试技术。你可以从crackme挑战中学到很多东西。 Jonathan Salwan 有一个 x86 破解版,它似乎也是这样做的。您可以在他的博客文章“二进制分析,如果可以的话算我”中了解更多信息:http://shell-storm.org/blog/A-binary-analysis-count-me-if-you-can/
【讨论】:
readelf 而不是objdump 开头。
readelf: Error: Unable to read in 0x2800 bytes of section headers readelf: Error: Unable to read in 0x3e80000 bytes of section headers readelf: Error: Section headers are not available! readelf: Error: Unable to read in 0x800000 bytes of program headers 。否则它会正确识别 ELF 类、字节顺序、ABI、标志、表大小等。