Paul Troncone and Carl Albing Cybersecurity Ops with bash Attack, Defend, and Analyze from the Command Line

Download 4,82 Mb.

Pdf ko'rish

bet	128/206
Sana	29.03.2022
Hajmi	4,82 Mb.
	#515317

1 ... 124 125 126 127 128 129 130 131 ... 206

Bog'liq
Bash и кибербезопасность Атака, защита и анализ из командной строки

Пример 11.1.

Часть II • Защитные операции с использованием bash
Для.преобразования.шестнадцатеричного.кода.в.ASCII.используйте.команду.
xxd
.
с.параметром.
-r
:
$ printf 0x41 | xxd –r
A
Чтобы.преобразовать.из.ASCII.в.двоичный.код,.вы.можете.передать.символ.в.
xxd
.
и.использовать.параметр.
-b
:
$ printf 'A' | xxd –b
00000000: 01000001
В показанных примерах вместо команды echo умышленно используется команда
printf. Это объясняется тем, что команда echo автоматически добавляет в вывод
лишний символ. Его можно увидеть здесь:
$ echo 'A' | xxd
00000000: 410a
Далее.рассмотрим.команду.
xxd
.и.способы.ее.использования.для.анализа.файла..
Для.примера.проанализируем.исполняемый.файл.
Анализ с помощью xxd
Для.изучения.функциональности.команды.
xxd
.возьмем.исполняемый.файл.
helloworld
..
Исходный.код.показан.в.примере.11.1..Файл.
helloworld
.компилируется.для.Linux.
в.Executable.and.Linkable.Format.(ELF).—.формат.исполняемых.и.компонуемых.моду-
лей..Компиляция.производится.с.помощью.компилятора.GNU.C.Compiler.(GCC).
Пример 11.1.
helloworld.c
#include
int main()
{
printf("Hello World!\n");
return 0;
}
Команда.
xxd
.может.использоваться.для.проверки.любой.части.исполняемого.
файла..В.качестве.примера.можно.посмотреть.магическое.число.файла,.которое.
начинается.с.позиции.0x00.и.имеет.размер.4.байта..Чтобы.выбрать.начальную.
позицию,.используйте.параметр.
-s
.(если.формат.файла.десятичный)..Для.опре-

Глава 11. Анализ вредоносных программ
173
деления.количества.возвращаемых.байтов.добавьте.параметр.
-l
.(для.десятичного.
формата)..Начальную.позицию.и.длину.также.можно.указать.в.шестнадцатеричном.
формате,.добавив.к.числу.символы.0x.(то.есть.0x2A)..Как.и.ожидалось,.мы.увидели.
магическое.число.ELF:
$ xxd -s 0 -l 4 helloworld
00000000: 7f45 4c46 .ELF
Пятый.байт.файла.покажет.вам.архитектуру.этого.файла:.является.ли.он.32-раз-
рядным.(0x01).или.64-разрядным.(0x02).исполняемым.файлом..В.данном.случае.
это.64-разрядный.исполняемый.файл:
$ xxd -s 4 -l 1 helloworld
00000004: 02
Шестой.байт.описывает.порядок.записи.байтов:.little-endian.(от.младшего.к.стар-
шему).(0x01).или.big-endian.(от.старшего.к.младшему).(0x02)..В.данном.случае.
порядок.записи.байтов.little-endian:
$ xxd -s 5 -l 1 helloworld
00000005: 01
Формат.и.порядок.байтов.—.важная.информация,.используемая.для.анализа.
остальной.части.файла..Например,.8.байт.64-битного.файла.ELF,.начинающихся.
с.0x20,.определяют.заголовок.программы:
$ xxd -s 0x20 -l 8 helloworld
00000020: 4000 0000 0000 0000
Нам.уже.известно,.что.порядок.записи.нашего.файла.—.little-endian,.поэтому.за-
головок.начинается.с.0x40.
Эти.данные.мы.можем.использовать.для.отображения.заголовка.программы,.длина.
которого.для.64-битного.ELF-файла.должна.составлять.0x38.байт:
$ xxd -s 0x40 -l 0x38 helloworld
00000040: 0600 0000 0500 0000 4000 0000 0000 0000 ........@.......
00000050: 4000 4000 0000 0000 4000 4000 0000 0000 @.@.....@.@.....
00000060: f801 0000 0000 0000 f801 0000 0000 0000 ................
00000070: 0800 0000 0000 0000
Дополнительные.сведения.о.формате.файла.Linux.ELF.можно.найти.в.специфика-
ции.Tool.Interface.Standard.(TIS).и.Executable.and.Linking.Format.(ELF).по.адресу.
http://bit.ly/2HVOMu7
.

174

Download 4,82 Mb.

Do'stlaringiz bilan baham:

1 ... 124 125 126 127 128 129 130 131 ... 206