18、可执行文件的符号信息与元数据分析

可执行文件的符号信息与元数据分析

在数字调查领域，对可执行文件的深入分析至关重要。攻击者编译和链接可执行文件的方式往往会留下关于可疑程序性质和功能的重要线索。下面将详细介绍如何通过符号信息和元数据来剖析可执行文件。

1. 符号信息分析

1.1 符号信息的重要性

攻击者编译和链接可执行文件的方式会为调查人员提供有关程序性质和功能的线索。例如，如果攻击者未从 ELF 二进制可执行文件中去除程序变量和函数名（即符号，存于符号表中），数字调查人员就能深入了解程序的功能。同样，若恶意程序以调试模式编译，也会提供如源代码和调试行等额外信息。

1.2 nm 命令的使用

大多数 Linux 操作系统发行版预装了nm实用工具，它可识别嵌入在可执行/目标文件样本中的符号和调试信息。要显示可疑二进制文件中的符号，可使用nm -al命令，示例如下：

lab@MalwareLab:~/home/malwarelab/Malware Repository$ nm -al sysfile 0804d300 b .bss 00000000 n .comment 0804d1e8 d .ctors 0804d000 d .data 00000000 N .debug_abbrev 00000000 N .debug_aranges 00000000 N .debug_frame 00000000 N .debug_info 00000000 N .debug_line 00000000 N .debug_pubn