9

我需要比较使用相同编译器/标志编译的 2 个可执行文件和/或共享对象,并验证它们是否没有更改。我们在受监管的环境中工作,因此对于测试目的而言,准确隔离可执行文件的哪些部分已更改非常有用。

由于包含文件信息的标题,使用 MD5Sums/Hashes 不起作用。

有谁知道一个程序或方法来验证两个文件在执行上是否相同,即使它们是在不同时间构建的?

4

4 回答 4

5

一个有趣的问题。我在linux上有类似的问题。如果可执行文件的哈希值突然发生变化,OSSEC 或tripwire 等入侵检测系统可能会产生误报。这可能比 Linux“预链接”程序修补可执行文件以加快启动速度更糟糕。

为了比较两个二进制文件(ELF 格式),可以使用“readelf”可执行文件,然后使用“diff”来比较输出。我确信有完善的解决方案,但事不宜迟,Perl 中的一个穷人的比较器:

#!/usr/bin/perl -w

$exe = $ARGV[0];

if (!$exe) {
   die "Please give name of executable\n"
}
if (! -f $exe) {
   die "Executable $exe not found or not a file\n";
}
if (! (`file '$exe'` =~ /\bELF\b.*?\bexecutable\b/)) {
   die "file command says '$exe' is not an ELF executable\n";
}

# Identify sections in ELF

@lines = pipeIt("readelf --wide --section-headers '$exe'");

@sections = ();

for my $line (@lines) {
   if ($line =~ /^\s*\[\s*(\d+)\s*\]\s+(\S+)/) {
      my $secnum = $1;
      my $secnam = $2;
      print "Found section $1 named $2\n";
      push @sections, $secnam;
   }
}

# Dump file header

@lines = pipeIt("readelf --file-header --wide '$exe'");
print @lines;

# Dump all interesting section headers

@lines = pipeIt("readelf --all --wide '$exe'");
print @lines;

# Dump individual sections as hexdump

for my $section (@sections) {
   @lines = pipeIt("readelf --hex-dump='$section' --wide '$exe'");
   print @lines;
}

sub pipeIt {
   my($cmd) = @_;
   my $fh;
   open ($fh,"$cmd |") or die "Could not open pipe from command '$cmd': $!\n";
   my @lines = <$fh>;
   close $fh or die "Could not close pipe to command '$cmd': $!\n";
   return @lines;
}

例如,现在您可以在机器 1 上运行:

./checkexe.pl /usr/bin/curl > curl_machine1

在机器 2 上:

./checkexe.pl /usr/bin/curl > curl_machine2

在将文件复制粘贴、SFTP-ed 或 NSF-ed(您不使用 FTP,对吗?)后,将文件放入同一个文件树中,比较文件:

diff --side-by-side --width=200 curl_machine1 curl_machine2 | less

就我而言,“.gnu.conflict”、“.gnu.liblist”、“.got.plt”和“.dynbss”部分存在差异,这对于“预链接”干预可能没问题,但在代码部分, ".text", 这将是一个坏标志。

于 2011-11-15T18:54:25.550 回答
1

为了跟进,这是我最终想到的:

我们没有比较最终的可执行文件和共享对象,而是比较了链接前的 .o 文件输出。我们假设链接过程具有足够的可重复性,这样就可以了。

它适用于我们的某些情况,我们有两个构建,我们做了一些不应该影响最终代码(代码漂亮打印机)的小改动,但如果我们没有构建中介输出,则对我们没有帮助.

于 2011-02-11T16:07:57.467 回答
0

您可以通过从 ELF 文件生成二进制文件来比较 RO 和 RW 初始化部分的内容。

objcopy <elf_file> -O binary <binary_file>

使用生成的二进制文件来比较它们是否相同,diff例如使用。

在我看来,这足以让您生成相同的可执行文件。

于 2018-09-26T15:06:46.013 回答
-1

几年前,我不得不做同样的事情。我们必须证明,当仅给出修订号、修订控制存储库、构建工具和构建配置时,我们可以从源代码重建可执行文件。注意:如果其中任何一项发生变化,您可能会看到差异。

我记得可执行文件中有一些时间戳。诀窍是要意识到文件不仅仅是一堆字节,无法解释。该文件有部分,大部分不会改变,但会有一个部分用于构建时间(或类似的东西)。

我不记得所有细节,但您需要的命令是 { objcopy, objdump, nm },我认为objdump将是第一个尝试的。

希望这可以帮助。

于 2013-10-04T12:54:29.013 回答