¿Podemos obtener información del compilador de un binario elfo?

¿Hay alguna posibilidad de saber cómo se construyó un binario en Linux? (y otro Unix)

Compilador, versión, hora, banderas, etc.

Miré readelfy no pude encontrar mucho, pero podría haber otras formas de analizar el código binario / sección, etc.

¿Algo que sepas extraer?

No existe una forma universal, pero puede hacer una suposición educada buscando cosas que solo hace un compilador.

GCC es el más fácil; escribe una .commentsección que contiene la cadena de versión de GCC (la misma cadena que obtienes si corres gcc --version). No sé si hay una manera de mostrarlo readelf, pero con objdump:

objdump -s --section .comment /path/binary

Me acabo de dar cuenta de que ignoré el resto de tu pregunta. Las banderas generalmente no se guardan en ningún lado; probablemente estarían en una sección de comentarios, pero nunca he visto eso hecho. Hay un lugar en el encabezado COFF para una marca de tiempo, pero no hay equivalente en ELF, por lo que tampoco creo que el tiempo de compilación esté disponible

Qué tal si:

readelf -p .comment a.out

Puedes intentar usar el stringscomando. Creará una gran cantidad de salida de texto; al marcarlo, puede adivinar el compilador.

pubuntu@pubuntu:~$ strings -a a.out |grep -i gcc
GCC: (Ubuntu 4.4.3-4ubuntu5) 4.4.3

Aquí sé que está compilado, gccpero siempre puedes redirigir la stringssalida a un archivo y examinarlo.

Hay una muy buena utilidad llamada peidpara Windows pero no puedo encontrar ninguna alternativa en Linux.

Hay dos métodos Ambos darán el mismo resultado.

objdump -s --section .comment path/to/binary

Usando el comando readelf, readelf -S binary se mostrarán los 40 encabezados de sección en el binario. Anote el número de serie del .comment encabezado de sección. En mi sistema, se mostró como 27 (puede ser diferente para su caso)

readelf -x 30 path/to/binary -> que mostrará el volcado hexadecimal de la sección '.comment'. En ese volcado, puede ver el compilador utilizado para construir el binario.

readelf u objdump ambos pueden hacer esto.

El archivo ELF compilado por gcc agregará .note.ABI-tag y .note.gnu.build-id dos secciones. ambos podrían mostrarse por

objdump -sj .note.ABI-tag ELFFILE
objdump -sj .note.gnu-build-id ELFFILE

la opción "s" significa mostrar el contenido completo, "j" para indicar el nombre de la sección. Este estilo obtiene contenidos hexadecimales de esas secciones.

readelf -n

mostrará contenido legible para humanos de ELFFILE una vez. la opción "n" significa NOTAS.

Elige uno como quieras.

Por cierto, use objcopy, puede agregar su propia sección en el archivo elf.

También puede usar este script inteligente que cuenta los números de varias instrucciones de CPU utilizadas por el binario. Se basa en el análisis de salida objdump. Tenga en cuenta que puede llevar bastante tiempo terminarlo si lo usa en un gran binario.

Puede valer la pena un golpe de suerte, dependiendo de qué programa. Algunos programas tendrán esto compilado como información y accesible mediante algún tipo de versión de llamada (-V, --version, -Version, etc.). Puede encontrar cualquier subconjunto de los elementos que está buscando (incluido el conjunto nulo). Aquí hay un ejemplo particularmente fructífero, Perl 5:

$ perl -V

Summary of my perl5 (revision 5 version 26 subversion 2) configuration:

  Platform:
    osname=linux
    osvers=4.15.15-1-arch
    archname=x86_64-linux-thread-multi
    uname='linux flo-64 4.15.15-1-arch #1 smp preempt sat mar 31 23:59:25 utc 2018 x86_64 gnulinux '
    config_args='-des -Dusethreads -Duseshrplib -Doptimize=-march=x86-64 -mtune=generic -O2 -pipe -fstack-protector-strong -fno-plt -Dprefix=/usr -Dvendorprefix=/usr -Dprivlib=/usr/share/perl5/core_perl -Darchlib=/usr/lib/perl5/5.26/core_perl -Dsitelib=/usr/share/perl5/site_perl -Dsitearch=/usr/lib/perl5/5.26/site_perl -Dvendorlib=/usr/share/perl5/vendor_perl -Dvendorarch=/usr/lib/perl5/5.26/vendor_perl -Dscriptdir=/usr/bin/core_perl -Dsitescript=/usr/bin/site_perl -Dvendorscript=/usr/bin/vendor_perl -Dinc_version_list=none -Dman1ext=1perl -Dman3ext=3perl -Dcccdlflags='-fPIC' -Dlddlflags=-shared -Wl,-O1,--sort-common,--as-needed,-z,relro,-z,now -Dldflags=-Wl,-O1,--sort-common,--as-needed,-z,relro,-z,now'
    hint=recommended
    useposix=true
    d_sigaction=define
    useithreads=define
    usemultiplicity=define
    use64bitint=define
    use64bitall=define
    uselongdouble=undef
    usemymalloc=n
    default_inc_excludes_dot=define
    bincompat5005=undef
  Compiler:
    cc='cc'
    ccflags ='-D_REENTRANT -D_GNU_SOURCE -fwrapv -fno-strict-aliasing -pipe -fstack-protector-strong -I/usr/local/include -D_LARGEFILE_SOURCE -D_FILE_OFFSET_BITS=64 -D_FORTIFY_SOURCE=2'
    optimize='-march=x86-64 -mtune=generic -O2 -pipe -fstack-protector-strong -fno-plt'
    cppflags='-D_REENTRANT -D_GNU_SOURCE -fwrapv -fno-strict-aliasing -pipe -fstack-protector-strong -I/usr/local/include'
    ccversion=''
    gccversion='7.3.1 20180312'
    gccosandvers=''
    intsize=4
    longsize=8
    ptrsize=8
    doublesize=8
    byteorder=12345678
    doublekind=3
    d_longlong=define
    longlongsize=8
    d_longdbl=define
    longdblsize=16
    longdblkind=3
    ivtype='long'
    ivsize=8
    nvtype='double'
    nvsize=8
    Off_t='off_t'
    lseeksize=8
    alignbytes=8
    prototype=define
  Linker and Libraries:
    ld='cc'
    ldflags ='-Wl,-O1,--sort-common,--as-needed,-z,relro,-z,now -fstack-protector-strong -L/usr/local/lib'
    libpth=/usr/local/lib /usr/lib/gcc/x86_64-pc-linux-gnu/7.3.1/include-fixed /usr/lib /lib/../lib /usr/lib/../lib /lib /lib64 /usr/lib64
    libs=-lpthread -lnsl -lgdbm -ldb -ldl -lm -lcrypt -lutil -lc -lgdbm_compat
    perllibs=-lpthread -lnsl -ldl -lm -lcrypt -lutil -lc
    libc=libc-2.26.so
    so=so
    useshrplib=true
    libperl=libperl.so
    gnulibc_version='2.26'
  Dynamic Linking:
    dlsrc=dl_dlopen.xs
    dlext=so
    d_dlsymun=undef
    ccdlflags='-Wl,-E -Wl,-rpath,/usr/lib/perl5/5.26/core_perl/CORE'
    cccdlflags='-fPIC'
    lddlflags='-shared -Wl,-O1,--sort-common,--as-needed,-z,relro,-z,now -L/usr/local/lib -fstack-protector-strong'


Characteristics of this binary (from libperl): 
  Compile-time options:
    HAS_TIMES
    MULTIPLICITY
    PERLIO_LAYERS
    PERL_COPY_ON_WRITE
    PERL_DONT_CREATE_GVSV
    PERL_IMPLICIT_CONTEXT
    PERL_MALLOC_WRAP
    PERL_OP_PARENT
    PERL_PRESERVE_IVUV
    USE_64_BIT_ALL
    USE_64_BIT_INT
    USE_ITHREADS
    USE_LARGE_FILES
    USE_LOCALE
    USE_LOCALE_COLLATE
    USE_LOCALE_CTYPE
    USE_LOCALE_NUMERIC
    USE_LOCALE_TIME
    USE_PERLIO
    USE_PERL_ATOF
    USE_REENTRANT_API
  Built under linux
  Compiled at Apr 18 2018 22:21:20
  %ENV:
    PERL5LIB="/home/jhuber/perl5/lib/perl5"
    PERL_LOCAL_LIB_ROOT="/home/jhuber/perl5"
    PERL_MB_OPT="--install_base "/home/jhuber/perl5""
    PERL_MM_OPT="INSTALL_BASE=/home/jhuber/perl5"
  @INC:
    /home/jhuber/perl5/lib/perl5/x86_64-linux-thread-multi
    /home/jhuber/perl5/lib/perl5
    /usr/lib/perl5/5.26/site_perl
    /usr/share/perl5/site_perl
    /usr/lib/perl5/5.26/vendor_perl
    /usr/share/perl5/vendor_perl
    /usr/lib/perl5/5.26/core_perl
    /usr/share/perl5/core_perl

Si abre un binario ELF en 7-zip, se enumerarán las distintas secciones dentro. Desde allí, puede usar la opción Ver menú contextual en, digamos, la sección ".comment", para ver los comentarios del compilador (por ejemplo, "GCC: (GNU) 4.9 20150123 (versión preliminar) Android clang versión 3.8.256229 (basado en LLVM 3.8.256229) ").

Tenga en cuenta que la sección ".comment", si existe, parece comenzar con un carácter nulo, así que asegúrese de elegir una aplicación de visor para usar dentro de 7-zip que no se confunda con esto (por ejemplo, intenta interpretar el datos como Unicode). Otras secciones que pueden existir y ser de interés son ".note. *".