ELF 포맷 실행 파일 비교 방법
글쓴이: kaypro / 작성시간: 목, 2005/03/31 - 1:58오후
안녕하세요?
실행 파일 두개가 있는데 크기는 같습니다.
이 때 두 개의 실행 파일의 코드가 똑같다는 걸 어떻게
알 수 있을까요?
C코드 파일을 두 번 다른 출력 파일명으로 컴파일해서
비교한 경우
Quote:
$ aCC -o test1 test.cpp
$ aCC -o test2 test.cpp
$ od -c t test1 > test1.txt
$ od -c t test2 > test2.txt
$ diff test1.txt test2.txt
58,59c58,59
< 0001620 \0 \0 \0 \0 ` \0 \0 \b \0 \0 \0 \0 B 6 211 221
< 0001640 \0 \0 \0 \0 ` \0 \0 \t \0 \0 \0 \0 < 217 366 244
---
> 0001620 \0 \0 \0 \0 ` \0 \0 \b \0 \0 \0 \0 B K | 272
> 0001640 \0 \0 \0 \0 ` \0 \0 \t \0 \0 \0 \0 326 @ 5 M
820,821c820,821
< 0037740 : T u e M a r 1 5 2 0 0
< 0037760 5 1 6 : 0 6 : 5 7 . 0 0 0 0 0
---
> 0037740 : T h u M a r 3 1 2 0 0
> 0037760 5 1 3 : 2 9 : 4 5 . 0 0 0 0 0
831,832c831,832
< 0040220 S I C + + \n 1 1 1 0 8 7 0 4 1
< 0040240 7 0 \0 \0 \0 \0 \0 \0 \0 \0 \0 \0 \0 \0 002
---
> 0040220 S I C + + \n 1 1 1 2 2 4 3 3 8
> 0040240 5 0 \0 \0 \0 \0 \0 \0 \0 \0 \0 \0 \0 \0 002
880,881c880,881
< 0041640 T u e M a r 1 5 2 0 0 5
< 0041660 1 6 : 0 6 : 5 7 K S T
---
> 0041640 T h u M a r 3 1 2 0 0 5
> 0041660 1 3 : 2 9 : 4 6 K S T
실행 파일이 ELF 포맷인테 내부에 컴파일 시간이랑
링크 시간이 들어 가서 일단 이 부분이 다른 거 같고
그 외의 몇 바이트도 달라 지는 거 같네요.
일단 원하는 거는 소스 코드의 수정 여부를 실행 파일을 통해
아는 건데, 가능한 건지, 가능하다면 ELF 포맷의 경우 비교 대상
에서 제외해야 할 점이 뭔지 궁금합니다.
혹은 적절한 ELF 포맷에 대한 자료가 있다면 알려 주시면
감사하겠습니다.
Forums:
프로그램을 변조하는 것을 막기위한건가요 ? 그런건 보통 hashing 해
프로그램을 변조하는 것을 막기위한건가요 ? 그런건 보통 hashing 해서
그값을 실행할때 비교하는 방법을 쓰는걸로 아는데, 그것이 아니라면,,,
소스의 수정여부만..알려고 한다면 실행파일 두녀석을 쭉~ 비교하면
안될까요 ?
^^;
^^ be cool ~
http://fromdj.pe.kr
보통 바이너리 파일 비교는 cmp를 사용을 하고요.일반적인 변조를 검
보통 바이너리 파일 비교는 cmp를 사용을 하고요.
일반적인 변조를 검사하는건 MD5와 같은 해쉬 값을 이용하는게 일반적입니다.
참고가 되셨길...
<어떠한 역경에도 굴하지 않는 '하양 지훈'>
#include <com.h> <C2H5OH.h> <woman.h>
do { if (com) hacking(); if (money) drinking(); if (women) loving(); } while (1);
MD5는 해킹이 된다고
MD5는 해킹이 된다고 알려졌습니다.
sha형식으로 사용하길 권장하고 있네요. ;)
추가적으로 objdump 같은류의 툴을 사용해서 필요없는 정보를 몽땅 제
추가적으로 objdump 같은류의 툴을 사용해서 필요없는 정보를 몽땅 제거하고 비교하시는게
좋을듯하네요
-- 아쉬운 하루 되세요 --
댓글 달기