有人要求我的客户在他们的服务器上执行脚本。尽管此人是受信任的,但他们正在尝试隐藏脚本的实际操作。这可能是Python,Bash或Ruby脚本。这是前几行:
ELF����������>����¯&@�����@�������������������@�8��@���������������������@�������@�����‚.������‚.�������� �����������0������0å`�����0å`����������������������������QÂtd��������������������������������������������������ò¶l?���!Ù
����Pë��Pë��8��¿������˚˚!ˇELF��>�
@@ªdø�êâ"8�›≤Óª ��'@‰Ñ<!¯��‰{õÓ8
@ôê'��|`{oçLO�~…∂Ñ� 7´]œN»˜
`†7@.wr!^$ÉM»`fl§õ2T@ôê'D��PÂÚΩfltd¨E
@‰gK»�7Qßg∞#∞�oRf ø��ÄÑá@��ˇM��w��I�€ª˝/lib64d-nux-x86-.˜¶€˛so.2���GNU��öœ4› ˜ˇˇAÙ6«[9ÅGüa¢ÂH#∞ ÔÌ/ÿ8C7à¡
@ˇˇo∫:=BE’Ϫ„í|∏çÒ8ÚãŸqX∞n ˚ΔÔ��™PÑ] ≈�˙/!Ï9ne_¬Üê›uGçê!lÛ¬ÜÃèñÜ∞!l//fßÏd¬èΩõ¬Üê!F∞/rl_
!C»±£»6ÑwD_ÜB.êCÅS!l!/\ á∞/ïîß2Ñào6Ñ`G(K_aC»m/6Ñ
YwY_
........................
如何确定此文件的加密方法?即使提供者是受信任的提供者,我也想在建议客户端执行它之前对其进行解码。客户想确切地知道此脚本的作用。在不知道加密方法的情况下,我们无法对其进行解码,并且提供者不愿共享加密方法。
答案 0 :(得分:2)
这是ELF格式的可执行文件。 “ ELF”字符是赠品。
没有明显迹象表明它已加密。实际上,我可以看到一些有意义的字符序列,如文本。 (这些字符串将嵌入在可执行文件中。)
ELF可执行文件无法完全加密。如果使用了加密,可执行文件将包含(机器)指令,告诉您的计算机如何解密。
客户端希望确切地知道此脚本的作用。
我首先要使用(Linux)file
命令来确认文件类型,然后寻找一种工具来允许您反汇编或反编译可执行文件。
我只知道bash,PHP,Python和JavaScript。
那么您可能没有能力回答客户的问题。如果您能找到适用于此代码的反编译器,那么这将需要汇编语言(可能是针对Intel x86或x86-64)和C或C ++的技能。