我们可以从elf二进制文件中获取编译器信息吗？

有没有机会知道在Linux下如何构建二进制文件？（和/或其他Unix）

编译器，版本，时间，标志等...

我查看了一下readelf，但找不到很多，但是可能还有其他方法可以分析二进制代码/节等。

您知道如何提取吗？

没有通用的方法，但是您可以通过查找仅由一个编译器完成的操作来进行有根据的猜测。

海湾合作委员会是最简单的。它会编写一个.comment包含GCC版本字符串（如果您运行，则获得相同字符串gcc --version）的部分。我不知道是否可以使用显示它readelf，但是objdump它是：

objdump -s --section .comment /path/binary

我只是意识到我忽略了其余的问题。标记通常不会保存在任何地方。他们很可能会在评论部分，但是我从未见过这样做。COFF标头中有一个时间戳记，但是ELF中没有等效记号，因此我也不认为编译时间可用

怎么样：

readelf -p .comment a.out

您可以尝试使用该strings命令。它将创建大量文本输出；通过检查它，您可能会猜到编译器。

pubuntu@pubuntu:~$ strings -a a.out |grep -i gcc
GCC: (Ubuntu 4.4.3-4ubuntu5) 4.4.3

在这里，我知道它是使用编译的，gcc但是您始终可以将strings输出重定向到文件并检查它。

有一个非常好的peidWindows 实用程序，但是在Linux上找不到其他实用程序。

有两种方法。两者将给出相同的结果

objdump -s --section .comment path/to/binary

使用readelf命令，readelf -S binary 将在二进制文件中显示40个节标题。注意.comment 节标题的序列号 。在我的系统中，它显示为27（可能因情况而异）

readelf -x 30 path/to/binary ->将显示'.comment'部分的十六进制转储。在该转储中，您可以看到用于构建二进制文件的编译器。

readelf或objdump都可以做到这一点。

由gcc编译的ELF文件将添加.note.ABI-tag和.note.gnu.build-id两个部分。两者都可以显示

objdump -sj .note.ABI-tag ELFFILE
objdump -sj .note.gnu-build-id ELFFILE

选项“ s”表示显示全部内容，“ j”表示部分名称。此样式获取该部分的十六进制内容。

readelf -n

将一次显示人类可读的ELFFILE内容。选项“ n”表示注释。

选择一个您喜欢的。

顺便说一句，使用objcopy，您可以在elf文件中添加自己的部分。

您也可以使用这个聪明的脚本来计算二进制文件使用的各种CPU指令的数量。它基于解析objdump输出。请注意，如果在大型二进制文件上使用它可能会花费很长时间。

根据哪个程序，可能值得一试。某些程序会将其编译为信息，并可以通过某种版本调用（-V，-version，-Version等）进行访问。您可能会找到要查找的那些项的任何子集（包括空集）。这是一个特别富有成果的示例，Perl 5：

$ perl -V

Summary of my perl5 (revision 5 version 26 subversion 2) configuration:

  Platform:
    osname=linux
    osvers=4.15.15-1-arch
    archname=x86_64-linux-thread-multi
    uname='linux flo-64 4.15.15-1-arch #1 smp preempt sat mar 31 23:59:25 utc 2018 x86_64 gnulinux '
    config_args='-des -Dusethreads -Duseshrplib -Doptimize=-march=x86-64 -mtune=generic -O2 -pipe -fstack-protector-strong -fno-plt -Dprefix=/usr -Dvendorprefix=/usr -Dprivlib=/usr/share/perl5/core_perl -Darchlib=/usr/lib/perl5/5.26/core_perl -Dsitelib=/usr/share/perl5/site_perl -Dsitearch=/usr/lib/perl5/5.26/site_perl -Dvendorlib=/usr/share/perl5/vendor_perl -Dvendorarch=/usr/lib/perl5/5.26/vendor_perl -Dscriptdir=/usr/bin/core_perl -Dsitescript=/usr/bin/site_perl -Dvendorscript=/usr/bin/vendor_perl -Dinc_version_list=none -Dman1ext=1perl -Dman3ext=3perl -Dcccdlflags='-fPIC' -Dlddlflags=-shared -Wl,-O1,--sort-common,--as-needed,-z,relro,-z,now -Dldflags=-Wl,-O1,--sort-common,--as-needed,-z,relro,-z,now'
    hint=recommended
    useposix=true
    d_sigaction=define
    useithreads=define
    usemultiplicity=define
    use64bitint=define
    use64bitall=define
    uselongdouble=undef
    usemymalloc=n
    default_inc_excludes_dot=define
    bincompat5005=undef
  Compiler:
    cc='cc'
    ccflags ='-D_REENTRANT -D_GNU_SOURCE -fwrapv -fno-strict-aliasing -pipe -fstack-protector-strong -I/usr/local/include -D_LARGEFILE_SOURCE -D_FILE_OFFSET_BITS=64 -D_FORTIFY_SOURCE=2'
    optimize='-march=x86-64 -mtune=generic -O2 -pipe -fstack-protector-strong -fno-plt'
    cppflags='-D_REENTRANT -D_GNU_SOURCE -fwrapv -fno-strict-aliasing -pipe -fstack-protector-strong -I/usr/local/include'
    ccversion=''
    gccversion='7.3.1 20180312'
    gccosandvers=''
    intsize=4
    longsize=8
    ptrsize=8
    doublesize=8
    byteorder=12345678
    doublekind=3
    d_longlong=define
    longlongsize=8
    d_longdbl=define
    longdblsize=16
    longdblkind=3
    ivtype='long'
    ivsize=8
    nvtype='double'
    nvsize=8
    Off_t='off_t'
    lseeksize=8
    alignbytes=8
    prototype=define
  Linker and Libraries:
    ld='cc'
    ldflags ='-Wl,-O1,--sort-common,--as-needed,-z,relro,-z,now -fstack-protector-strong -L/usr/local/lib'
    libpth=/usr/local/lib /usr/lib/gcc/x86_64-pc-linux-gnu/7.3.1/include-fixed /usr/lib /lib/../lib /usr/lib/../lib /lib /lib64 /usr/lib64
    libs=-lpthread -lnsl -lgdbm -ldb -ldl -lm -lcrypt -lutil -lc -lgdbm_compat
    perllibs=-lpthread -lnsl -ldl -lm -lcrypt -lutil -lc
    libc=libc-2.26.so
    so=so
    useshrplib=true
    libperl=libperl.so
    gnulibc_version='2.26'
  Dynamic Linking:
    dlsrc=dl_dlopen.xs
    dlext=so
    d_dlsymun=undef
    ccdlflags='-Wl,-E -Wl,-rpath,/usr/lib/perl5/5.26/core_perl/CORE'
    cccdlflags='-fPIC'
    lddlflags='-shared -Wl,-O1,--sort-common,--as-needed,-z,relro,-z,now -L/usr/local/lib -fstack-protector-strong'


Characteristics of this binary (from libperl): 
  Compile-time options:
    HAS_TIMES
    MULTIPLICITY
    PERLIO_LAYERS
    PERL_COPY_ON_WRITE
    PERL_DONT_CREATE_GVSV
    PERL_IMPLICIT_CONTEXT
    PERL_MALLOC_WRAP
    PERL_OP_PARENT
    PERL_PRESERVE_IVUV
    USE_64_BIT_ALL
    USE_64_BIT_INT
    USE_ITHREADS
    USE_LARGE_FILES
    USE_LOCALE
    USE_LOCALE_COLLATE
    USE_LOCALE_CTYPE
    USE_LOCALE_NUMERIC
    USE_LOCALE_TIME
    USE_PERLIO
    USE_PERL_ATOF
    USE_REENTRANT_API
  Built under linux
  Compiled at Apr 18 2018 22:21:20
  %ENV:
    PERL5LIB="/home/jhuber/perl5/lib/perl5"
    PERL_LOCAL_LIB_ROOT="/home/jhuber/perl5"
    PERL_MB_OPT="--install_base "/home/jhuber/perl5""
    PERL_MM_OPT="INSTALL_BASE=/home/jhuber/perl5"
  @INC:
    /home/jhuber/perl5/lib/perl5/x86_64-linux-thread-multi
    /home/jhuber/perl5/lib/perl5
    /usr/lib/perl5/5.26/site_perl
    /usr/share/perl5/site_perl
    /usr/lib/perl5/5.26/vendor_perl
    /usr/share/perl5/vendor_perl
    /usr/lib/perl5/5.26/core_perl
    /usr/share/perl5/core_perl

如果您以7-zip打开ELF二进制文件，它将列出其中的各个部分。从那里，您可以使用“ .comment”部分上的“查看上下文菜单”选项来查看编译器的注释（例如，“ GCC：（GNU）4.9 20150123（预发行版）Android clang版本3.8.256229（基于LLVM 3.8.256229）“）。

请注意，“。comment”部分（如果存在）似乎以空字符开头，因此请确保选择供7-zip使用的查看器应用程序，不要对此感到困惑（例如，尝试解释数据作为Unicode）。可能存在并感兴趣的其他部分是“ .note。*”。