Разделы
Главная
Роадмапы
Задания
Блог
Авторизация
Главная
Роадмапы
Задания
Блог
09 сентября 2025 в 19:52

Введение в реверс-инжиниринг Linux: с чего начать

Получите базу за 15 минут. Соберете тревожный чемоданчик: песочница-бункер + file (детектор масок) + strings (пылесос для текстовой жижи), чтобы вычислять файлы-оборотни, вынюхивать IP/ссылки и ковыряться в подозрительном хламе без риска для основной системы.

Введение

14:37. Пятница. Алексей, наш сисадмин с трехлетним стажем, чуть не пролил кофе. На мониторе маячил процесс... которого просто не могло быть. Серьезно. За все эти годы он знал свои сервера, как карманы собственных джинсов. А этот был как чужак в родном дворе.

Файлик systemd-update: вроде бы все чисто, правда? Легитимное имя, расположился в /tmp – ничего подозрительного. Но Алексей чуял подвох нутром. Знаете, как собака чувствует грозу? Вот примерно так. Это как найти чужую зубную щётку у себя в ванной – формально ничего криминального, но душа не на месте.

Ну, он попробовал стереть эту дрянь. И что? Ошибка какая-то дурацкая: «Файл занят». Попытка прибить процесс – вообще цирк! Тот тут же оживал, будто его током шибануло. А ps aux | grep systemd-update? Картина маслом: ресурсов кот наплакал, а по сети – трафик, будто торренты качает кто-то. Постоянный такой, назойливый ручеек.

«Черт возьми, что за хрень?!» – вырвалось у него. И тут осенило: обычного админского багажа тут маловато. Понадобится кое-что посерьезнее. Реверс-инжиниринг. Вот где собака зарыта.

А теперь держитесь крепче: за следующие 15 минут (да-да, не больше!) вы узнаете то, что спасло бы Алексею кучу нервов и бессонную ночь. Суть в том, как тыкать палкой в подозрительные файлы, не угробив систему, и докопаться, что на самом деле творится под капотом. Честное слово.

Даже если вы в жизни не открывали hex-редактор (а это как разбирать часы ломом), а слово «ассемблер» вызывает картинки зеленых человечков с Марса – не беда. Мы же не в Голливуде, тут спецэффекты не нужны.

Кому будет полезна эта статья:

  • Системным администраторам, которые хотят лучше понимать происходящее в их системах.
  • Специалистам по информационной безопасности начального и среднего уровня.
  • Разработчикам, интересующимся низкоуровневыми аспектами программирования.
  • Студентам технических специальностей.
  • Всем любознательным, кто хочет заглянуть «под капот» программ.

Что такое реверс-инжиниринг и зачем он нужен

Простыми словами о сложном

Знаете, как иногда попадается какая-нибудь хитроумная штуковина, скажем, старинный будильник или загадочная коробочка с шестерёнками? И ни черта не понятно как она работает. Ну, реверс-инжиниринг это примерно то же самое, только в мире нулей и единиц. По сути, ты берёшь готовую программу (ту самую «коробочку»), без единой строчки исходного кода (вот где начинается веселье!), и начинаешь её... разбирать. По винтику. По байтику. Чтобы докопаться до сути: как же эта чертовщина на самом деле функционирует? Представьте: вы – детектив, расследующий преступление, где улики – это исполняемые файлы, а свидетели молчат наглухо.

Прям как с тем будильником: разобрал, покрутил детали, посмотрел, что за чем цепляется и вуаля! Теперь ты сам можешь нарисовать инструкцию, хоть с нуля собери аналогичное. Гениальная штука, скажу я вам.

А в Linux-то... ой, тут это не просто полезно – это порой жизненно необходимо. Потому что эта система не монолит, а целая куча разрозненных кусочков: бинарники, которые тыкаешь вслепую; библиотеки, похожие на черные ящики; скрипты, написанные кем-то в три часа ночи... И далеко не всегда ясно, какой именно файлик за что отвечает. Особенно если софт старый, документация потерялась, или того хуже – попался софт сомнительного происхождения. Реверс-инжиниринг в таких случаях как фонарик в тёмном подвале. Чертовски полезный навык, хоть и чертовски сложный порой. Но игра стоит свеч. Ты не просто пользователь, ты становишься... ну, почти что сотворцом системы. Или, по крайней мере, тем, кто наконец-то понял, почему этот проклятый демон падает на ровном месте.

Реальные примеры применения

---
config:
  flowchart:
    securityLevel: 'loose'
    useMaxWidth: true
    curve: 'basis'
    nodeSpacing: 30
    rankSpacing: 50
---

flowchart LR
    A[Реальные примеры применения] --> B[Анализ безопасности]
    A --> C[Восстановление данных]
    A --> D[Анализ совместимости]
    A --> E[Поиск уязвимостей]
    A --> F[Форензика]

    B --> B1["<b>Исследование подозрительных файлов</b><br><small>Пример: systemd-update троян</small>"]
    B --> B2[Анализ вредоносного ПО]
    B --> B3[Проверка целостности системы]

    C --> C1["<b>Работа с поврежденными файлами</b><br><small>Пример: частично уничтоженная БД</small>"]
    C --> C2[Восстановление удаленных данных]
    C --> C3[Анализ бинарных копий]

    D --> D1["<b>Изучение legacy-систем</b><br><small>Пример: утерянная документация</small>"]
    D --> D2[Определение зависимостей]
    D --> D3[Взаимодействие с ОС]

    E --> E1[Аудит безопасности ПО]
    E --> E2[Анализ закрытых компонентов]
    E --> E3[Поиск zero-day уязвимостей]

    F --> F1["<b>Расследование инцидентов</b><br><small>Пример: анализ запущенных процессов</small>"]
    F --> F2[Восстановление хронологии]
    F --> F3[Поиск следов компрометации]

Развеиваем мифы

Миф 1: Реверс – это чисто хакерство, нутро серверов на асфальте!

А на деле? Да обычная работа. Как сантехник разбирает засор, только тут вместо труб: код, протоколы, легальные расследования. Кино со взломом Пентагона за три минуты? Ха! Реальность: сисадмин Петя из Омска ковыряется в логах, ищет, куда подевалась память сервера. Без капюшона, без неоновых масок. Простой парень с терпением бурундука.

Миф 2: Тут надо быть гением! Эйнштейном от ассемблера!

Чепуха. Базовый реверс – уровень «умею включать терминал». Если ты:

  • Отличаешь ls от sudo (ну ладно, иногда путаешь – бывает!).
  • Знаешь, что strings может вытащить из бинарника текст, как кость из супа. Если нет, то скоро узнаешь.
  • Не паникуешь при виде шестнадцатеричных чисел (они же просто цифры и буквы, правда?).

...то ты уже в игре. Серьёзно. Это не ракетостроение. Скорее сборка мебели из IKEA: инструкция кривая, но если ковыряться, всё собрать можно и даже без лишних деталей.

Миф 3: Сплошное нарушение закона! Сейчас в дверь постучат!

Ох, сколько раз я это слышал... Послушайте: если вы ковыряете:

  • своё ПО;
  • софт с лицензией GPL (добропорядочный open-source!);
  • мусор из /tmp на своём же сервере (а там вдруг червь завёлся?).

...то это легально. Как разобрать кофеварку, чтобы почистить. Да, если она ваша. Или если сосед разрешил. Вот с чужими «кофеварками» без спроса – тут да, проблемы. Но это уже не реверс, а... ну, вы поняли.

Связь с информационной безопасностью

Реверс-инжиниринг? Да это же хлеб наш насущный в ИБ!

Без него как слепой котяра в мышиной норке. Серьёзно. Как защищать то, о чём ты лишь догадываешься? Вот представьте: пытаетесь укрепить замок, не зная, как работает механизм внутри. Грош цена такой защите!

Спецы ИБ ещё те Шерлоки от бинарников. Они этим ремеслом:

  • Вредоносы разматывают как клубок. Знакомо, когда вирус маскируется под системный процесс? Реверс – ваш детектор лжи.
  • Щели в броне ищут – не для взлома (хотя... бывает), а чтобы залатать. Типа: «Опа, тут буфер переполняется от длинного пароля? Фиксим!».
  • Послепожарную криминалистику ведут. Взломали-то взломали, но как? Реверс восстанавливает картину, как осколки стекла после взрыва.
  • Правила для IDS/IPS куют. Без него сигнатуры как слепые псы: лают на тень, а реальную угрозу пропускают.
  • Антивирусные «клейма» ставят. Чтобы следующий троян не прошёл в дверь с фальшивым паспортом, специалисты катают его пальчики и сохраняют в базу. В следующий раз он так легко не проскочит.

Короче, если ИБ – крепость, то реверс-инжиниринг её фундамент. Не модная «нейросеточка», не блокчейн-бла-бла. Старая добрая возня с дизассемблером, hex-редактором и IDA Pro. Нудно? Порой. Но без этого – кошмар.

Подготовка среды для безопасного анализа

«Жизнь научила: доверяй, но в виртуалке запускай!»

Почему изоляция критически важна

Щупать неизвестные файлы? Это как русская рулетка в терминале!

Кажется безобидным текстом? Ха! Может оказаться волком в овечьей бинарной шкуре. Один неверный клик – и привет:

  • Сюрприз под капотом: внутри тикает злой код, готовый выстрелить тебе в ногу при запуске.
  • Царап-царап по данным: возьмёт и перекосит твои таблицы БД, будто бешеный крот в огороде.
  • Сеть нараспашку: а этот тихоня? Выложит твои пароли в даркнет, пока ты чай наливаешь.
  • Зараза по цепочке: чихнёт и все соседние файлы подхватят вирусняк. Как в детсаду при эпидемии.

Короче, любой левый файл – потенциальный троянский конь. Даже если он шепчет: «Я всего лишь PDF-файлик!» Не верь. Проверяй в песочнице, держи на дистанции.

Виртуальные машины – ваш главный инструмент

Грязную работу в перчатках!

Заведи себе виртуалку (хоть VirtualBox, хоть VMware – без разницы). Как гараж для разборки загадочных «движков», только цифровой. Главное не скупись на железо:

  • ОЗУшки: 2 ГБ – чтоб еле дышала, 4 ГБ – чтоб не захлебнулась на ровном месте.
  • Место под капотом: 20-30 ГБ. Меньше? Забудь. Это же не для одностраничных документов, а мусорка для бинарного хлама.
  • Сеть? Отрубай! Без интернета, без роутера, вообще без ничего. Исключение: если надо имитировать локальную песочницу (но это для продвинутых ниндзя).
  • Снапшоты – твоя подушка безопасности. Перед каждым сомнительным шагом: тык – и заморозка. Накосячил? Откатился на этот снапшот. Волшебно же!
💡 СЕТЬ = СМЕРТЬ
  • В 95% случаев интернет виртуалке как спички ребенку. Не надо.
  • Очень надо? Пусть болтается в изоляторе (типа виртуальной сети-пустышки).
  • СМЕРТНЫЙ ГРЕХ: запускать малварь с доступом к твоей домашней сети. Это не анализ, а цифровое самоубийство. Серьёзно.

Короче, если хочешь спать спокойно – изолируй как чумного больного. И да, снапшоты. Много снапшотов.

Базовые меры предосторожности

Снапшоты? Твоя цифровая страховка! Перед тем как тыкать в подозрительный файл, сделай снапшот чистой системы. Серьёзно. Это твой золотой билет «назад в будущее», если всё полетит в тартарары. Накосячил? Жмешь кнопку и вуаля: система свежа, как утро понедельника. Без следа.

Отдельный юзер – как белый халат. Не лезь с админским аккаунтом! Создай «пушечное мясо»: пользователя с правами дворовой кошки. Чтобы если что рванёт – минимум разрухи. Представь: это как дать токсикологу образец в перчатках, а не голыми руками.

Глаза на лоб во время работы! Не запустил и не пошёл чай пить. Следи как ястреб:

  • Не пыхтит ли процессор, будто паровоз в гору?
  • Не светится ли сетевая карта, как ёлка в декабре?
  • Не плодятся ли файлы в /tmp, как грибы после дождя?

Это твой детектор лжи в реальном времени. Проморгаешь – будешь кусать локти.

Бэкап или тоска. Перед тем как ковырять файл, скопируй его в трёх экземплярах. На флешку, в облако, на диск соседа. Потому что если он криво расшифруется или самоуничтожится (а они это любят!) – оригинал канет в Лету. И прощай улики!

Рекомендуемые дистрибутивы

Для начинающих

  • Ubuntu или Debian – стабильные, хорошо документированные.
  • CentOS/RHEL – если ты работаешь в корпоративной среде.

Для специализированного анализа

  • Kali Linux – множество предустановленных инструментов.
  • Parrot Security OS – альтернатива Kali с дружелюбным интерфейсом.
  • REMnux – специально для анализа вредоносного ПО.

Базовая конфигурация системы для анализа

Автомонтирование? Режем на корню! Чтобы флешки не лезли в систему как назойливые мухи, закрой автощель в GNOME:

gsettings set org.gnome.desktop.media-handling automount false  # Рубим корень
gsettings set org.gnome.desktop.media-handling autorun-never true  # Добиваем

Для KDE – глушим udisks2. Навсегда. Серьёзно, он назойливее тещи в выходной:

systemctl --user mask udisks2  # Спокойной ночи, малыш!

Юзер-пустышка – твоя жертва. Слепи пользователя с правами голого землекопа. Чтоб если рванёт, хоть админский аккаунт не снесло:

sudo useradd -m -s /bin/bash analyst  # Родили недокороля
sudo passwd analyst  # Пароль? "qwerty123" — шучу. Не смей.

Инструментарий: кухня хакера. Сначала апдейт системы. Иначе будешь как дурак с молотком в космосе:

sudo apt update && sudo apt upgrade -y  # Чиним пробоины!

Теперь ставим джентельменский набор (не для чаепитий!):

sudo apt install -y \
    file \          # Детектор вранья
    binutils \      # Нож мультитул
    hexedit \       # Лупа для байтов
    xxd \           # Шифровальщик для бедных
    ltrace \        # Подслушиватель библиотек
    strace \       # Шпион системных вызовов
    gdb \           # Пыточная для кода
    python3-pip \   # Змейка-заклинатель
    curl \          # Сетевой хапуга
    wget            # Старый добрый воришка

Спойлер: если не поставишь xxd, ночью приснится Торвальдс в фартуке. Не рискуй. 😆

Первые шаги: мистический файл mystery_text.dat
Практическое задание
Вы нашли подозрительный файл mystery_text.dat на компьютере. На первый взгляд он выглядит как текстовые данные, но что-то тут не так...
Бросить вызов

Первые инструменты: file и strings

«Ты кто по жизни, файлик?»

Ладно, с теорией покончили. Давайте потрогаем железо! Первыми в бой пойдут два простачка: file и strings. Выглядит попроще кофеварки, а в деле как швейцарские ножи. Серьёзно.

Команда file: Шерлок Холмс для файлов 🕵️‍♂️

Команда file – ваш детектор-профайлер. Унюхает подмену по первым байтам (тем самым «магическим цифрам», что круче отпечатков пальцев). Как бабушка на рынке: понюхает арбуз 🍉 и сразу скажет, спелый или травой пахнет.

Базовый синтаксис:

file [опции] имя_файла  # Дай детективу улику!

Полезные опции:

-b, --brief      # Без лишней болтовни (только суть!)
-i, --mime       # Показать паспорт в стиле "MIME"
-L               # Идти по следу симлинков
-z               # Ковыряться в запакованном архиве

Практика: когда файлы врут как сивые мерины

Пример 1: Прозрачный как стекло. Спросим про /bin/ls:

file /bin/ls

Вывод – чистая правда:

/bin/ls: ELF 64-bit LSB pie executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, BuildID[sha1]=3eca7e3905b37d48cf0a88b576faa7b95cc3097b, for GNU/Linux 3.2.0, stripped

Пример 2: А вот подлец! Файлик system.conf скромно притворяется текстовиком:

file system.conf

А на деле волк в овечьей шкуре:

system.conf: ELF 64-bit LSB pie executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, BuildID[sha1]=11645e11a196b61780bd9f1157e214531c0fff3c, for GNU/Linux 3.2.0, not stripped

Видали? Конфиг оказался бинарником! Классика жанра: маскировка под «неприметного друга».

💡 Что за тарабарщина в выводе?
  • ELF – как ДНК линуксовых программ;
  • 64-bit – разрядность (не путать с размером ботинок);
  • LSB – порядок байтов (сперва младший);
  • dynamically linked – «социален», тащит библиотеки с собой;
  • statically linked – «отшельник», всё носит в себе;
  • stripped – без метаданных (как голый шпион);
  • not stripped – с отладочной инфой (как паспорт в кармане).

Маскировка? Разоблачаем!

Знаете, как шакалы любят переодевать бинарники в невинные текстовики? Конфиги, логи – классика! Но наш детектив file их раскусит влёт. Смотрите сами на этих оборотней:

system.conf:  ELF 64-bit LSB pie executable... (исполняемый!)
access.log:   ELF 64-bit LSB pie executable... (опять бинарь!)
document.pdf: PDF document... (вроде честный, но кто его знает)

Первые два волки в овечьих шкурах. PDF? Может и чист, но я бы проверил командой strings на всякий случай. В наше время доверять можно только hex-дампу (и то не всегда)!

Команда strings: Шерлок в мире бинарного мусора

Команда strings – ваш текстовый пылесос. Высасывает из бинарной каши всё, что похоже на буквы. Секреты, пароли, адреса – всё наружу! Незаменимая штука для первого вскрытия.

Базовая команда – проще пареной репы:

strings [опции] имя_файла  # Вскрываем нутро!

Ключевые опции:

-n NUMBER    # Минимальная длина строки (по умолчанию 4)
-t FORMAT    # Показать смещение строки (d=decimal, x=hex, o=octal)
-a           # Сканировать весь файл (по умолчанию только загружаемые секции)

Практика: роемся в грязном белье

Пример 1: Ловим секреты в скрипте-обманке:

strings script_with_binary.sh | grep -i -E "(password|secret|key|flag)"

А там сюрпризы:

FLAG{this_is_a_test_flag}  # CTF-щики бы заплакали!
This is a hidden secret message!  # Ну конечно "скрытое"...
EKEYREJECTED  # А это уже крик души системы

Флаг нашли? Значит либо учебный мусор, либо хакер-лентяй.

Пример 2: Вынюхиваем IP в подозрительном «конфиге»:

strings config_file.txt | grep -E '[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+'

Бац и адрес:

server_host=192.168.1.100  # Ага, вот куда стучится!

Пример 3: Ловим ссылочки (куда же без них):

strings suspicious_file | grep -E 'https?://|[a-zA-Z0-9-]+\.[a-zA-Z]{2,}'

И вуаля! Зловредный сайт:

api.evil-service.net  # "Служба добра", ясное дело

Когда file и strings идут рука об руку

Настоящая магия начинается, когда эти двое сплетаются в детективный дуэт. Хотите выкурить всех оборотней в папке? Ловите комбо:

find hidden_files -name "*.conf" -o -name "*.txt" -o -name "*.log" | xargs file | grep ELF

И вот они волки в овечьих шкурах:

hidden_files/access.log:        ELF 64-bit LSB pie executable... # Лог? Не смешите!
hidden_files/system.conf:       ELF 64-bit LSB pie executable... # Конфиг с сюрпризом

А теперь добиваем находку текстовым пылесосом:

strings suspicious_file | grep -i -E "(password|secret|admin|root|http|evil|malware|крипта)"

Профессиональный трюк: добавьте свои «красные флаги» в регулярку, как детектив список подозреваемых.

Что вылавливаем этим дуэтом?

Команда file – ваш таможенный сканер:

  • оборотней в костюмах конфигов/логов;
  • запакованные сюрпризы (типа зипов в теле PDF);
  • файлы-франкенштейны (переклеенные заголовки);
  • экзотику вроде файлов из 90-х.

Команда strings – ловец сплетен в бинарном баре:

  • пароли в открытом тексте (да, такие ещё есть!);
  • IP-адреса для теневы́х подключений;
  • пути вроде /dev/.malware_hideout;
  • крики системы: "FATAL ERROR", "ACCESS DENIED";
  • ключи шифрования (иногда!) и команды для бэкдоров.

Тёмные уголки инструментов

Где file лажает:

  • поддельные «магические числа» его обманут как ребёнка;
  • упакованные файлы – как чемодан с двойным дном;
  • новые форматы он узнаёт позже бабушки в деревне.

Слепые пятна strings:

  • Шифрованный текст для неё – тарабарщина.
  • Кириллица? Часто теряется как носок в стирке.
  • В гигабайтном файле утонешь в мусоре.

Лайфхак, который неплохо фильтрует мусор:

strings -n 10 | sort | uniq -c

Золотые правила:

  1. Всегда начинайте с этого дуэта. Это как постучать в дверь ногой.
  2. Цепляйте grep к strings как поводок к бультерьеру.
  3. Сохраняйте всё в файл, чтобы потом не искать иголку в консольном стоге.
  4. Для серьёзного анализа подключайте strace/ltrace – как рентген после фонарика. Об этих друзьях узнаем чуть позже.

Финишная прямая и что ждать дальше

Ну что, ковбои цифровых прерий? Вы только что прошли боевое крещение в мире реверса! Сегодня мы:

Натянули защитный костюм:

  • Построили виртуальный изолятор, чтобы зараза не разбежалась.
  • Научились тыкать палкой в подозрительные файлы без риска взрыва.

Оседлали две рабочие лошадки:

  • file – наш детектор лжи («Конфиг? Ага, щас!»).
  • strings – текстовый пылесос, высасывающий текстовую информацию из файла.
  • Связали их в смертоносный дуэт.

Добыли трофеи:

  • Вычислили оборотней в овечьих .conf-шкурах.
  • Выудили из бинарной жижи флаги и адреса зловредных серверов.

А в следующий раз будет вот это вот всё:

Ковыряние в нутре файлов:

  • xxd и hexdump – наши рентген-аппараты для байтов. Будем читать файлы сверху вниз!
  • Охота на магические числа – находить файлы-матрешки (типа картинки с зипом внутри).
  • Вскрытие ELF-трупов – будем разглядывать заголовки как патологоанатомы.
  • Вытаскивание спрятанного – как достать иголку (читай: шелл-код) из стога сена.
  • Фокусы со стеганографией – когда вредонос прячется в коте в телеграме (да, даже так!).

Важное напутствие:

Реверс – это как езда на велосипеде: чем чаще падаете (в песочнице!), тем быстрее научитесь. Не бойтесь экспериментировать, мы же не в операционной, в конце концов!

Следующая остановка: вскрытие бинарных недр. Прихватите кофе и hex-редактор!