全功能的二进制文件分析工具 Radare2

为什么我需要另一个工具/strong>

如果现有的 Linux 原生工具也能做类似的事情，你自然会问为什么需要另一个工具。嗯，这和你用手机做闹钟、做笔记、做相机、听音乐、上 、偶尔打电话和接电话的原因是一样的。以前，使用单独的设备和工具处理这些功能 —— 比如拍照的实体相机，记笔记的小记事本，起床的床头闹钟等等。对用户来说，有一个设备来做多件（但相关的）事情是方便的。另外，杀手锏就是独立功能之间的互操作性。

同样，即使许多 Linux 工具都有特定的用途，但在一个工具中捆绑类似（和更好）的功能是非常有用的。这就是为什么我认为 Radare2 应该是你需要处理二进制文件时的首选工具。

根据其 GitHub 简介，Radare2（也称为 r2）是一个“类 Unix 系统上的逆向工程框架和命令行工具集”。它名字中的 “2” 是因为这个版本从头开始重写的，使其更加模块化。

为什么选择 Radare2/strong>

有大量（非原生的）Linux 工具可用于二进制分析，为什么要选择 Radare2 呢的理由很简单。

首先，它是一个开源项目，有一个活跃而健康的 区。如果你正在寻找新颖的功能或提供着 bug 修复的工具，这很重要。

其次，Radare2 可以在命令行上使用，而且它有一个功能丰富的图形用户界面（GUI）环境，叫做 Cutter，适合那些对 GUI 比较熟悉的人。作为一个长期使用 Linux 的用户，我对习惯于在 shell 上输入。虽然熟悉 Radare2 的命令稍微有一点学习曲线，但我会把它比作 学习 Vim。你可以先学习基本的东西，一旦你掌握了它们，你就可以继续学习更高级的东西。很快，它就变成了肌肉记忆。

第三，Radare2 通过插件可以很好的支持外部工具。例如，最近开源的 Ghidra 二进制分析和逆向工具reversing tool很受欢迎，因为它的反编译器功能是逆向软件的关键要素。你可以直接从 Radare2 控制台安装 Ghidra 反编译器并使用，这很神奇，让你两全其美。

开始使用 Radare2

要安装 Radare2，只需克隆其存储库并运行  脚本。如果你的系统上还没有一些预备软件包，你可能需要安装它们。一旦安装完成，运行 r2 -v 命令来查看 Radare2 是否被正确安装：

获取二进制测试样本

现在 r2 已经安装好了，你需要一个样本二进制程序来试用它。你可以使用任何系统二进制文件（ls、bash 等），但为了使本教程的内容简单，请编译以下 C 程序：

加载二进制文件

要分析二进制文件，你必须在 Radare2 中加载它。通过提供文件名作为  命令的一个命令行参数来加载它。你会进入一个独立的 Radare2 控制台，这与你的 shell 不同。要退出控制台，你可以输入  或  或按 ：

分析二进制

在你探索二进制之前，你必须让 r2 为你分析它。你可以通过在 r2 控制台中运行 aaa 命令来实现：

这意味着每次你选择一个二进制文件进行分析时，你必须在加载二进制文件后输入一个额外的命令 aaa。你可以绕过这一点，在命令后面跟上 -A 来调用 r2；这将告诉 r2 为你自动分析二进制：

获取一些关于二进制的基本信息

在开始分析一个二进制文件之前，你需要一些背景信息。在许多情况下，这可以是二进制文件的格式（ELF、PE 等）、二进制的架构（x86、AMD、ARM 等），以及二进制是 32 位还是 64 位。方便的 r2 的 iI 命令可以提供所需的信息：

导入和导出

通常情况下，当你知道你要处理的是什么样的文件后，你就想知道二进制程序使用了什么样的标准库函数，或者了解程序的潜在功能。在本教程中的示例 C 程序中，唯一的库函数是 printf，用来打印信息。你可以通过运行 ii 命令看到这一点，它显示了该二进制所有导入的库：

该二进制也可以有自己的符 、函数或数据。这些函数通常显示在 Exports 下。这个测试的二进制导出了两个函数：main 和 adder。其余的函数是在编译阶段，当二进制文件被构建时添加的。加载器需要这些函数来加载二进制文件（现在不用太关心它们）：

哈希信息

如何知道两个二进制文件是否相似不能只是打开一个二进制文件并查看里面的源代码。在大多数情况下，二进制文件的哈希值（md5sum、sha1、sha256）是用来唯一识别它的。你可以使用 it 命令找到二进制的哈希值：

函数

代码按函数分组；要列出二进制中存在的函数，请运行afl 命令。下面的列表显示了main函数和adder函数。通常，以sym.imp开头的函数是从标准库（这里是 glibc）中导入的：