有没有可靠的方法来检查二进制可执行文件在运行之前是否可能尝试访问互联网(例如给家里打电话)?
我猜想许多二进制文件使用 glibc 的 ioctl / socket / connect 来访问互联网。这意味着,objdump对这些函数进行检查可能会揭示这方面的一些信息。但这就足够了吗?有没有办法不使用这些 glibc 函数来访问互联网?我怎样才能检测到这些?
答案1
程序可以通过多种方式访问互联网,例如使用诸如库卷曲。您可以检测这些 usingldd并再次检查二进制文件中使用了哪些符号objdump,并阅读文档以弄清楚各种函数的作用。
但是,如果您尝试检查恶意二进制文件,这还不够:二进制文件可以使用系统调用直接调用内核以打开套接字等,或者它可以加载库dlopen(3)以使其更难以检测其使用。
如果你想在没有网络访问的情况下运行二进制文件,你可以unshare从网络命名空间中运行:
unshare -n binary
不过,您需要以 root 身份执行此操作,因此您可能想su返回到其他用户(如果是恶意二进制文件,也许也不是您自己的用户):
unshare -n su sacrificialuser -c binary
正如所指出的吉尔斯,这并不能保护您免受二进制文件执行可能产生的其他副作用,包括设置一个 cronjob,该 cronjob 代表可执行文件出于任何目的访问网络。
或者,您可以设置iptables规则nftables来删除(并记录)二进制文件中的所有网络流量;或者更好的是,设置一个虚拟机并运行其中的二进制文件(然后停止虚拟机)。