Làm thế nào để tìm filetypes thực thi?

Tôi muốn tìm các loại tệp có thể thực thi được từ quan điểm của kernel. Theo như tôi biết thì tất cả các tệp thực thi trên Linux đều là các tệp ELF. Vì vậy, tôi đã thử như sau:

find * | file | grep ELF

Tuy nhiên, điều đó không làm việc; có ai có ý tưởng khác không?

Chỉnh sửa sau: chỉ có điều này làm những gì jan cần: cảm ơn bạn huygens;

find . -exec file {} \; | grep -i elf

Hãy nhìn vào -executablelá cờ của find.

Trước tiên tôi sẽ tìm các tệp thông thường vì tệp thực thi nhị phân thuộc về loại tệp đó.

Sau đó, tôi sẽ yêu cầu mỗi tệp thông thường loại mime và nếu nó khớp với ứng dụng / x-thực thi thì đó là tệp thực thi nhị phân (phù hợp với các tệp thực thi của Linux, ví dụ như Windows phù hợp với ứng dụng / x-dosxec).

find . -type f -print0 | xargs -0 -n 10 file -i | grep "application/x-executable"

Thử lệnh này tôi thấy có sự khác biệt với find . -type f -print0 | xargs -0 -n 10 file | grep -w ELF. Có vẻ như lệnh filenày có lỗi và phát hiện ELF thực thi dưới dạng đối tượng chia sẻ ELF. Vì vậy, mặc dù lệnh là lý thuyết chính xác, trong thực tế, nó không đầy đủ.

Vì vậy, chúng tôi phải tìm kiếm các tệp thực thi ELF và các đối tượng được chia sẻ nhưng loại trừ tất cả các tệp có tên * .so và .so.

find . -type f ! \( -name "*.so.*" -o -name "*.so" \) -print0 | xargs -0 -n 10 file -i | egrep "application\/x-sharedlib|application\/x-executable"

Nó có thể không hoàn hảo, nhưng đó là khá gần.

Giải pháp thay thế không sử dụng filevà readelf, đối với những người trên hệ thống hạn chế (ví dụ: được nhúng):

find $WHERE -type f -exec hexdump -n 4 -e '4/1 "%2x" " {}\n"'  {} \; | grep ^7f454c46

Về cơ bản, chúng tôi xuất bốn byte đầu tiên với hexdumpvà sử dụng chúng làm chữ ký . Sau đó chúng ta có thể grep tất cả các tệp loại ELF bằng chữ ký của nó 7f454c46.

Hoặc, vì 7flà nhân vật xóa , và 45, 4c, 46byte là E, L, Fnhân vật tương ứng, chúng tôi cũng có thể sử dụng:

find $WHERE -type f -exec hexdump -n 4 -e '4/1 "%1_u" " {}\n"'  {} \; | grep ^delELF

Ngoài ra, bạn có thể sử dụng headthay vì hexdumptrong trường hợp này:

find $WHERE -type f -exec head -c 4 {} \; -exec echo " {}" \;  | grep ^.ELF

Giống như những người khác, tôi cũng muốn trả lời. Câu trả lời của tôi cũng dựa trên việc sử dụng findtiện ích, nhưng tôi có một ý tưởng, khác với các câu trả lời khác. Nó dựa trên thực tế đó, rằng -execcũng có thể được sử dụng làm tiêu chí tìm kiếm. Bây giờ, có ý tưởng này, chúng ta có thể cấu trúc lại tất cả các đề xuất trước đó cho đề xuất này:

find /path -type f -exec sh -c "file {} | grep -Pi ': elf (32|64)-bit' > /dev/null" \; -print

Tức là chúng tôi đã chuyển grepvào -exec.

Điều này mang lại cho chúng ta điều gì, bạn có thể hỏi? Chúng tôi có thể sử dụng tính linh hoạt của -printvà các findtiện ích khác. Ví dụ: chúng ta có thể định dạng một đầu ra theo sở thích của mình hoặc sử dụng -print0và chuyển hướng một đầu ra sang một số tập lệnh, v.v.

Tôi nghĩ rằng điều này trả lời câu hỏi ban đầu nếu mục đích của họ là tìm các tệp thực thi nhị phân bằng cách đảm bảo mỗi trận đấu có một tiêu đề elf.

Nó sắp xếp các tệp tiền xử lý dựa trên loại -executablesau đó chạy kết quả thông qua một lớp vỏ riêng biệt gọi ra các readelf -lống dẫn đến grep mà âm thầm khớp với các tiêu đề rõ ràng executable. Bất cứ điều gì vượt qua bài kiểm tra này được chuyển printfcho đầu ra.

Các pwdbit đầu ra đường dẫn đầy đủ.

find `pwd` -type f -executable -exec sh -c 'readelf -l "$1" 2>/dev/null | grep -qio 'executable' && printf "$1\n"' -- {} \;

find -type f -exec file {} \; | grep ELF | grep executable | cut -d: -f1