Команды BusyBox действительно встроены?

Я читал знаменитую легенду восстановления Unix , и мне пришло в голову удивление:

Если бы у меня была открыта оболочка BusyBox, а двоичный файл BusyBox был удален сам, смогу ли я по-прежнему использовать все команды, включенные в двоичный файл BusyBox?

Ясно, что я не смог бы использовать версию BB этих команд из другой запущенной оболочки, например bash, так как сам файл BusyBox был бы недоступен для bashоткрытия и запуска. Но из запущенного экземпляра BusyBox, мне кажется, может быть два метода, с помощью которых BB будет выполнять команду:

1. Он может создать и выполнить новый экземпляр BusyBox, вызвав его с использованием соответствующего имени и прочитав для этого файл BusyBox с диска.
2. Он может выполнить разветвление и выполнить некоторую внутреннюю логику для запуска указанной команды (например, запустив ее как вызов функции).

Если (1) работает BusyBox, я ожидаю, что некоторые команды, предоставленные BusyBox, станут недоступными из запущенного экземпляра BB после удаления двоичного файла BB.

Если (2) работает так, BusyBox можно использовать даже для восстановления системы, в которой был удален сам BB - при условии, что все еще доступен работающий экземпляр BusyBox.

Это где-нибудь задокументировано? Если нет, есть ли способ безопасно проверить это?

По умолчанию BusyBox не делает ничего особенного в отношении встроенных апплетов (команды указаны с помощью busybox --help).

Однако, если FEATURE_SH_STANDALONEи FEATURE_PREFER_APPLETSопции включены во время компиляции, а затем , когда BusyBox sh¹ выполняет команду , которая является известным апплетом имени, он не делает нормальный PATHпоиск, но вместо этого запускает встроенный в апплетах через ярлык:

• Апплеты, которые объявлены как «noexec» в исходном коде, выполняются как вызовы функций в разветвленном процессе. По состоянию BusyBox 1,22, следующие апплеты поехес: chgrp, chmod, chown, cksum, cp, cut, dd, dos2unix, env, fold, hd,head , hexdump, ln, ls, md5sum, mkfifo, mknod, sha1sum, sha256sum, sha3sum, sha512sum, sort, tac, unix2dos.
• Апплеты, которые объявлены как «nofork» в исходном коде, выполняются как вызовы функций в том же процессе. По состоянию BusyBox 1,22, следующие апплеты nofork: [[, [, basename, cat, dirname, echo, false, fsync, length, logname,mkdir , printenv, printf, pwd, rm, rmdir, seq, sync, test, true, usleep, whoami, yes.
• Другие апплеты действительно выполняются (с помощью forkи execve), но вместо PATHпоиска выполняется BusyBox /proc/self/exe, если он доступен (что обычно имеет место в Linux), и путь, определенный во время компиляции в противном случае.

Это задокументировано более подробно в docs/nofork_noexec.txt. Объявления апплета находятся в include/applets.src.hисходном коде.

В большинстве конфигураций по умолчанию эти функции отключены, поэтому BusyBox выполняет внешние команды, как и любая другая оболочка. Debian включает эти функции как в своих, так busyboxи в busybox-staticпакетах.

Таким образом, если у вас есть исполняемый файл BusyBox, скомпилированный с FEATURE_SH_STANDALONEи FEATURE_PREFER_APPLETS, то вы можете выполнить все команды BusyBox из оболочки BusyBox, даже если исполняемый файл удален (за исключением апплетов, которые не перечислены выше, если они /proc/self/exeнедоступны).

¹ _{На самом деле в BusyBox есть две реализации «sh» - ash и hush - но они ведут себя одинаково в этом отношении.}

is there a way to safely test it? С помощью общего образа x86 openwrt:

Большинство команд не являются встроенными, но некоторые, как echoи printf. Бинарный файл с произвольным содержимым может быть создан с использованием printf, но chmod +xэто будет проблемой.