Edb-sikkerhed tungt Avast udgivet sin maskine-kode decompiler RetDec som et open source-værktøj til offentligheden for nylig.
Selskabet arbejdede på RetDec i syv år, og udgivet decompiler “for at hjælpe den cybersecurity fællesskab bekæmpe skadelig software”. Den decompiler kan bruges til at analysere et program uden at køre det.
Dybest set, hvad en decompiler gør, er at tage en eksekverbar fil som input, til kildekoden. Det er stort set det stik modsatte af en compiler, et program, der viser kildekoden til eksekverbare filer.
Decompilers kan ikke rekonstruere kildekoden til et program med 100% nøjagtighed normalt, og det faktum, at de fleste malware-forfattere gør brug formørkelse teknikker og andre beskyttende foranstaltninger for at gøre det endnu hårdere.
RetDec understøtter forskellige arkitekturer og formater, og bruger algoritmer til at forbedre nøjagtigheden af de resulterende kode.
RetDec adresser ovennævnte problemer ved hjælp af et stort sæt af understøttede arkitekturer og filformater, såvel som in-house heuristik og algoritmer til at afkode og rekonstruere applikationer. RetDec er også den eneste decompiler af dens omfang ved hjælp af en gennemprøvet APT-infrastruktur, og tilbydes gratis, er licenseret under MIT.
RetDec er frit tilgængeligt for alle. Du kan downloade source kode fra GitHub, eller en 32-bit eller 64-bit eksekverbar fil til Windows i stedet for. Udgivelsen er ganske stor, arkivet har en størrelse på mere end 250 Megabyte.
Avast bemærker, at decompiler understøtter Windows 7 og nyere, og i øjeblikket Linux, og at Mac OS X er støttet uofficielt.
Setup er desværre ikke så nemt som at køre et program på din maskine. Installationsvejledningen liste over andre afhængigheder, som du har brug for at installere på målet maskinen.
På Windows, er det nødvendigt at installere Microsoft Visual C++Redistributable til Visual Studio 2015 og andre programmer, der findes på Windows-Miljøet Wiki-side. Dette gøres bedst i en virtuel maskine eller en maskine, der er dedikeret til denne opgave, efter min mening.
Læs også: CCleaner Malware anden nyttelast opdaget
Funktionen sæt RetDec ifølge Avast:
- Understøttede filformater: ELF, PE, Mach-O, COFF, AR (arkiv), Intel HEX, og raw-maskine-kode.
- Understøttede arkitekturer (32b): Intel x86 -, ARM, MIPS, PIC32, og PowerPC.
- Statisk analyse af eksekverbare filer med detaljerede oplysninger.
- Compiler og packer afsløring.
- Ilægning af og undervisning i afkodning.
- Signatur-baseret fjernelse af statisk knyttet bibliotek kode.
- Udvinding og udnyttelse af debugging information (DVÆRG, FBF).
- opførelsen af instruktion udtryk.
- Registrerings-og genopbygning af C++ – klasse hierarkier (RTTI, vtables).
- Demangling af symboler fra C++ – programmer (GCC, MSVC, Borland).
- Genopbygning af funktioner, typer og høj-niveau-konstruktioner.
- Integreret disassembler.
- Produktionen i to høj-niveau sprog: C, og en Python-lignende sprog.
- Generation af call grafer, kontrol-flow grafer, og diverse statistikker.
Avast udgivet en web-version af RetDec så godt, men var nødt til at slukke den, da det forårsagede en “ekstremt høj belastning” på virksomhedens servere.
Der er også et plugin til IDA, at brugere af disassembler kan bruge til at køre decompilations direkte i softwaren.
Afsluttende Ord
RetDec er et specialiseret værktøj, som de fleste computerbrugere har ingen brug for. Installationen er ikke super ligetil, men forklaret godt nok på Wiki. Det er open source, dog, og det ser ud til, at Avast har mellemlang og lang sigt planer for decompiler at forbedre det yderligere. (via Født)