La sécurité informatique des poids lourds Avast a publié son code machine decompiler RetDec comme un outil open source pour le public récemment.
L’entreprise a travaillé sur RetDec pour sept ans, et publié le decompiler “pour aider la communauté de cyber sécurité lutter contre les logiciels malveillants”. Le decompiler peut être utilisé pour analyser un programme sans l’exécuter.
En gros, ce qu’est un decompiler n’est de prendre un fichier exécutable en tant qu’entrée à code source. Il est à peu près l’exact opposé d’un compilateur, un programme qui transforme le code source en fichiers exécutables.
La décompilation est impossible de reconstituer le code source d’un programme avec une précision de 100% d’habitude, et le fait que la plupart des auteurs de logiciels malveillants n’utiliser leurs techniques de dissimulation et d’autres mesures de protection de la rendre encore plus difficile.
RetDec prend en charge différentes architectures et les formats, et utilise des algorithmes pour améliorer la précision du résultat de code.
RetDec aborde les questions mentionnées ci-dessus à l’aide d’un grand nombre d’architectures supportées et les formats de fichiers, ainsi que la maison des heuristiques et des algorithmes de décodage et de reconstruction de la demandes de. RetDec est aussi le seul decompiler de son échelle à l’aide d’un prouvée LLVM de l’infrastructure et gratuit, sous licence MIT.
RetDec est librement accessible à tous. Vous pouvez télécharger le code source de GitHub, ou une version 32 bits ou 64 bits fichier exécutable pour Windows à la place. La sortie est assez grande, l’archive a une taille de plus de 250 Mégaoctets.
Avast note que le decompiler prend en charge Windows 7 et versions plus récentes et Linux actuellement, et que Mac OS X est pris en charge de façon non officielle.
L’installation est malheureusement pas aussi facile que l’exécution d’un programme sur votre machine. Les instructions d’installation liste d’autres dépendances que vous avez besoin de l’installer sur l’ordinateur cible.
Sur Windows, il est nécessaire d’installer Microsoft Visual C++Redistribuable Visual Studio 2015 et d’autres programmes répertoriés sur l’Environnement Windows page Wiki. C’est mieux de le faire dans une machine virtuelle ou sur une machine qui est dédié à cette tâche, à mon avis.
Lire aussi: CCleaner logiciels Malveillants deuxième charge utile découvert
L’ensemble des fonctionnalités de RetDec selon Avast:
- Les formats de fichier supportés: ELF, PE, Mach-O, COFF, AR (archive), Intel HEX, et des matières premières du code machine.
- Les architectures supportées (32b): Intel x86, ARM, MIPS, PIC32, et PowerPC.
- L’analyse statique des fichiers exécutables avec des informations détaillées.
- Compilateur et emballeur de détection.
- Le chargement et le décodage de l’instruction.
- Signature de suppression de statiquement le code de la bibliothèque.
- L’Extraction et l’utilisation des informations de débogage (NAIN, PDB).
- la construction de l’instruction des idiomes.
- La détection et la reconstruction de la classe C++ hiérarchies (RTTI, vtables).
- Demangling de symboles à partir de C++ binaires (GCC, MSVC, Borland).
- La Reconstruction de fonctions, types, et de haut niveau des constructions.
- Intégré désassembleur.
- De sortie dans les deux langages de haut niveau: le C et le Python comme langage.
- Génération de graphiques d’appel, le contrôle de flux de graphiques et de statistiques différentes.
Avast a publié une version web de RetDec ainsi, mais il a dû l’éteindre car il a provoqué une “charge extrêmement forte” sur les serveurs de l’entreprise.
Il y a aussi un plugin pour IDA que les utilisateurs de la mai désassembleur utiliser pour exécuter decompilations directement dans le logiciel.
Le Mot De La Fin
RetDec est un outil spécialisé que la plupart des utilisateurs d’ordinateur ont aucune utilité. La procédure d’installation n’est pas super simple, mais explique assez bien sur le Wiki. Il est open source, cependant, et il semble que Avast a moyen et long terme, de plans de decompiler pour l’améliorer. (via Né)