Computer security tungt, Avast lansert sin maskin-kode decompiler RetDec som en åpen kildekode-verktøyet til offentlig nylig.
Selskapet jobbet på RetDec i sju år, og ga ut decompiler “for å hjelpe den cybersecurity samfunnet kjempe skadelig programvare”. De decompiler kan brukes til å analysere et program uten å kjøre det.
I utgangspunktet, hva en decompiler gjør er å ta en kjørbar fil som input, til kildekoden. Det er ganske mye det motsatte av en kompilator, et program som viser kildekoden til kjørbare filer.
Decompilers kan ikke rekonstruere kildekoden til et program med 100% nøyaktighet vanligvis, og det faktum at de fleste malware forfattere bruker obfuscation teknikker og andre vernetiltak gjør det enda vanskeligere.
RetDec støtter ulike arkitekturer og formater, og bruker algoritmer for å forbedre nøyaktigheten av den resulterende koden.
RetDec adresser de ovenfor nevnte problemer ved hjelp av et stort sett av støttede prosessorvariantene og filformater, så vel som i-house heuristikk og algoritmer for å dekode og rekonstruere programmer. RetDec er også den eneste decompiler av sin skala ved hjelp av en bevist LLVM infrastruktur og tilgjengelig for gratis, lisensiert under MIT.
RetDec er fritt tilgjengelig for alle. Du kan laste ned kildekoden fra GitHub, eller en 32-biters eller 64-bit kjørbare fil for Windows i stedet. Utgivelsen er ganske stor, og arkivet har en størrelse på mer enn 250 Megabyte.
Avast bemerker at decompiler støtter Windows 7 og nyere-og Linux-tiden, og at Mac OS X er støttet uoffisielt.
Oppsettet er dessverre ikke så lett som du kjører et program på maskinen din. Instruksjoner for installasjon liste over andre avhengigheter som du trenger for å installere den på måldatamaskinen.
På Windows er det nødvendig å installere Microsoft Visual C++distribueres på nytt for Visual Studio 2015 og andre programmer som er oppført på Windows-Miljøet Wiki-side. Dette gjøres best i en virtuell maskin eller en maskin som er dedikert til denne oppgaven i min mening.
Les også: CCleaner Malware andre nyttelast oppdaget
Funksjonen sett av RetDec i henhold til Avast:
- Filformater som støttes: ELF, PE, Mach-O, COFF, AR (arkiv), Intel HEX, og raw-maskin-kode.
- Støttede prosessorvariantene (32b): Intel x86, ARM, MIPS, PIC32, og PowerPC.
- Statisk analyse av kjørbare filer med detaljert informasjon.
- Kompilatoren og packer gjenkjenning.
- Lasting og instruksjon dekoding.
- Signatur-basert fjerning av statisk linket bibliotek-koden.
- Utvinning og utnyttelse av informasjon om feilsøking (DVERG, PDB).
- bygging av instruksjon idiomer.
- Gjenkjennings-og gjenoppbygging av C++ – klassen hierarkier (RTTI, vtables).
- Demangling av symboler fra C++ binærfiler (GCC, MSVC, Borland).
- Rekonstruksjon av funksjoner, typer, og høyt nivå konstruksjoner.
- Integrert disassembler.
- Utgang i to høy-nivå språk: C og en Python-lignende språk.
- Generasjon av samtalen grafer, kontroll-flow-diagrammer, og forskjellige typer statistikk.
Avast utgitt en web-versjon av RetDec som godt, men måtte til for å slå den av så det forårsaket en “ekstremt høy belastning” på selskapets servere.
Det er også en plugin for IDA at brukere av disassembler kan bruke til å kjøre decompilations direkte i programmet.
Avsluttende Ord
RetDec er et spesialisert verktøy som de fleste pc-brukere har ingen bruk for. Installasjonen er ikke super grei, men forklart godt nok på Wikien. Det er open source imidlertid, og det virker som Avast har mellom-og langsiktige planer for decompiler å forbedre den ytterligere. (via Født)