Computer-security-Schwergewicht Avast veröffentlicht seine Maschine-code decompiler RetDec als open-source-tool, um die öffentlichkeit vor kurzem.
Das Unternehmen arbeitete auf RetDec für sieben Jahre, und veröffentlicht die decompiler “, die den cybersecurity-community Bekämpfung von Schadsoftware”. Der decompiler kann verwendet werden, um zu analysieren, ein Programm, ohne es auszuführen.
Im Grunde, was ein decompiler hat, nehmen Sie eine ausführbare Datei als input, source-code. Es ist so ziemlich das genaue Gegenteil von einem compiler ein Programm, das verwandelt source-code in ausführbare Dateien.
Decompilers können nicht rekonstruieren, den Quellcode eines Programms mit 100% Genauigkeit in der Regel, und die Tatsache, dass die meisten malware-Autoren verwenden obfuscation-Techniken und andere Schutzmaßnahmen machen es noch schwieriger.
RetDec unterstützt unterschiedliche Architekturen und Formate, und verwendet algorithmen zur Verbesserung der Genauigkeit der resultierende code.
RetDec behebt die oben genannten Probleme, indem Sie eine große Reihe von unterstützten Architekturen und Dateiformate, als auch als in-house-Heuristiken und algorithmen zu entschlüsseln und zu rekonstruieren Anwendungen. RetDec ist auch der einzige decompiler seiner Skala mit Hilfe eines bewährten LLVM-Infrastruktur und kostenlos zur Verfügung gestellt, lizensiert unter der MIT.
RetDec steht jedem frei zur Verfügung. Sie können den Quellcode herunterladen von GitHub, oder eine 32-bit-oder 64-bit-ausführbare Datei für Windows statt. Der release ist ziemlich groß, das Archiv hat eine Größe von mehr als 250 Megabyte.
Avast stellt fest, dass der decompiler unterstützt Windows 7 und neuer und Linux derzeit, und dass Mac OS X unterstützt wird, inoffiziell.
Setup ist leider nicht so einfach wie läuft ein Programm auf Ihrem Rechner. Die installation instructions Liste andere Abhängigkeiten, die Sie tun müssen, installieren Sie auf dem Zielcomputer.
Unter Windows ist es erforderlich, die Installation des Microsoft Visual C++Redistributable für Visual Studio 2015 und andere Programme aufgeführt, auf die Windows-Umgebung Wiki-Seite. Dies geschieht am besten in einer virtuellen Maschine oder auf einer Maschine, das speziell für diese Aufgabe meiner Meinung nach.
Lesen Sie auch: CCleaner Malware zweite Nutzlast entdeckt
Das feature-set von RetDec nach Avast:
- Unterstützte Datei-Formate: ELF, PE, Mach-O, COFF, AR (archivieren) -, Intel-HEX und raw machine code.
- Unterstützten Architekturen (32b): Intel x86, ARM, MIPS, PIC32, und PowerPC.
- Statische Analyse von ausführbaren Dateien mit detaillierten Informationen.
- Compiler-und packer-Erkennung.
- Be-und instruction-decoding.
- Signatur-basierte Entfernung von statisch gelinkten code für die Bibliothek.
- Gewinnung und Nutzung von debug-Informationen (ZWERG, PDB).
- Bau Anleitung Idiome.
- Erkennung und Rekonstruktion von C++ – Klassenhierarchien (RTTI, vtables).
- Demangling der Symbole aus C++ – Programme (GCC, MSVC, Borland).
- Rekonstruktion von Funktionen, Typen und high-level-Konstrukte.
- Integrierte disassembler.
- Ausgabe in zwei high-level-Programmiersprachen: C und eine Python-ähnliche Sprache.
- Generation von call-Graphen -, Kontroll-Fluss-Graphen und verschiedene Statistiken.
Avast veröffentlicht eine web-version von RetDec als gut, aber hatte, um Sie auszuschalten, wie es verursacht eine “extrem hohe Belastung”, die auf Unternehmens-Servern.
Es gibt auch ein plugin für IDA, die die Nutzer der disassembler kann ausgeführt decompilations direkt in der software-Programm.
Schlusswort
RetDec ist ein spezielles tool, dass die meisten computer-Nutzer haben keine Verwendung für. Die installation ist nicht super einfach, aber gut erklärt genug in der Wiki. Es ist open source jedoch, und es scheint, dass Avast hat Mittel-und langfristige Pläne für die decompiler zu verbessern es weiter. (via Born)