Avast otwiera i udostępnia kod potężnego dekompilatora do analizy malware
Avast kojarzył się do tej pory ze wszystkim, tylko nie z OpenSource. Największa na świecie firma antywirusowa uznała jednak, żei dla niej w jakimś stopniu otwarte oprogramowanie to przyszłość.Na GitHubie udostępniłakod uniwersalnego dekompilatora kodu maszynowego RetDec (RetargetableDecompiler). Rozwijany jako wewnętrzne narzędzie firmy AVG odprzynajmniej 2011 roku, teraz zostaje oddany społeczności, naultraliberalnej licencji MIT.
Jak zapewne pamiętacie, Avast kupiłAVG w 2016 roku. Oprócz poszerzenia w ten sposób bazy swoichużytkowników do ponad 400 milionów, uzyskał też dostęp docałego portfolio technologii dotychczasowego konkurenta. Jedną znich było właśnie narzędzie RetDec, wykorzystywane przedewszystkim do analizy próbek złośliwego kodu na różne platformy –nie tylko windowsową x86/PE, ale też ARM/ELF.
Bazujący na infrastrukturze narzędzi LLVM RetDec jest bowiem,jak to określono, generycznym narzędziem do transformacjispecyficznego dla platformy kodu maszynowego w jego reprezentację wjęzyku wyższego poziomu, tj. kodzie w C lub quasi-Pythonie. Wspierawięc liczne formaty (m.in. PE, ELF, Mach-O, Intel HEX), architektury(m.in. 32-bitowe x86, ARM, MIPS i PowerPC), formaty plików ikompilatory. To wszystko by wyjść naprzeciw współczesnym realiom,w których malware coraz częściej bierze na celownik urządzeniaInternetu Rzeczy.
Wystarczy więc do dekompilatora wgrać plik wykonywalny czy kodmaszynowy, a na wyjściu uzyskamy całkiem przejrzysty kod w językuwysokiego poziomu. Oczywiście nie jest to dokładnie ten kod, którykompilował autor testowanej próbki, ale na pewnym poziomieabstrakcji jest to kod równoważny, pozwalający uzyskać wgląd wto, co się dzieje, znacznie ułatwiając tym samym odwrotnąinżynierię.
Avast liczy na to, że otwierając swój dekompilator, nie tylkouczyni go popularniejszym, ale też zachęci innych do pracy nad jegoulepszaniem. Na pewno przydałoby się wsparcie dla 64-bitowycharchitektur, społeczność sugeruje też, że taki dekompilatorwiele by zyskał na połączeniu go z siecią neuronową, bygenerować najbardziej prawdopodobne wersje kodu źródłowego, woparciu o wiedzę o zachowaniach danej wersji kompilatora.
Niecierpliwi mogą wypróbować RetDeca jako usługęwebową, gdzie rozmiar pliku jest ograniczony do 10 MB ioczywiście trzeba czekać na zwolnienie się zasobów sprzętowych.Pojawiła się też wtyczka RetDecado narzędzia IDA (Interactive Dissasembler). Podstawowym jednaksposobem korzystania jest oczywiście pobranie wersji na Windowsa(znajdziecie ją w naszej bazieoprogramowania) lub samodzielne skompilowanie wersji na Linuksa.Miłej dekompilacji malware!
