r   e   k   l   a   m   a
reklama

Avast otwiera i udostępnia kod potężnego dekompilatora do analizy malware

Strona główna Aktualności

O autorze

Hodowca maszyn wirtualnych i psów, poza tym stary linuksiarz, bonvivant i śmieszek. W 2012 roku napisał na DP o algorytmie haszowania Keccak i wciąż pamięta, jak on działa.

Avast kojarzył się do tej pory ze wszystkim, tylko nie z Open Source. Największa na świecie firma antywirusowa uznała jednak, że i dla niej w jakimś stopniu otwarte oprogramowanie to przyszłość. Na GitHubie udostępniła kod uniwersalnego dekompilatora kodu maszynowego RetDec (Retargetable Decompiler). Rozwijany jako wewnętrzne narzędzie firmy AVG od przynajmniej 2011 roku, teraz zostaje oddany społeczności, na ultraliberalnej licencji MIT.

Jak zapewne pamiętacie, Avast kupił AVG w 2016 roku. Oprócz poszerzenia w ten sposób bazy swoich użytkowników do ponad 400 milionów, uzyskał też dostęp do całego portfolio technologii dotychczasowego konkurenta. Jedną z nich było właśnie narzędzie RetDec, wykorzystywane przede wszystkim do analizy próbek złośliwego kodu na różne platformy – nie tylko windowsową x86/PE, ale też ARM/ELF.

Bazujący na infrastrukturze narzędzi LLVM RetDec jest bowiem, jak to określono, generycznym narzędziem do transformacji specyficznego dla platformy kodu maszynowego w jego reprezentację w języku wyższego poziomu, tj. kodzie w C lub quasi-Pythonie. Wspiera więc liczne formaty (m.in. PE, ELF, Mach-O, Intel HEX), architektury (m.in. 32-bitowe x86, ARM, MIPS i PowerPC), formaty plików i kompilatory. To wszystko by wyjść naprzeciw współczesnym realiom, w których malware coraz częściej bierze na celownik urządzenia Internetu Rzeczy.

Wystarczy więc do dekompilatora wgrać plik wykonywalny czy kod maszynowy, a na wyjściu uzyskamy całkiem przejrzysty kod w języku wysokiego poziomu. Oczywiście nie jest to dokładnie ten kod, który kompilował autor testowanej próbki, ale na pewnym poziomie abstrakcji jest to kod równoważny, pozwalający uzyskać wgląd w to, co się dzieje, znacznie ułatwiając tym samym odwrotną inżynierię.

Avast liczy na to, że otwierając swój dekompilator, nie tylko uczyni go popularniejszym, ale też zachęci innych do pracy nad jego ulepszaniem. Na pewno przydałoby się wsparcie dla 64-bitowych architektur, społeczność sugeruje też, że taki dekompilator wiele by zyskał na połączeniu go z siecią neuronową, by generować najbardziej prawdopodobne wersje kodu źródłowego, w oparciu o wiedzę o zachowaniach danej wersji kompilatora.

Niecierpliwi mogą wypróbować RetDeca jako usługę webową, gdzie rozmiar pliku jest ograniczony do 10 MB i oczywiście trzeba czekać na zwolnienie się zasobów sprzętowych. Pojawiła się też wtyczka RetDeca do narzędzia IDA (Interactive Dissasembler). Podstawowym jednak sposobem korzystania jest oczywiście pobranie wersji na Windowsa (znajdziecie ją w naszej bazie oprogramowania) lub samodzielne skompilowanie wersji na Linuksa. Miłej dekompilacji malware!

© dobreprogramy
reklama
r   e   k   l   a   m   a

Komentarze

reklama
Polecamy w WP TechnologieWP TechnologieTak wygląda historia PlayStation. Kiedy będzie PS5? Jeszcze długo poczekamy