Przejdź na

Avast otwiera i udostępnia kod potężnego dekompilatora do analizy malware

Avast kojarzył się do tej pory ze wszystkim, tylko nie z OpenSource. Największa na świecie firma antywirusowa uznała jednak, żei dla niej w jakimś stopniu otwarte oprogramowanie to przyszłość.Na GitHubie udostępniłakod uniwersalnego dekompilatora kodu maszynowego RetDec (RetargetableDecompiler). Rozwijany jako wewnętrzne narzędzie firmy AVG odprzynajmniej 2011 roku, teraz zostaje oddany społeczności, naultraliberalnej licencji MIT.

Obraz
Adam Golański

Jak zapewne pamiętacie, Avast kupiłAVG w 2016 roku. Oprócz poszerzenia w ten sposób bazy swoichużytkowników do ponad 400 milionów, uzyskał też dostęp docałego portfolio technologii dotychczasowego konkurenta. Jedną znich było właśnie narzędzie RetDec, wykorzystywane przedewszystkim do analizy próbek złośliwego kodu na różne platformy –nie tylko windowsową x86/PE, ale też ARM/ELF.

Bazujący na infrastrukturze narzędzi LLVM RetDec jest bowiem,jak to określono, generycznym narzędziem do transformacjispecyficznego dla platformy kodu maszynowego w jego reprezentację wjęzyku wyższego poziomu, tj. kodzie w C lub quasi-Pythonie. Wspierawięc liczne formaty (m.in. PE, ELF, Mach-O, Intel HEX), architektury(m.in. 32-bitowe x86, ARM, MIPS i PowerPC), formaty plików ikompilatory. To wszystko by wyjść naprzeciw współczesnym realiom,w których malware coraz częściej bierze na celownik urządzeniaInternetu Rzeczy.

Obraz

Wystarczy więc do dekompilatora wgrać plik wykonywalny czy kodmaszynowy, a na wyjściu uzyskamy całkiem przejrzysty kod w językuwysokiego poziomu. Oczywiście nie jest to dokładnie ten kod, którykompilował autor testowanej próbki, ale na pewnym poziomieabstrakcji jest to kod równoważny, pozwalający uzyskać wgląd wto, co się dzieje, znacznie ułatwiając tym samym odwrotnąinżynierię.

Avast liczy na to, że otwierając swój dekompilator, nie tylkouczyni go popularniejszym, ale też zachęci innych do pracy nad jegoulepszaniem. Na pewno przydałoby się wsparcie dla 64-bitowycharchitektur, społeczność sugeruje też, że taki dekompilatorwiele by zyskał na połączeniu go z siecią neuronową, bygenerować najbardziej prawdopodobne wersje kodu źródłowego, woparciu o wiedzę o zachowaniach danej wersji kompilatora.

Niecierpliwi mogą wypróbować RetDeca jako usługęwebową, gdzie rozmiar pliku jest ograniczony do 10 MB ioczywiście trzeba czekać na zwolnienie się zasobów sprzętowych.Pojawiła się też wtyczka RetDecado narzędzia IDA (Interactive Dissasembler). Podstawowym jednaksposobem korzystania jest oczywiście pobranie wersji na Windowsa(znajdziecie ją w naszej bazieoprogramowania) lub samodzielne skompilowanie wersji na Linuksa.Miłej dekompilacji malware!

Źródło artykułu: www.dobreprogramy.pl
Wybrane dla Ciebie
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Fałszywy SMS. Oszuści podszywają się pod ZUS
Fałszywy SMS. Oszuści podszywają się pod ZUS
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
Nowości w mObywatelu. Dodano trzy funkcje
Nowości w mObywatelu. Dodano trzy funkcje
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Atak hakerski na Booking. Zdobyli dane klientów
Atak hakerski na Booking. Zdobyli dane klientów
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Zaktualizuj Windowsa: wydano kwietniowe poprawki
Zaktualizuj Windowsa: wydano kwietniowe poprawki
NIE WYCHODŹ JESZCZE! MAMY COŚ SPECJALNIE DLA CIEBIE 🎯