Öppna källor Retargetable Decompiler redo att bekämpa skadlig kod

Computer Security News

Försök att lösa problemet skadlig programvara, har anti-malware företaget Avast just meddelat frisläppandet av dess öppna källor maskinkod decompiler. Mjukvaran nytta kallas Retargetable Decompiler (RetDec), och det har varit under utveckling i sju år.

RetDec utvecklades ursprungligen som ett gemensamt projekt av Information tekniska fakulteten för Brno University of Technology i Tjeckien och AVG Technologies. Dock under 2016 förvärvades Avast AVG Technologies.

Den Retargetable Decompiler ger en möjlighet till säkerhetsexperter göra plattformsoberoende analys av körbara filer. Tack vare dess källkod som publiceras till GitHub under MIT licensen, är RetDec redan tillgänglig gratis kostnadsfritt för alla som vill studera dess källkod, modifiera och vidaredistribuera det.

Genom open-sourcing RetDec erbjuder anti-malware företaget Avast ”en generiska verktyg att transformera plattformsspecifik kod, till exempel x86/ PE körbara filer, till en högre form av representation, såsom C källkod”.

Mjukvaran nytta stöder flera plattformar, olika arkitekturer, format och kompilatorer. De arkitekturer som stöds av RetDec är: (endast 32b) Intel x86, ARM, MIPS, PIC32, och PowerPC och följande fil format: ELF, PE, Mach-O, kaff, AR (Arkiv), Intel HEX och rå maskinkod.

För närvarande den Retargetable Decompiler kan användas på både – Windows och Linuxsystem, dock endast färdiga paket för Windows finns. De Linux-användarna bör bygga och installera decompiler själva.

Verktyget RetDec kan också användas för att göra statisk analys av körbara filer med detaljerad information. för kompilatorn och packer upptäckt; för lastning och instruktion avkodning; signatur-baserade borttagning av statiskt länkade bibliotek kod; utvinning och användning av felsökningsinformation (DVÄRG, PDB), rekonstruktion av instruktion idiom; upptäckt och rekonstruktion av C++ class hierarkier (RTTI, vtables); demangling av symboler från C++ binärfiler (GCC, MSVC, Borland); rekonstruktion av funktioner, typer och hög nivå konstruktioner; och generering av samtal grafer, kontrollflöde grafer och statistik.

Dessutom, användare kan dra nytta av integrerade disassembler och den produktion som finns på två språk: C och ett Python-liknande språk. Artighet av en IDA plugin är dekompilering av filer direkt från IDA disassembler också möjligt.

Vanligtvis rekonstruera inte decompilers ursprungliga källkoden perfekt tack vare den mörkläggning tekniker malware skaparna använder och det faktum att informationen går förlorad under kompileringsprocessen.

Avast experter hävdar att Retargetable Decompiler åtgärdar dessa problem ”med hjälp av en stor uppsättning arkitekturer stöds och format, samt intern heuristik och algoritmer för att avkoda och rekonstruera program”.

Förutom publicering på Retdecs källkoden, erbjuder Avast flera sätt att dra full nytta av verktyget, börjar med sin webbtjänst.

Dessutom, företaget gjorde sina IDA plugin tillgänglig, tillsammans med ett REST-API som möjliggör skapandet av appar som kan interagera med RetDec via HTTP-begäranden.

Den Retargetable Decompiler kan användas via API via retdec-python.


Leave a Reply

Your email address will not be published. Required fields are marked *