Uno dei pesi massimi nel campo degli antivirus è il famoso Avast. L'azienda, da sempre preoccupata per la sicurezza e la protezione dei computer dei propri clienti da attacchi e minacce, fa il suo debutto.
Ha appena rilasciato un decompilatore di codice macchina "RetDec" come strumento open source per il pubblico. Le aziende generalmente non rivelano gli strumenti che utilizzano per analizzare il codice e indagare sulle minacce informatiche. Ma in questo caso, scopriamo che Avast ha pubblicato oltre al decompilatore RetDec, il codice sorgente completo.
Cosa fa un decompilatore?
Quello che fa un decompilatore è prendere un file eseguibile come input per il codice sorgente, cioè quello che fa è convertire il codice sorgente in file eseguibili.
In questo modo, è molto più facile capire come funziona una minaccia o un programma specifico. I decompilatori di codice non sono accurati al 100%, quindi capire come funziona un file o una minaccia può essere facile.
Caratteristiche principali di RetDec
Questo decompilatore di codice macchina open source è basato su LLVM. Non è limitato a nessuna architettura di destinazione, S.O o formato di file.
caratteristiche
- Analisi statica dei file eseguibili con informazioni dettagliate
- Costruisci e scopri i packager
- Decodifica carico e istruzioni
- Rimozione basata sulla firma del codice della libreria collegato staticamente
- Estrazione e utilizzo delle informazioni di debug (DWARF, PDB)
- Ricostruzione di idiomi didattici
- Rilevamento e ricostruzione di gerarchie di classi C++ (RTTI, vtables)
- Simboli di spostamento da binari C ++ (GCC, MSVC, Borland)
- Ricostruzione di funzioni, tipologie e costruzioni di alto livello
- Smontatore integrato
- Output in due linguaggi di alto livello: C e un linguaggio Python
- Generazione di grafici di chiamata, grafici di controllo del flusso e statistiche varie
- Puoi testare tutte queste funzionalità utilizzando il nostro servizio di decompilazione online
Troviamo che i formati di file supportati sono: ELF, PE, Mach-O, COFF, AR (file), Intel HEX e codice macchina grezzo.
Le architetture supportate sono: (solo 32b): Intel x86, ARM, MIPS, PIC32 e PowerPC.
Nel caso in cui vogliamo testare questo strumento, possiamo farlo tramite GitHub. È un programma disponibile per utenti a 32 e 64 bit su Windows. Per gli utenti Linux e Mac, questo strumento può essere utilizzato ma deve essere abilitato manualmente.
Fonte: RetDec