Est-il possible de “décompiler” de Windows .exe? Ou au moins de vue de l'Assemblée?

Un de mes amis téléchargé quelques logiciels malveillants à partir de Facebook, et je suis curieux de voir ce que ça donne sans infecter moi-même. Je sais que vous ne pouvez pas décompiler un .exe, mais puis-je au moins l'afficher dans l'Assemblée ou attacher un débogueur?

Modifier à-dire qu'il n'est pas un .NET exécutable, pas de CLI-tête.

  • les logiciels malveillants à partir de facebook?? pourriez-vous expliquer que
  • Désolé pour la super réponse tardive... mais je crois que cela se passe: elle a couru un morceau de logiciel malveillant, qui à un certain point spammé tous ses contacts sur FB (moi) avec un lien vers une "vidéo" qui vous a demandé de vous téléchargez un "nouveau codec". Je suis en supposant qu'il s'est comporté comme un ver dans ce sens.
InformationsquelleAutor swilliams | 2008-11-07
  1. 403

    Avec un débogueur vous pouvez parcourir le programme de l'assemblée de manière interactive.

    Avec un désassembleur, vous pouvez afficher le programme de l'assemblée dans plus de détails.

    Avec un decompiler, que vous pouvez activer un programme de retour partielle dans le code source, en supposant que vous savez ce qu'il a été écrit (que vous pouvez trouver avec des outils libres tels que PEiD - si le programme est rempli, vous devrez décompresser OU Détecter-il-Facile si vous ne pouvez pas trouver les PEiD n'importe où. MOURIR a une forte communauté de développeurs sur github actuellement).

    Débogueurs:

    • OllyDbg, gratuit, une amende de 32 bits débogueur, pour lequel vous pouvez trouver de nombreux utilisateurs plugins et scripts pour la rendre plus utile.
    • WinDbg, gratuit, un tout à fait capable de débogueur par Microsoft. WinDbg est particulièrement utile pour la recherche à l'interne Windows, car il en sait plus sur les structures de données que les autres débogueurs.
    • SoftICE, SICE à des amis. Commerciale et de développement arrêté en 2006. SoftICE est une sorte de hardcore outil qui s'exécute sous le système d'exploitation (et les arrêts de l'ensemble du système lorsqu'il est invoqué). SoftICE est encore utilisé par de nombreux professionnels, bien que peut-être difficiles à obtenir, et pourrait ne pas fonctionner sur certains matériels (ou de logiciel, à savoir, il ne fonctionne pas sur Vista ou NVIDIA cartes gfx).

    Désassembleurs:

    • IDA Pro(commerciaux) au - dessus de la ligne désassembleur/débogueur. Utilisé par la plupart des professionnels, comme les analystes de logiciels malveillants, etc. Les coûts tout à fait un peu d'argent si (il existe version gratuite, mais il est assez limité)
    • W32Dasm(gratuit) - un peu daté, mais fait le travail. Je crois W32Dasm est abandonware ces jours, et il y a de nombreuses créé par l'utilisateur, des hacks pour ajouter un peu de fonctionnalité très utile. Vous aurez à regarder autour pour trouver la meilleure version.

    La décompilation:

    • Visual Basic: VB Decompiler, commercial, produit un peu identifiables bytecode.
    • Delphi: DeDe, gratuit, produit de bonne qualité du code source.
    • C: HexRays, commerciale, un plugin pour IDA Pro par la même société. Produit d'excellents résultats, mais les coûts d'un big buck, et ne seront pas vendues à n'importe qui (ou alors, j'entends).
    • .NET(C#): dotPeek, gratuit, la décompilation .NET 1.0-4.5 assemblées en C#. Soutien pour .dll, .exe, .zip, .vsix, .nupkg, et .winmd fichiers.

    Quelques outils qui pourraient être utile en quoi que ce soit que vous faites sont des ressources des éditeurs tels que ResourceHacker (gratuit) et d'un bon éditeur hexadécimal comme Hex Workshop (commercial).

    En outre, si vous faites de l'analyse de logiciels malveillants (ou utilisez SICE), de tout cœur je vous suggère de course de tout à l'intérieur d'une machine virtuelle, à savoir VMware Workstation. Dans le cas de SICE, il permettra de protéger votre système de Bsod, et dans le cas de logiciels malveillants, il permettra de protéger votre système à partir de la cible du programme. Vous pouvez lire sur l'analyse des logiciels malveillants avec VMware ici.

    Personnellement, je roule avec Olly, WinDbg & W32Dasm, et quelques petits outils utilitaire.

    Aussi, n'oubliez pas que le démontage ou même de débogage autres logiciel est généralement contre le CLUF à tout le moins 🙂

    • J'apprécie le dernier paragraphe, dans sa généralité, de bons conseils, mais c'est amusant dans le contexte de la question: je doute un virus est livré avec un CLUF! 😉
    • En fait, certains logiciels malveillants et même les chevaux de troie de la fin ont eu des Cluf en eux (oh, ces russes..) bien sûr, ils peuvent être (et sont) ignoré par les recherches, car il peut être supposé que personne ne viendra avant de les poursuivre en justice... Aussi, ils sont généralement trop mal écrit pour dire quoi que ce soit dans la cour, en tout cas.
    • Notez que l'IDA Pro version précédente est gratuit pour une utilisation non commerciale.
    • Notez que la plupart des logiciels malveillants de ces jours (au moins compilé les logiciels malveillants) peut facilement détecter si elle est en cours d'exécution dans VMWare, Virtual PC, de VIN, de VirtualBox, etc.
    • Si vous êtes en cours d'exécution sur une machine virtuelle, attention à la Pilule Bleue l'attaque.
    • Autant que je sache, DÉDÉ n'a pas vraiment de décompiler le code Delphi. Il utilise RTTI pour trouver certains noms de la forme de la structure (qui contient des noms de fonction), mais laisse le reste intégré à l'assembleur. OIE c'est plus un RTTI assistée désassembleur que d'un décompilateur.
    • À peine installé IDA Gratuit, entièrement buggy
    • Plus la liste des désassembleurs et la décompilation: en.wikibooks.org/wiki/X86_Disassembly/...
    • ILSpy fonctionne pour moi. ilspy.net
    • W32Dasm n'est pas gratuit. Si vous pouvez verser de l'argent, vous devriez acheter IDA Pro. Il est très excellent outil. Vous pouvez décompiler ou désassembler les programmes qui peut être écrit en Delphi, C++, VB, etc.
    • Comment décompresser un fichier exe..?

    InformationsquelleAutor
  2. 41

    psoul l'excellent post de réponses à votre question, donc je ne vais pas reproduire son bon travail, mais j'ai l'impression qu'il faudrait aider à expliquer pourquoi c'est à la fois parfaitement valide, mais aussi terriblement stupide question. Après tout, ce est un endroit pour apprendre, non?

    Programmes informatiques modernes sont produits par une série de conversions, en commençant par l'entrée de l'lisible par l'homme, corps de texte des instructions (appelé "code source") et se terminant avec un ordinateur lisible par l'ensemble des instructions (appelé alternativement "binaire" ou "code machine").

    La même façon qu'un ordinateur exécute un ensemble de code machine des instructions est finalement très simple. Chaque action d'un processeur peut prendre (p. ex., lire à partir de la mémoire, de l'ajout de deux valeurs) est représenté par un code numérique. Si je vous dit que le numéro 1 destiné à hurler et le chiffre 2 signifie pouffer de rire, et a ensuite tenu jusqu'cartes avec 1 ou 2, sur eux vous attend à crier ou rire en conséquence, je serais à l'aide de ce qui est essentiellement le même système d'un ordinateur pour fonctionner.

    Un fichier binaire est juste un de ces codes (l'habitude de les appeler "op codes") et l'information (les"arguments") que l'op codes de loi sur.

    Maintenant, langage assembleur est un langage informatique où chaque mot de commande dans la langue représente exactement une op-code sur le processeur. Il existe un rapport direct 1:1 de traduction entre un langage d'assemblage de commande et d'un processeur op-code. C'est pourquoi le codage de l'assemblée pour un x386 processeur est différent de celui de codage de l'assemblée d'un processeur ARM.

    Le démontage est simple: un programme lit le fichier binaire (le code machine), en remplacement de l'op-codes avec leur équivalent en langage d'assemblage des commandes, et renvoie le résultat dans un fichier texte. Il est important de comprendre cela, si votre ordinateur peut lire le binaire, vous pouvez lire le binaire, soit manuellement avec une op-table de code dans votre main (ick) ou par le biais d'un désassembleur.

    Désassembleurs avoir quelques nouvelles astuces et de tous, mais il est important de comprendre qu'un désassembleur est, finalement, une recherche et remplacer le mécanisme. C'est pourquoi toute CLUF qui l'interdit est en fin de compte à de l'air chaud. Vous ne pouvez pas à la fois permettre à l'ordinateur de lire les données du programme et aussi d'interdire à l'ordinateur de lire les données du programme.

    (Ne vous méprenez pas, il y a eu des tentatives pour le faire. Ils travaillent ainsi que les DRM sur les fichiers de musique.)

    Cependant, il y a des bémols pour le démontage de l'approche. Les noms de variables sont inexistants; une telle chose n'existe pas de votre CPU. La bibliothèque des appels sont source de confusion comme l'enfer et nécessitent souvent de démonter plus binaires. Et l'assemblage est dur comme l'enfer à lire dans les meilleures conditions.

    La plupart des programmeurs professionnels ne peuvent pas s'asseoir et lire de l'assemblée de la langue sans avoir des maux de tête. Pour un amateur, c'est juste ne va pas arriver.

    De toute façon, c'est un peu passée sous silence-plus d'explication, mais j'espère que cela aide. Tout le monde peut se sentir libre de corriger toute inexactitude de ma part; il a été un moment. 😉

    • Cela donne des précisions sur le démontage, mais j'aimerais entendre une explication sur la décompilation. Est-il susceptible d'être que stérile? Quelles sont les mises en garde de celui-ci?
    • La décompilation du code natif est un joli défi difficile à relever, souvent à droite-impossible. Les optimiseurs sont extrêmement agressifs, souvent de traduire le code source en rien du tout. Vous ne pouvez pas décompiler rien.
    InformationsquelleAutor Jason L
  3. 14

    De bonnes nouvelles. IDA Pro est en fait libre de ses versions plus anciennes maintenant:
    http://www.hex-rays.com/idapro/idadownfreeware.htm

    InformationsquelleAutor Matthew
  4. 11

    Tout bon débogueur peut le faire. Essayez OllyDbg. (edit: qui a une grande désassembleur que même décode les paramètres de WinAPI appels!)

    InformationsquelleAutor utku_karatas
  5. 10

    x64dbg est une bonne et open source débogueur est activement maintenu.

    InformationsquelleAutor BullyWiiPlaza
  6. 6

    Sûr, avoir un regard sur IDA Pro. Ils offrent une version eval de sorte que vous pouvez l'essayer.

    InformationsquelleAutor Douglas Mayle
  7. 5

    Si vous essayez juste de comprendre ce qu'est un malware fait, il pourrait être beaucoup plus facile à exécuter en vertu de quelque chose comme l'outil gratuit Le Moniteur De Processus qui fera rapport chaque fois qu'il tente d'accéder au système de fichiers, le registre, les ports, etc...

    Également, à l'aide d'une machine virtuelle comme le free VMWare server est très utile pour ce genre de travail. Vous pouvez faire un "nettoyage" de l'image, et puis il suffit d'aller retour à chaque fois que vous exécutez le logiciel malveillant.

    InformationsquelleAutor joeld
  8. 5

    Ce que vous voulez est un type de logiciel appelé "Désassembleur".

    Rapide sur google rendements ceci: http://www.geocities.com/~sangcho/disasm.html

    InformationsquelleAutor Corey Trager
  9. 4

    Vous pouvez obtenir certains de visualisation de l'information dans l'assemblée, mais je pense que la meilleure chose à faire est de tirer une machine virtuelle et voir ce qu'il fait. Assurez-vous que vous n'avez pas d'ouvrir des actions ou quelque chose comme ça qu'il peut sauter par bien 😉

    • Ouais, j'ai pensé à ça, mais je préfère ne pas passer par les tracas de la configuration d'une machine virtuelle juste pour le tuer 🙂
    • Vrai, c'est une plaie pour ce cas, mais je trouve toujours qu'il est utile de garder une VM autour pour tester de nouveaux logiciels ou des trucs comme ça. Je peux faire ce qui me plaît et il suffit de choisir de ne pas enregistrer l'état à la fin et revenir à la propre VM pour la prochaine course.
    InformationsquelleAutor Rob Prouse
  10. 4

    Boomerang peut également être utile de vérifier.

    • Pas vraiment. il s'écrase et brûle pour quelque chose de plus compliqué que la plus triviale des fichiers exécutables.
    InformationsquelleAutor Andru Luvisi
  11. 3

    Je ne peux pas croire que personne ne dit rien au sujet de L'Immunité Débogueur, encore.

    Immunité Débogueur est un outil puissant pour écrire les exploits, d'analyser les logiciels malveillants, et désosser des fichiers binaires. Il a d'abord été fondée sur Ollydbg 1.0 code source, mais avec des noms resoution correction d'un bug. Il a ainsi pris en charge l'API Python pour facile d'extensibilité, de sorte que vous pouvez écrire vos scripts python pour vous aider à l'analyse.

    Aussi, il y a une bonne Pierre de Corelan équipe a écrit appelé mona.py, excelent outil btw.

    InformationsquelleAutor jyz
  12. 2

    Si vous souhaitez exécuter le programme pour voir ce qu'il fait sans infecter votre ordinateur, l'utiliser avec une machine virtuelle comme VMWare ou Microsoft VPC, ou un programme qui peut sandbox le programme comme SandboxIE

    InformationsquelleAutor Joel Lucsy
  13. 2

    Si vous n'avez pas le temps, présenter les logiciels malveillants de cwsandbox:

    http://www.cwsandbox.org/

    http://jon.oberheide.org/blog/2008/01/15/detecting-and-evading-cwsandbox/

    HTH

    InformationsquelleAutor plan9assembler
  14. 2

    Vous pouvez utiliser dotPeek, très bon pour décompiler un fichier exe. Il est libre.

    https://www.jetbrains.com/decompiler/

    InformationsquelleAutor Do Nhu Vy
  15. 0

    La l'explorateur de suite pouvez faire ce que vous voulez.

    InformationsquelleAutor