LINUX.ORG.RU

REDasm 2 — очередной аналог IDA

 ,


7

4

В новостях о декомпиляторе АНБ США почти затерялся другой интерактивный дизассемблер, действительно полностью открытый — REDasm.

REDasm написан на C++11, интерфейс на Qt5. Архитектура модульная, с прицелом на простое добавление новых форматов и наборов инструкций (описания в JSON). Версия 2.0 вышла 4 марта.

Отличия новой версии:

  • Новый движок дизассемблера.
  • Новый виджет дизассемблера.
  • Новый движок сигнатур.
  • Новый виджет 16-ричного редактора.
  • Анализ в несколько потоков (по числу ядер).
  • Графы строятся на QtWebEngine.
  • Разделение програмы на интерфейс пользователя, библиотеку LibREDasm и базу данных.
  • Упрощение API библиотеки LibREDasm.
  • Переделка всех API эмуляции.
  • Улучшение эвристик выбора ARM/Thumb.
  • Улучшение листингов ARM.
  • Добавлены всплывающие подсказки на символах как в IDA.
  • Добавлена тёмная тема оформления.
  • Добавлены стрелки для переходов на предыдущую-следующую позиции в листинге.
  • Список недавних файлов.
  • Сохранение проектов (RDB).
  • Улучшение клавиатурных команд.
  • Перенос на CMake.
  • Анализ RTTI MSVC.
  • Обратное преобразование имён MSVC (MSVC Demangling).
  • Улучшен декомпилятор VB.
  • Загрузчик GBA (WIP).
  • Загрузчик N64 (WIP).
  • Объединены загрузчики ELF (порядок Little/Big endian и 32/64бита).
  • Объединены загрузчики PE (порядок Little/Big endian).
  • Поддержка Clang для 64 бит.
  • Переработка пользовательского интерфейса.
  • Исправления ошибок.

Как видно из списка, программа ещё на той стадии, когда можно выбросить и переписать значительную часть кода, и возможны кардинальные улучшения архитектуры и интерфейса.

Для запуска выложенных линуксовых бинарников нужны:

  • libQt5WebEngine.so.5
  • libQt5WebEngineWidgets.so.5
  • libQt5WebChannel.so.5
  • libQt5Widgets.so.5
  • libQt5Gui.so.5
  • libQt5Core.so.5
  • libpthread.so.0
  • libstdc++.so.6
  • libgcc_s.so.1
  • libc.so.6

Личное впечатление — интерфейс похож на IDA, но не столь обкатан, проще, но ограниченнее. Нет ещё такой библиотеки форматов и вызываемых функций, как у IDA. Как пример необкатанности — неизвестный формат предлагает импортировать как MIPS32, а не как предыдущий. 32-килобайтный ELF (67K исходников на C) проанализировало за 16 секунд на 1ГГц 2-ядернике полностью автоматически.

Официальный сайт

>>> Версия 2.0 на Гитхабе

★★★★★

Проверено: jollheef ()

Ответ на: комментарий от anonymous

Чем оно лучше radare2 в плане функционала?

Недостаточно их знаю для объективного сравнения, а Radare лет 5 не трогал. GUI встроенный (но нет консольной версии), анализирует ELF без вмешательства человека лучше, чем Radare2 умел 5 лет назад. С автоматическим анализом MS-DOS EXE не справились оба (имею в виду 5-летний Radare).

question4 ★★★★★ ()
Ответ на: комментарий от anonymous

а что, новости о црушниках на лоре не было?

В Talks обсуждают. Новость для главной удалили с мотивировкой «нет исходников». Да и новость была с кучей фактических ошибок.

question4 ★★★★★ ()

В новостях о декомпиляторе АНБ США почти затерялся другой интерактивный дизассемблер,

Хм. Звучит так как будто этим хотели запикать реальную вещь.

mx__ ★★★★ ()
Ответ на: комментарий от anonymous

Про Гидру.

Ждём выкладки исходников, тогда и обсудим.

С чего это АНБ стало вдруг таким добреньким ?

Интеллектуальная собственность, производимая госслужащими США, должна выкладываться в открытом доступе, если нет веских причин её скрывать. Например, гостайны. Не знаю, какова процедура, но похоже, что Гидру оказалось проще раскрыть, чем секретить.

question4 ★★★★★ ()
Ответ на: комментарий от question4

А может всё еще проще. Пока ты декомпилируешь программу, АНБ делает обратный инжиниринг уже тебе ))) И потом берет на горячем под белы ручки )))

anonymous ()
Ответ на: комментарий от anonymous

Если им нужны миллионы скрипт-кидсов — возможно. Хакеры поумнее смогут блокировать и засечь исходящий трафик. И какой смысл работать по мелочам? У них не настолько плохие показатели, чтобы заниматься такой дурью.

Естественно, до окончания аудита исходников запускать Гидру на рабочей машине не буду. Если очень понадобится — в одноразовой ВМ без доступа ко внешнему миру.

question4 ★★★★★ ()
Ответ на: комментарий от deity

Где я это говорил?

Я в это не верю. Но «случаи разные бывают», поэтому к их программе отношусь с опаской. Одна дыра в ней уже нашлась просто при беглом чтении компонентов на Джаве.

question4 ★★★★★ ()
Ответ на: комментарий от deity

Ты вот ща серьезно думаешь что анб с помощью опенсорсной тулзы пропихивает зонд?

Еще остались наивные люди, верящие в светлых западных эльфов, раздающих ништяки по доброте душевной ?)

Спецслужбы ничего просто так не делают. А выяснять на своей шкуре в чем их интерес, как то не хочется. Сколько уже было взято за жабры: за ту же криптографию, вирусную/антивирусную деятельность, взлом программ.

anonymous ()
Ответ на: комментарий от deity

Кто будет досканально проверять весь исходных код ? Хоть и опенсорсной тулзы ? И кто даст гарантий, что воспользовавшись её, потом не получишь проблемы, выехав в США или Европу. Контора всё пишет.

anonymous ()
Ответ на: комментарий от deity

Российские программисты, экстрадированные в США за последние несколько лет (неполный список):

1. Марк Вартанян в декабре 2016 года был выдан из Норвегии в США. В марте 2017 года признал вину, а 19 июля был приговорен к пяти годам лишения свободы.

2. Станислав Лисов экстрадирован из Испании в США. Его задержали в Испании 13 января 2017 года, ему может грозить до 35 лет тюрьмы.

3. Евгений Никулин был задержан осенью 2016 года в Праге. В марте этого года экстрадирован в США.

4. Петр Левашов был задержан в апреле 2017 года в Барселоне по запросу США.

5. Владимир Дринкман и Дмитрий Смилянец: в феврале 2018 года судом штата Нью-Джерси Дринкман приговорен к 12 годам тюремного заключения, Дмитрий Смилянец освобожден в зале суда.

6. Никита Кузьмин был арестован в США в 2010 году. В мае 2016 года суд обязал его выплатить 6,9 миллиона долларов в качестве компенсации пострадавшим и приговорил к 37 месяцам тюремного заключения (уже отбытый срок под стражей), освобожден.

7. Владимир Здоровенин 16 января 2012 года был экстрадирован в США. В феврале 2012 года он частично признал вину.

8. Александр Костюков был арестован в Майами в марте 2012 года. В декабре 2015 года он приговорен к девяти годам лишения свободы и выплате штрафа в размере 50 миллионов долларов.

9. Александр Панин в июне 2013 года в Доминиканской Республике был арестован и затем экстрадирован в США. Он признал вину в обмен на снятие части обвинений. В сентябре 2015 года приговорен к 9,5 года заключения.

10. Белороссов Дмитрий арестован в аэропорту Барселоны 17 августа 2013 года, в мае 2014 года экстрадирован в США. В сентябре 2015 года приговорен к 4,5 года заключения и выплате 322 тысяч долларов в погашение ущерба.

11. Максим Чухарев в апреле 2014 года был экстрадирован в США из Коста-Рики. В сентябре 2014 года он признал свою вину, приговорен к трем годам лишения свободы.

12. Роман Поляков, задержан в Испании 3 июля 2014 года, в 2015 году был экстрадирован в США. В июне 2016 года признал вину, приговорен к четырем годам тюрьмы и штрафу в размере 90 тысяч долларов.

13. Роман Селезнев задержан 5 июля 2014 года в аэропорту Мальдивской Республики в городе Мале американскими спецслужбами. В апреле 2017 года он частично признал вину, был приговорен к 27 годам тюремного заключения и штрафу в 170 миллионов долларов. В июле 2017 года против Селезнева были выдвинуты новые обвинения в кибермошенничестве, и он был приговорен еще к 14 годам тюрьмы, суммарно 41 год.

14. Максим Сенах был арестован в Финляндии в августе 2015 года, в январе 2016-го был экстрадирован в США. В марте 2017 года признал вину в киберпреступлениях. В августе 2017 года приговорен к 46 месяцам тюремного заключения.

15. Юрий Мартышев задержан 26 апреля 2017 года в Латвийской Республике по запросу США.

16. Дмитрий Украинский задержан в июле 2016 года в Таиланде по запросу ФБР США.

17. Сергей Медведев, задержан в Бангкоке в феврале 2018 года по наводке ФБР.

18. Александр Винник задержан 25 июля 2017 года в Греции по запросу спецслужб США.

Как и за что их взяли - отдельная песня, но троянский конь от АНБ как то напрягает, пока не будет доказано обратного. Даже, если не заниматься ничем этаким, то все равно был бы человек, а статья найдется

anonymous ()
Ответ на: комментарий от xpahos

Вопрос только кто их будет проверять. И сколько времени займет весь этот труд и найдутся ли желающие это делать с достаточной квалификацией ? И можно ли будет им верить на слово ? И где найти время проверить их самому лично) Короче, не нужно

anonymous ()
Ответ на: комментарий от anonymous

Короче, не нужно

Я не представляю для АНБ никакого интереса, так что для меня Гидра хороший такой инструмент. Тем более несколько бинарников с которыми я частенько работаю весят более 150Мб(статическая линковка). radare2 на них очень долго работает, ну и Гидра имеет немного удобных фишек по сравнению с IDA.

xpahos ★★★★★ ()
Ответ на: комментарий от anonymous

Про Гидру. С чего это АНБ стало вдруг таким добреньким ? Не иначе как зонды стучащие встроили в своё поделие)

Я словил bsod на десяточке через примерно час использования гидры. Никогда такого не было. Это внедрение? Пришлось форматнуть её, посекторно.

anonymous ()
Ответ на: комментарий от xpahos

Я не представляю для АНБ никакого интереса

Ответ на вопрос «а интересен ли я АНБ или другим государственным структурам США» может оказаться не так очевиден.

Во-первых, запрет на декомпиляцию и исследование внутренней реализации ПО, как минимум, не поощряется, а в норме запрещается в большинстве приличных EULA. Так что, сам запуск дизасмов и трейсеров может быть уголовно наказуемым деянием, и появление интереса со стороны «американского государства» - это вопрос вероятностный. Приведенный выше список экстрадированных из ЕС в США свидетельствует, что многие недооценили величину этой вероятности.

Во-вторых, с некоторых пор в Штатах внимательно относятся к компьютерной и интернет-безопасности, и, как следствие, к персонам, этими темами занимающимся.

Единственный вопрос, который мне задали на собеседовании при получении американской визы летом 2017-го: «Сэр, Вы когда-нибудь занимались деятельностью, связанной с компьютерной безопасностью или искусственным интеллектом?» Услышав отрицательный ответ, интервьюер заверил меня, что проблем с получением визы не будет. И добавил, обращаясь к моей жене: «а Вас, Штирлиц, я попрошу остаться а Ваша заявка, Мэм, будет проходить дополнительную проверку»

Было даже немножко обидно. Впрочем, я всегда знал, что жена у меня - опасная женщина.

AlexM ★★★★★ ()
Ответ на: комментарий от AlexM

запрет на декомпиляцию и исследование внутренней реализации ПО, как минимум, не поощряется, а в норме запрещается в большинстве приличных EULA.

Я не декомпилирую и не исследую чужое ПО.

с некоторых пор в Штатах внимательно относятся к компьютерной и интернет-безопасности, и, как следствие, к персонам, этими темами занимающимся.

Я не занимаюсь безопасностью. Мое дело пакетики в нужном направлении отправлять. Но иногда нужно посмотреть конечный ассемблерный код.

xpahos ★★★★★ ()

Очень забавно наблюдать шатания анонимуса от «есть же исходники» до «кто эти исходники проверять будет» в зависимости от автора этого исходного кода. И совсем не понятно, чем это отличается от доверия к бинарникам.

anonymous ()
Ответ на: комментарий от AlexM

Во-первых, запрет на декомпиляцию и исследование внутренней реализации ПО, как минимум, не поощряется, а в норме запрещается в большинстве приличных EULA.

Большинство пунктов EULA могут оказаться юридически ничтожными.

anonymous ()