LINUX.ORG.RU

REDasm 2 — очередной аналог IDA

 ,


7

4

В новостях о декомпиляторе АНБ США почти затерялся другой интерактивный дизассемблер, действительно полностью открытый — REDasm.

REDasm написан на C++11, интерфейс на Qt5. Архитектура модульная, с прицелом на простое добавление новых форматов и наборов инструкций (описания в JSON). Версия 2.0 вышла 4 марта.

Отличия новой версии:

  • Новый движок дизассемблера.
  • Новый виджет дизассемблера.
  • Новый движок сигнатур.
  • Новый виджет 16-ричного редактора.
  • Анализ в несколько потоков (по числу ядер).
  • Графы строятся на QtWebEngine.
  • Разделение програмы на интерфейс пользователя, библиотеку LibREDasm и базу данных.
  • Упрощение API библиотеки LibREDasm.
  • Переделка всех API эмуляции.
  • Улучшение эвристик выбора ARM/Thumb.
  • Улучшение листингов ARM.
  • Добавлены всплывающие подсказки на символах как в IDA.
  • Добавлена тёмная тема оформления.
  • Добавлены стрелки для переходов на предыдущую-следующую позиции в листинге.
  • Список недавних файлов.
  • Сохранение проектов (RDB).
  • Улучшение клавиатурных команд.
  • Перенос на CMake.
  • Анализ RTTI MSVC.
  • Обратное преобразование имён MSVC (MSVC Demangling).
  • Улучшен декомпилятор VB.
  • Загрузчик GBA (WIP).
  • Загрузчик N64 (WIP).
  • Объединены загрузчики ELF (порядок Little/Big endian и 32/64бита).
  • Объединены загрузчики PE (порядок Little/Big endian).
  • Поддержка Clang для 64 бит.
  • Переработка пользовательского интерфейса.
  • Исправления ошибок.

Как видно из списка, программа ещё на той стадии, когда можно выбросить и переписать значительную часть кода, и возможны кардинальные улучшения архитектуры и интерфейса.

Для запуска выложенных линуксовых бинарников нужны:

  • libQt5WebEngine.so.5
  • libQt5WebEngineWidgets.so.5
  • libQt5WebChannel.so.5
  • libQt5Widgets.so.5
  • libQt5Gui.so.5
  • libQt5Core.so.5
  • libpthread.so.0
  • libstdc++.so.6
  • libgcc_s.so.1
  • libc.so.6

Личное впечатление — интерфейс похож на IDA, но не столь обкатан, проще, но ограниченнее. Нет ещё такой библиотеки форматов и вызываемых функций, как у IDA. Как пример необкатанности — неизвестный формат предлагает импортировать как MIPS32, а не как предыдущий. 32-килобайтный ELF (67K исходников на C) проанализировало за 16 секунд на 1ГГц 2-ядернике полностью автоматически.

Официальный сайт

>>> Версия 2.0 на Гитхабе

★★★★★

Проверено: jollheef ()

Ответ на: комментарий от AlexM

Так что, сам запуск дизасмов и трейсеров может быть уголовно наказуемым деянием, и появление интереса со стороны «американского государства»

Это зачем американскому «государству» идиоты, не могущие в изолированную машину для дизасма?

TooPar ()
Ответ на: комментарий от nihirash

ну, тут всё очень просто: я не использую железо с проприетарными дровами. и у меня софт быстро обновляется, всегда свежее ядро. так что даже при желании проприетарные дрова мне бы никуда не упёрлись: они просто несовместимы с тем ядром, которое у меня. а когда они соизволят обновить свои дрова, я уже буду на более свежем ядре. а бодаться с копрорациями бесполезно: у некоторых принципиальная позиция против опенсорца. ну и пусть они идут лесом.

Iron_Bug ★★★★ ()
Ответ на: комментарий от anonymous

Как и за что их взяли - отдельная песня

нет. вот это как раз не «отдельная песня», а «старые песни о главном». потому что многих из них я помню, за что взяли: за взлом банковских систем и кражу денег у клиентов банков. а это отслеживается не только АНБ, тут подключется и сам банк, и Интерпол. и тут никаких зондов не надо бы было. это список злобных буратин и обычных криминальных деятелей. а вор должен сидеть в тюрьме. и пять лет в американской тюрьме - это ещё цветочки по сравнению с десяточкой в каком-нибудь Магадане.

Iron_Bug ★★★★ ()
Ответ на: комментарий от anonymous

Void Linux + musl, собираю из сорцов со своими конфигами. ядро там ванильное (пара патчей от майнтейнера для специфических железяк, которые у него есть, меня не интересуют), так что прямо с kernel.org качаешь и собираешь.

Iron_Bug ★★★★ ()
Последнее исправление: Iron_Bug (всего исправлений: 1)
Ответ на: комментарий от panzerito

Уголовным он становится при наличии статьи в УК, а не строчки в EULA и прочих договорах.

Статья 272. «Неправомерный доступ ... уничтожение, блокирование, модификацию либо копирование компьютерной информации...» Принята под давлением США. Вряд ли у них сильно отличается.

Говорят, в российских законах есть ситуации, когда реверсинг законен. Например, для обеспечения работы законно купленной программы. Не выяснял.

question4 ★★★★★ ()
Последнее исправление: question4 (всего исправлений: 1)
Ответ на: комментарий от panzerito

Уголовным он становится при наличии статьи в УК, а не строчки в EULA и прочих договорах.

Это в твоей стране можно рассуждать про УК и ничтожность еул. А потом ты едешь задницу полоскать в тёплых морях и тебя там внезапно за помытую задницу хватают и везут в асэшай ублажать негров в частных тюрягах.

imul ★★★★★ ()
Ответ на: комментарий от question4

ну, на данный момент у меня не используется никакая фирмварь. она если и бывает, то в основном для wifi. но сеть я использую через ethernet, надёжно и быстро.

а ломать фирмварь тоже не особо интересно: это специфические чипы и обычно они от модели к модели все разные. китайцы их клепают со страшной силой. допустим, сломаешь ты прошивку для одной железки, а их ещё миллион. да и от фирмвари угроза мала. я сама фирмварь писала и там ресурсов с гулькин хрен, плюс видимость - прямое обращение к памяти и железу (произвольный суповой набор). ты не выкопаешь ничего полезного из такой конфигурации на произвольной машине, с ограниченными ресурсами. плюс любое левое обращение может тупо завалить систему. так что ничем особым фирмварь безопасности системы угрожать не может. гипотетические угрозы могут быть, но реализовать практически невозможно.

Iron_Bug ★★★★ ()
Последнее исправление: Iron_Bug (всего исправлений: 1)
Ответ на: комментарий от Iron_Bug

годный инструмент

а мне вот наоборот кажется, что это инструменты из топовой категории сложности. опенсорсный аналог всегда уступает коммерческому. можно взять демо иды, можно старую ломаную версию, но если ты работаешь в этой сфере, то лучше купить. и продукт получишь качественный, и разработку поддержишь.

гимп тоже пример тупого опенсорса. неуклюжие кад системы и т.д.

а такой открытый проект интересен в первую очередь программистам, которые учатся писать софт.

crypt ★★★★★ ()
Ответ на: комментарий от Iron_Bug

> а ломать фирмварь тоже не особо интересно

а ломать фирмварь тоже не особо интересно
безопасности системы угрожать не может

биосы сейчас идут уже чуть ли не с браузером. там на мегабайты счет. в железках уровня корпорейт используется прошивки для удаленного управленния железом, в т.ч. когда машина «выключена». это все очень даже имеет отношение к безопасности.

crypt ★★★★★ ()
Ответ на: комментарий от crypt

если бы был опенсорц, я бы купила. но опенсорцу, который я юзаю, я и так донаты засылаю. а так - спасибо, не надо :)

я сейчас уже давно не занималась реверс-инжинирингом. да, были времена, когда я работала с маздаем и там было много причин для разных вмешательств в софт. а на опенсорце просто в принципе не такой необходимости. для меня сейчас самая большая проблема - профилирование и отладка. но и то всё необходимое есть.

Iron_Bug ★★★★ ()
Ответ на: комментарий от Iron_Bug

Ты всерьёз вознамерилась кормить пятизвёздного регистранта, пишущего что-то типа

опенсорсный аналог всегда уступает коммерческому.

?

hobbit ★★★★★ ()
Последнее исправление: hobbit (всего исправлений: 1)

Re: > а ломать фирмварь тоже не особо интересно

и что твой биос может? вот есть у тебя гигабайты прямых адресов с непонятно чем. и произвольный набор железа. что ты с ними будешь делать? любой девайс на шине видит всю память. но если он начнёт лезть куда попало - произойдёт *уякс системы. написать работающую прошивку - это уже достижение. а если ты в прошивке начнёшь произвольно лазить по памяти, то либо ты подвесишь машину, либо кернел запаникует. так что нет в этом никакого смысла.

Iron_Bug ★★★★ ()

Re: > а ломать фирмварь тоже не особо интересно

и да, когда машина выключена - она выключена. параноидные слухи про тайные сигналы от выключенных девайсов сильно преувеличены.

если говорить о шпионаже, то можно рассматривать, например, брендированные девайсы. вот там, когда один производитель собирает всё, и железо, и софт, возможны закладки и шпионские модули. хуавей вон уже доигрался. но это, как правило, не касается юзерского сегмента. в юзерском сегменте просто невыгодно такими вещами заниматься, потому что девайсы копеечные и следить за абстрактным васей пупкиным просто неинтересно.

а хомячки и так добровольно обложились зондами: всякие там «умные колонки» и прочая дрись, которая вполне легально, по заявленным характеристикам, сливает данные в сеть. не надо никаких грязных хаков и тайных прошивок. у каждого второго есть трекер - вот тебе его местоположение, даром. сейчас взломы идут через социалочки, а не через чипы.

Iron_Bug ★★★★ ()
Последнее исправление: Iron_Bug (всего исправлений: 2)

Лол, ну называть эту поделку аналогом IDA, конечно, перебор. Действительно, лучше бы нормальный гуй к radare2 сделали (гуй как раз получился симпатичный, но функциональность совсем уж околонулевая, и непонятно, зачем велосипедить, когда radare2 существенно мощнее и популярнее).

Softwayer ★★ ()
Ответ на: комментарий от crypt

ну, никто не запрещает его писать за донаты. а в копрорациях тот ещё говнокод встречается. там ведь его никто не проверяет особо. там нужна прибыль.

понимаешь, любой программист всё равно где-то работает. что не отменяет существование опенсорца. потому что любовь к искусству не пропьёшь. люди делают в опенсорце вещи, которые они не могут делать за зарплату. делают для себя.

Iron_Bug ★★★★ ()
Последнее исправление: Iron_Bug (всего исправлений: 1)
Ответ на: комментарий от Iron_Bug

потому что любовь к искусству не пропьёшь. люди делают в опенсорце вещи, которые они не могут делать за зарплату. делают для себя.

правильно! поэтому я в жизни всегда разделяю творчество и работу. работу можно делать творчески и хорошо, но в рамках. а творчество должно выходить за рамки. гимп вон... делают и делают... по слухам одну фичу кто-то творчески сделал хорошо, а все остальное ни шатко, ни валко...

crypt ★★★★★ ()
Ответ на: комментарий от crypt

абсолютно. выдерни из розетки шнур - и никакая прошивка тебе не страшна. чтобы поднять память, пары кондёров не хватит. а удалённое управление питанием - это отдельная тема и если ты его включил, то это твои проблемы, как обеспечить безопасный доступ к управлению такими девайсами. и там, где стоят такие девайсы, это серверные, где трафик многократно фильтруется и кому попало туда доступа нет.

Iron_Bug ★★★★ ()
Ответ на: комментарий от crypt

хаха! а вот нифига. я знала людей, которые на работе целыми отделами хрен пинали, потому что там делать было особо нечего. всё время они посвящали своим левым проектам. и сколько таких контор, где программисты сидят на зарплате, а задач для них практически нету - этого никто не знает.

к тому же человек, увлечённый какой-то идеей, работает в десять раз более эффективно, чем если бы он занимался неинтересным ему проектом. в этом и состоит суть мотивирования команды разработчиков: мотивированные разработчики снесут любые преграды. а немотивированные будут сидеть и уныло кропать минимальный требуемый код.

Iron_Bug ★★★★ ()

и что твой биос может?

Та-дааам!

The vulnerability is potentially very serious, and could enable a network attacker to remotely gain access to businesses PCs and workstations that use these technologies. We urge people and companies using business PCs and devices that incorporate Intel® AMT, Intel® ISM or Intel® SBT to apply a firmware update

https://www.intel.com/content/www/us/en/architecture-and-technology/intel-amt...

crypt ★★★★★ ()
Ответ на: комментарий от Iron_Bug

угу. ты знала людей, а я, к сожалению, не знаю ни одной софтины, которую они написали... как запускал фотошоп под виндой, так и запускаю... где твои энтузиасты...

crypt ★★★★★ ()
Ответ на: комментарий от crypt

понимаешь, это общие слова. «business PCs»! щито? что такое абстрактная машина в наше время? это совершенно произвольный набор железа и софта. что ты будешь делать с этими данными? да ничего. в худшем случае, ты можешь уронить систему. и то если у таргета совершенно нет мозгов и прокси на входе. и какая от этого выгода? такие уязвимости неэксплуатабельны от слова совсем.

Iron_Bug ★★★★ ()
Последнее исправление: Iron_Bug (всего исправлений: 2)
Ответ на: комментарий от crypt

полный интернет опенсорца. ты сидишь на форуме, посвящённом системе, которая есть опенсорц во плоти. чего ты не знаешь?

я не запускаю фотожоп. и венды у меня нет уже лет цать. и я ничуть по ней не скучаю, надо сказать :) чтобы править картиночки, есть GIMP. хватает выше крыши. но я не занимаюсь правкой картиночек, я программист. мне не нужны редакторы картинок. кроме программирования я занимаюсь музыкой. и для работы с музыкой в лине есть всё. я не испытываю проблем.

Iron_Bug ★★★★ ()
Последнее исправление: Iron_Bug (всего исправлений: 1)
Ответ на: комментарий от Iron_Bug

выдерни из розетки шнур - и никакая прошивка тебе не страшна.

да, но и компьютер перестает выполнять свои функции.

удалённое управление питанием - это отдельная тема

она не отдельная. она встроенная. и ты даже не можешь точно сказать, когда и куда именно, т.к. прошивка закрыта.

это серверные, где трафик многократно фильтруется

нет, совсем не только. это еще и куча хостингов с белыми айпи. а, как я писал выше, раздутый биос современных пк для домохозяек позволяет туда затолкать что хочешь.

crypt ★★★★★ ()

Re: > а ломать фирмварь тоже не особо интересно

Начал «умничать» и у меня компьютер перешел в режим блокирования.

Уж поверьте ни когда до этого такого не было.

PS: Кругом враги, ЦРУ, ...

https://www.youtube.com/watch?v=OK9n46ZY8JE Суровые годы уходят Собачье сердце

anonymous ()
Ответ на: комментарий от Iron_Bug

да куда уж конкретнее-то))) там тебе по ссылке все прожуют, что такое этот писи. корпорация призналась в большом фейле, потому что риск потери репутации меньше возможных финансовых убытков.

а ты просто не пыталась хорошо вникать, что можно сделать. ты, как программист, на самом деле можешь ее раскрутить лучше, чем я. но даже мне понятно, что достаточно иметь возможно управлять удаленно disable execution bit, чтобы стекировать уязвимости в закрытой ОС.

crypt ★★★★★ ()
Последнее исправление: crypt (всего исправлений: 1)

Re: > а ломать фирмварь тоже не особо интересно

блокирования чего?

у меня вокруг нет врагов. правда, дураков навалом. дураки, наверное, даже хуже врагов :)

Iron_Bug ★★★★ ()
Последнее исправление: Iron_Bug (всего исправлений: 1)
Ответ на: комментарий от Iron_Bug

я выключение поставил в кавычки в изначальном посте. если хочешь, интел использует этот термин без ковычек, но подразумевается, что от сети электропитания пк не отключен.

crypt ★★★★★ ()
Ответ на: комментарий от crypt

я пятнадцать лет вникала. писала прошивки и софт для железа. нет там и не может быть реальной угрозы для произвольной системы. я не говорю про брендированные девайсы с включённым в него фирменным проприетарным софтом.

я не хочу продолжать эту тему. я работала с железом и этого хватает, чтобы не вникать во всякие там рентвшные страшилки про страшный биос, который под покровом ночи при выключенном компе делает тайные снимки вебкамерой.

Iron_Bug ★★★★ ()
Последнее исправление: Iron_Bug (всего исправлений: 1)
Ответ на: комментарий от Iron_Bug

и тем не менее, мир не ограничивается только твоим пк и звезды зажегаются и софт выпускается тоже не только. я просто выразил сомнение, что опенсорсные продукты типа сабжа полезны для кого-то (и для профи, и для любителей) кроме тех «творческих» программистов, которые лабают что-то для себя.

crypt ★★★★★ ()

Re: > а ломать фирмварь тоже не особо интересно

у меня вокруг нет врагов. правда, дураков навалом. дураки, наверное, даже хуже врагов :)

Понял.
«Молчу, молчу ...»

anonymous ()
Ответ на: комментарий от crypt

я уже лет 20 пользуюсь опенсорцным софтом. из них лет 12 я работаю только с опенсорцным софтом. я не вижу никаких проблем и люди вполне себе делают бизнес на этом самом опенсорце. так что продукты опенсорца ох как полезны. вся сеть на них держится. и не только сеть.

Iron_Bug ★★★★ ()
Ответ на: комментарий от Iron_Bug

я говорю, что ты могла не искать пути их саботировать. для этого нужна своя заточка.

я не говорю про брендированные девайсы с включённым в него фирменным проприетарным софтом.

а я не говорю про ноу-нейм, потому что большая часть девайса брендирована. ты видела модные биосы от msi и asus? с поддержкой мыши...

crypt ★★★★★ ()
Ответ на: комментарий от Iron_Bug

я пятнадцать лет вникала. писала прошивки и софт для железа.

тогда я могу не напоминать тебе, почему M$ совместно с производителями железа добавил такую хрень, как проверка подписи загрузчика. а ты мне говоришь, что мол все тип-топ. ты просто не искала.

crypt ★★★★★ ()
Последнее исправление: crypt (всего исправлений: 1)