Один из моих друзей загрузил некоторые вредоносные программы из Facebook, и мне любопытно посмотреть, что он делает, не заражая себя. Я знаю, что вы действительно не можете декомпилировать .exe, но можете ли я хотя бы просмотреть его в сборке или прикрепить отладчик?
Изменить, чтобы сказать, что это не исполняемый файл .NET, не заголовок CLI.
С помощью отладчика вы можете выполнить интерактивную сборку программы.
С помощью дизассемблера вы можете более подробно просмотреть сборку программы.
С декомпилятором вы можете превратить программу обратно в частичный исходный код, предполагая, что вы знаете, на что она была написана (которую вы можете найти с помощью бесплатных инструментов, таких как PEiD - если программа упакована, вам придется сначала распаковать ее ИЛИ Detect-it- Легко, если вы не можете найти PEiD где угодно. У DIE есть сильное сообщество разработчиков на github в настоящее время).
Некоторые связанные инструменты, которые могут пригодиться во всем, что вы делаете, - это редакторы ресурсов, такие как ResourceHacker (бесплатно) и хороший шестнадцатеричный редактор, такой как Hex Workshop (коммерческий).
Кроме того, если вы занимаетесь анализом вредоносных программ (или используете SICE), я всем сердцем предлагаю запустить все внутри виртуальной машины, а именно Рабочая станция VMware. В случае SICE он защитит вашу реальную систему от BSOD, а в случае вредоносного ПО защитит вашу реальную систему от целевой программы. Вы можете прочитать о анализе вредоносного ПО с помощью VMware здесь.
Лично я просматриваю Olly, WinDbg и W32Dasm и некоторые более мелкие утилиты.
Кроме того, помните, что дизассемблирование или даже отладка программ других людей, как правило, против EULA:
psoul отличные ответы на ваш вопрос, поэтому я не буду повторять его хорошую работу, но я чувствую, что это поможет объяснить, почему это сразу является совершенно верным, но также ужасно глупым вопросом. В конце концов, это место для изучения, верно?
Современные компьютерные программы создаются с помощью серии преобразований, начиная с ввода читаемого человеком текстового текста (называемого "исходным кодом" ) и заканчивая машиночитаемым телом инструкций (называемым альтернативно "двоичным" ) или "машинный код" ).
То, как компьютер запускает набор инструкций машинного кода, в конечном счете очень прост. Каждое действие, которое может принимать процессор (например, чтение из памяти, добавление двух значений), представлено цифровым кодом. Если бы я сказал вам, что число 1 означает крик, а число 2 означает хихиканье, а затем поднятые карты с 1 или 2 на них, ожидающие, что вы будете кричать или хихикать соответственно, я буду использовать то, что по существу та же самая система, которую использует компьютер для работы.
Двоичный файл - это всего лишь набор этих кодов (обычно называемых "op-кодами" ) и информация ( "аргументы" ), в которой действуют операционные коды.
Теперь, язык ассемблера - это компьютерный язык, где каждое командное слово на языке представляет собой один операционный код на процессоре. Существует прямая трансляция 1:1 между командой языка ассемблера и операционным кодом процессора. Вот почему сборка кодирования для процессора x386 отличается от сборки кодирования для процессора ARM.
Разборка выполняется просто: программа считывает двоичный код (машинный код), заменяет операционные коды на их эквивалентные команды языка ассемблера и выводит результат в виде текстового файла. Важно это понимать; если ваш компьютер может читать двоичный файл, вы также можете прочитать двоичный файл, либо вручную, либо в таблице op-code в руке (ick), либо через дизассемблер.
У дизассемблеров есть несколько новых трюков и все, но важно понять, что дизассемблер в конечном счете является механизмом поиска и замены. Вот почему любое EULA, которое запрещает это, в конечном счете дует горячим воздухом. Вы не можете сразу разрешить компьютеру считывать данные программы, а также запрещать компьютеру считывать данные программы.
(Не поймите меня неправильно, были попытки сделать это. Они работают так же, как DRM в файлах песен.)
Однако существуют подходы к разборке. Имена переменных не существуют; такая вещь не существует для вашего процессора. Библиотечные вызовы сбивают с толку и часто требуют разборки дополнительных двоичных файлов. И сборка трудно, как ад, читать в лучших условиях.
Большинство профессиональных программистов не могут сидеть и читать ассемблер, не получая головной боли. Для любителя это просто не произойдет.
Во всяком случае, это несколько замаскированное объяснение, но я надеюсь, что это поможет. Каждый может свободно исправить любые искажения с моей стороны; это было время.;)
Любой достойный отладчик может это сделать. Попробуйте OllyDbg. (edit: у которого отличный дизассемблер, который даже декодирует параметры для вызовов WinAPI!)
Хорошие новости. IDA Pro фактически бесплатна для своих старых версий: http://www.hex-rays.com/idapro/idadownfreeware.htm
Конечно, посмотрите IDA Pro. Они предлагают версию, чтобы вы могли попробовать.
x64dbg - хороший отлаживатель с открытым исходным кодом, который активно поддерживается.
Что вы хотите - это тип программного обеспечения, называемого "дизассемблер".
Быстрый google дает следующее: http://www.geocities.com/~sangcho/disasm.html
Если вы просто пытаетесь выяснить, что делает вредоносное ПО, было бы намного проще запустить его под чем-то вроде бесплатного инструмента Process Monitor, который будет сообщать, когда он пытается получить доступ к файловой системе, реестру, портам и т.д.
Кроме того, использование такой виртуальной машины, как бесплатный сервер
Вы можете получить некоторую информацию, просматривающую ее в сборке, но я думаю, что проще всего запустить виртуальную машину и посмотреть, что она делает. Удостоверьтесь, что у вас нет открытых акций или что-то в этом роде, чтобы они могли прыгать через;)
Boomerang также можно проверить.
Если вы хотите запустить программу, чтобы увидеть, что она делает, не заражая компьютер, используйте с виртуальной машиной, например VMWare или Microsoft VPC или программа, которая может изолировать программу, например SandboxIE
Если у вас нет времени, отправьте вредоносное ПО в cwsandbox:
http://jon.oberheide.org/blog/2008/01/15/detecting-and-evading-cwsandbox/
НТН
Я не могу поверить, что никто не говорил о "Отладчик иммунитета" .
Immunity Debugger - мощный инструмент для написания эксплойтов, анализа вредоносных программ и обратного проектирования двоичных файлов. Первоначально он основывался на исходном коде Ollydbg 1.0, но с исправлением ошибки resounion. Он имеет хорошо поддерживаемый API-интерфейс Python для легкой расширяемости, поэтому вы можете писать свои сценарии python, чтобы помочь вам в анализе.
Кроме того, там хороший Питер из команды Corelan написал: mona.py, отличный инструмент btw.
Вы можете использовать dotPeek, очень хорошо для декомпиляции exe файла. Это бесплатно.
explorer suite может делать то, что вы хотите.