Введение
В последнее время ты слышишь про огромное количество взломов крупных компаний с использованием вредоносного ПО. В инструментарий для атак входят шифровальщики, программы-вымогатели. Поэтому специалистам по информационной безопасности не редко приходится прибегать к множеству утилит для реверса. Чтобы облегчить такую тяжелую ношу я собрал для тебя целый список программ, которые помогут тебе в реверс-инженерии. Давай перейдем к делу.
План работы
Для начала я составил план, по которому будет построена статья. Так ты сможешь определиться с тем, какой софт уже знаешь, а с каким еще предстоит познакомиться.
- Статический анализ:
- Detect It Easy
- de4dot
- Dependency Walker
- ExeinfoPe
- ExtremeDumper
- FileAlyzer
- Import REConstructor
- PEStudio
- PEview
- Resource Hacker
- Динамический анализ:
- dnSpy
- Explorer Suite
- OllyDbg
- Process Explorer
- Procmon
- ProFiler
- Regshot
- TCPView
- x64dbg
- Wireshark
Статический анализ
Такой тип анализа подразумевает исследование PE файла избегая его запуск. То есть, ты можешь узнать информацию о файле не рискуя заразить свою систему. Анализ позволит определить шифровался ли файл или нет, какие библиотеки в нем зашифрованы и на каком языке написана программа.Detect It Easy
- Платформа: Любая
- Версия: 3.04
Detect It Easy (сокращенно DIE) - одна из самых популярных программ для определения типов файлов. Есть огромный арсенал, который включает в себя определение компилятора, языка программирования, библиотек. Также можно узнать сигнатуру нужного файла и посмотреть таблицу импорта/экспорта. Утилита содержит гибридное строение и поэтому можно добавить свои алгоритмы обнаружения или сигнатуры.
Существует три версии утилиты: базовая, облегченная и консольная. Это делает программу многофункциональной и крайне удобной для использования. DIE способен определить такие типы файлов как: MS-DOS, PE Windows, ELF Linux, MACH Mac OS.
Таким образом DIE становиться незаменимым помощником, который первый вступает в работу и анализирует файл детальнее всего. Он дает базовую информацию и позволяет сделать план дальнейших действий.
Исходный код программы: GitHub
de4dot
- Платформа: Любая
- Версия: 3.1.4592
de4dot - популярная утилита для пробития защиты NET Reactor. Она до сих пор остается в раннем доступе и разработчики активно модернизируют ее. Также, код этой программы есть в открытом доступе, что позволяет тебе самим модифицировать программу. Написана она на C# и ее основная задача сделать все возможное, чтобы восстановить упакованную и запутанную сборку почти до исходного формата. Работает со всеми файлами, которые основаны на NET.
В надежных руках такая маленькая, консольная программа превращается в потрошителя PE-файлов и защиты .NET-приложений.
Исходный код программы: GitHub
Dependency Walker
- Платформа: Windows
- Версия: 2.2.6000
Dependency Walker - предназначен для работы с таблицами импорта и экспорта. Всю информацию представляет в виде иерархического дерева, что для многих очень удобно в работе. Для каждого найденного модуля в нем перечислены все функции, которые экспортируются этим модулем, и какие из этих функций на самом деле вызываются другими модулями. Также он помогает исправлять ошибки в PE-файлах, которые связаны с загрузкой и выполнением модулей.
В работе утилита будет полезна в том случаи, если другие программы не смогли справиться с таблицами файла. Как ты уже понял по интерфейсу программа старая и работает со времен поддержки Windows 7.
Домашняя страница автора:
Ссылка скрыта от гостей
Exeinfo PE
- Платформа: Windows
- Версия: 0.0.6.3
Exrinfo PE - бесплатная утилита, которая позволяет просматривать детальную информацию о файле. Аналог любимого DiE. Поможет узнать, чем защищён и упакован файл, а также установит компилятор. Есть дополнительные функции в виде риппера файла и корректировщика PE и AT4RE.
Ты можешь использовать такую программу как замену Detect It Easy. Хоть утилита ограничена в функционале и не такая комфортная как другие ее можно использовать на постоянной основе.
Домашняя страница автора:
Ссылка скрыта от гостей
ExtremeDumper
- Платформа: Windows
- Версия: 4.0.0.1
ExtremeDumper - это компактный дампер .NET приложений. Предоставляет список программ с .NET-модулями. Также позволяет внедрять определенные сборки. Процесс, содержащий рабочий стол clr или coreclr, будет помечен зеленым.
Такая утилита позволит тебе анализировать и расшифровывать библиотеки, которые базируются на .NET.
Исходный код программы: GitHub
FileAlyzer
- Платформа: Windows
- Версия: 1.6.0.4
FileAlyzer - программа для просмотра и анализа структуры содержимого файлов. Помогает провести простой анализ файлов и интерпретировать общее содержимое файлов вроде ресурсов (текста, графики и т.д). Пользоваться такой утилитой проще простого. По интерфейсу она напоминает свойства файла, но с расширенным функционалом. Таблицы импорта/экспорта, дамп и ресурсы файла.
Также утилита имеет анализ папок, который сделает твою работу гораздо проще и полезнее. Поэтому ты сможешь узнать самую простую и доступную информацию из файла.
Официальный сайт автора:
Ссылка скрыта от гостей
Import REConstructor
- Платформа: Windows
- Версия: 1.6
Import REConstructor - программа позволяет восстанавливать зашифрованную таблицу импорта. Он реконструирует новый дескриптор импорта изображения (IID), таблицу массива импорта (IAT) и все имена модулей и функций ASCII. Также есть функция внедрения в исполняемый файл загрузчика.
Утилита не предназначена для новичков и поэтому перед использованием тебе стоит ознакомиться с ручной распаковкой PE-файлов. В дополнении может вести лог для дальнейшей работы.
Официальный сайт автора:
Ссылка скрыта от гостей
PEStudio
- Платформа: Любая
- Версия: 9.20
PEStudio - небольшая утилита цель которой искать артефакты в исполняемых файлах. Она ускоряет и упрощает начальную оценку цели для дальнейшей работы. Этот инструмент используется группами реагирования на компьютерные чрезвычайные ситуации (CERT), центрами обеспечения безопасности (SOC) и лабораториями цифровой криминалистики по всему миру.
Такая программа поможет тебе быстро реагировать на подозрительную активность файла, а также сможет выдать информацию касательно модулей и других объектов.
Официальный сайт автора:
Ссылка скрыта от гостей
PEview
- Платформа: Windows
- Версия: 0.9.9
PEview - компактная утилита, которая обеспечит тебе быстрый и простой способ просмотра структуры и содержимого 32-битных файлов. Он отображает заголовок, раздел, каталог, таблицу импорта и экспорта. Также дает дополнительно информацию о ресурсах в EXE, DLL, OBJ и других типах файлов.
Программа находится на стадии разработки и идет к продвижению 64-битных файлов. Это делается с целью завершения утилиты до конечной версии 1.0. Но в работе с файлами утилита сможет стать решающей и поэтому недооценивать ее способности не стоит.
Официальный сайт автора:
Ссылка скрыта от гостей
Resource Hacker
- Платформа: Любая
- Версия: 5.1.8
Resource Hacker - популярная во всем мире программа для извлечения, редактирования и просмотра ресурсов PE-файлов. Имеет два режима работы. В консоли и с использованием пользовательского интерфейса. Последние известные изменения программы датируются 20 ноябрем 2020 года.
Для работы такая утилита редко пригодиться, но все же для мелких задач она будет очень полезна.
Официальный сайт автора:
Ссылка скрыта от гостей
На этом статический анализ завершается. Все программы ты сможешь скачать по ссылки, которая находится в конце статьи. Поэтому дальше я расскажу про программы динамического анализа.
Динамический анализ
Здесь в отличие от статического анализа все гораздо сложнее ведь программы придется запускать и анализировать их в реальном времени. Следить за каждым действием и отслеживатьлюбую передаваемую информацию.
dnSpy
- Платформа: Любая
- Версия: 6.1.8
dnSpy - один из знаменитых утилит для отладки и редактирования сборок .NET. Он включает в себя декомпилятор, отладчик и редактор сборки. Предоставляет доступ к легкому чтению файлов без сбоек и других ошибок, которые часто мешают работе. К счастью имеет русскую локализацию и очень понятный интерфейс. Написана полностью на C#.
dnSpy незаменимая утилита в динамическом анализе. Одна из самых мощных утилит в своем деле всегда поможет в реверсе сложных программ. Поэтому для тебя эта вещь может быть одной из самых ценных.
Исходный код программы: Github
Explorer Suite
- Платформа: Windows
- Версия: 3.0.0
Explorer Suite - набор инструментов, включающий редактор PE под названием CFF Explorer (на скриншоте выше) и средство просмотра процессов. Полностью поддерживает 32-битную и 64-битную систему. Описание и модификация специальных полей (поддерживается .NET), утилиты, перестройщик, шестнадцатеричный редактор, сумматор импорта, сканер подписей, менеджер подписей, поддержка расширений, сценарии, дизассемблер, обходчик зависимостей и т. д это все входит в набор.
Полный анализ набор не заменит, но сможет найти зацепки, которые не заметит другой софт.
Официальный сайт автора:
Ссылка скрыта от гостей
OllyDbg
- Платформа: Windows
- Версия: 2.1.0.4
OllyDbg - бесплатный 32-битный отладчик файлов до уровня ассемблера. Анализирует и модифицирует откомпилированные файлы, библиотеки. Есть дополнительные плагины для расширения функционала. Отладчик работает на 3 уровне защитного кольца.
Если ты начинающий реверсер, то такой софт тебе сильно облегчит жизнь и станет спутников в первоначальной работе. С ним ты сможешь декомпилировать самые простые вирусы и программы.
Официальный сайт автора:
Ссылка скрыта от гостей
Process Explorer
- Платформа: Windows
- Версия: 16.43
Process Explorer - одна из немногих утилит способная узнавать как файл взаимодействует с другими процессами. Какие DLL файлы открывает и что загружает на твой компьютер. Уникальные возможности Process Explorer делают его полезным для отслеживания проблем с версиями DLL или устранения утечек, а также дают представление о том, как работают Windows и приложения.
Такая утилита поможет тебе отслеживать любые действия программы в реальном времени. Так ты сможешь узнать поведение и работу определенных модулей и библиотек.
Официальный сайт автора:
Ссылка скрыта от гостей
Procmon
- Платформа: Windows
- Версия: 3.91
Process Monitor (сокращенно Procmon) - это аналог предыдущей утилиты с другим набором функций. Показывает действия файлов в системе в реальном времени. Включает мощные возможности мониторинга и фильтрации. К примеру запись стеков потоков для каждой операции или надежная запись сведений о процессе, а также ведение журнала времени загрузки для всех операций.
Если тебе не понравился по дизайну или функционалу Process Explorer, то Procmon исправит ситуацию и сможет справиться с требуемой тебе задачей.
Официальный сайт автора:
Ссылка скрыта от гостей
ProFiler
- Платформа: Windows
- Версия: 2.6.2
Cerbero Profiler - условно-бесплатная программа для криминалистического анализа вредоносного ПО. В своем роде это мультитул. Работает с огромным количеством форматов файлов для которых требуется выполнить анализ. Также он способен проверить внутреннюю структуру файла. Способен находить уязвимости в ПО и имеет другие полезные функции.
Незаменимая вещь в работе любого реверсера. Поэтому пропустить этот софт мимо будет грехом. Требует базовые знания в реверс инженерии и не подходит для начинающих пользователей.
Официальный сайт автора:
Ссылка скрыта от гостей
Regshot
- Платформа: Windows
- Версия: 1.9.0
Regshot - небольшая, бесплатная программа с открытым исходным кодом. Позволяет создавать и сравнивать снимки реестра для дальнейшего анализа. Позволяет сохранять изменения в TXT или HTML формате для удобного использования.
Как ты знаешь любой вирус, чтобы закрепиться в системе начнет прописывать себя в реестр Windows, чтобы запускаться вместе с твоей системой. Именно поэтому такая утилита станет незаменимой в такой ситуации.
Исходный код программы:
Ссылка скрыта от гостей
TCPView
- Платформа: Windows
- Версия: 4.17
TCPView - бесплатная программа для просмотра начальных и конечных точек передачи файлов по протоколу TCP и UPD. Здесь можно посмотреть локальный адрес, статус и время. Есть консольная версия приложения Tcpvcon. Утилита разработана компанией Sysinternals и не требует установки, что делает ее удобнее по сравнению с аналогами.
В работе утилита играет важную роль, ведь знать куда и как передает файл информацию бывает очень полезно, особенно в работе с вирусами удаленного доступа, которые в режиме реального времени обмениваются информацией с другим устройством. Из плюсов ее перемещения в виртуальную среду не занимает много времени.
Официальный сайт автора:
Ссылка скрыта от гостей
x64dbg
- Платформа: Windows
- Версия: 0.0.2.5
x64dbg - популярный отладчик для работы с 32 и 64-битными файлами. Полностью открытый исходный код делает программу доступной для модификации. Основная задача это пошаговое выполнение кода. Весь процесс ты можешь визуализировать в график, а также просматривать карту распределения памяти.
Такая утилита становиться основным инструментов в динамическом анализе программ, поэтому такой софт поможет тебе качественно декомпилировать и анализировать код. Конечно, без предварительного анализа поведения малвари запускать код не стоит.
Официальный сайт автора:
Ссылка скрыта от гостей
Wireshark
- Платформа: Любая
- Версия: 3.7.1
Wireshark - программа для анализа сетевого трафика. Позволяет перехватывать и модифицировать пакеты данных, проходящие через твой компьютер. Имеет пользовательский интерфейс написанный на Qt. Первоначальное название продукта было Ethereal. Последние обновление было 27 июня 2020 года.
Для перехвата и анализа информации такая программа станет незаменимой и поможет тебе узнать, что и куда программа передает при работе. Из минусов Wireshark требует установки.
Официальный сайт автора:
Ссылка скрыта от гостей
Подводим итоги
В этой статье я коротко описал топ-20 утилит для реверса программ и надеюсь, что это поможет тебе в дальнейшем декомпилировании и анализе вредоносных программ. Многие из описанных мною продуктов требуют от пользователя базовых знаний в этой сфере для полноценной работы. Также хочу отметить, что список всех программ может быть продолжен, так как я описал лишь ту часть, с которой работаю лично я.
Последнее редактирование модератором:
