Статья подготовлена для студентов курса «Реверс-инжиниринг» в образовательном проекте OTUS.
У каждого, кто профессионально занимается реверс-инжинирингом, есть собственный набор используемых программ. В этой статье мы расскажем об инструментах, которые сегодня наиболее популярны и широко применяются опытными аналитиками, работающими в вирусных лабораториях.
WinDbg
Любой реверс-инженер имеет в арсенале отладчики, ведь отладка приложений — неотъемлемая часть процесса исследования. На сегодняшний день одно из важных требований к отладчику — поддержка архитектуры Intel как x86, так и x64. При этом инструмент должен уметь вскрывать драйверы вирусов и работать в режиме ядра, когда возникает необходимость поиска уязвимостей нулевого дна в ядре операционной системы.
Всем этим требованиям отвечает WinDbg. Если нужно отлаживать драйвер либо ядро, ему действительно сложно найти замену. Он поддерживается Microsoft и включён в состав WDK (Windows Driver Kit). Считается одним из самых мощных и актуальных средств отладки кода ядра. Да, в нём вы не найдёте такого приятного интерфейса, как, например, в x64dbg, зато WinDbg может выполнять отладку в режиме kernel mode.
Программа поддерживает удалённую отладку и может скачивать отладочные символы с серверов Microsoft напрямую. Для ускорения настройки при отладке ядра операционных систем внутри виртуальных машин, есть специальная надстройка VirtualKD. Бытует мнение, что программа WinDbg противопоказана начинающим, зато просто необходима опытным реверс-инженерам.
И именно в WinDbg вы сможете посмотреть, как выглядят различные системные структуры, а если потребуется — без проблем дизассемблировать функции NTAPI. Безусловно, можно отлаживать и вполне обычные приложения, но стоит ли распаковывать столь мощный инструмент по пустякам?
IDA Disassembler
Сложно представить реверс без отладчиков и так же сложно это сделать без инструментов для статического анализа кода — дизассемблеров. Признанный стандарт антивирусных лабораторий сегодня — IDA Pro. Второе место у Radare2. Это, так сказать, фавориты, но есть и другие.
Вообще, существуют 2 версии IDA — бесплатная (Starter) и платная — (вышеупомянутая Pro). Первая урезана по числу поддерживаемых архитектур (понимает лишь x86) и не поддерживает плагины. Платная этих неприятных ограничений лишена.
Кстати, в IDA встроен отладчик, который довольно прост по набору функций и имеет самобытный интерфейс. Также IDA можно укомплектовать дополнением Hex-Rays — это декомпилятор исходного кода приложения в код на C. Довольно полезное дополнение, значительно ускоряющее анализ программы.
Подводя итоги, можно сказать, что IDA — мощный и проверенный инструмент, который развивался и совершенствовался не один год. Правда, профессиональная версия стоит довольно дорого (от 500 до 1000 $ в зависимости от вида лицензии).
Wireshark
Популярная программа для анализа трафика в режиме реального времени. Позволяет просматривать весь проходящий трафик с помощью широковещательного режима сетевой карты. Имеет ряд плюсов:
— возможность сортировки и фильтрации информации;
— поддержка широкого списка сетевых протоколов: HTTP, ICQ, IPV6, MOUNT, NETBIOS, NFS, DNS, POP, PPP, TCP, FDDI, FTP, IPX, IRC, MAPI, NNTP, TELNET, X25;
— возможность анализа трафика в разных компьютерных сетях (PPP, Token-Ring, Ethernet, FDDI и пр.);
— способность перехватывать трафик в реальном времени;
— есть функция сохранения и просмотра ранее сохранённого трафика;
— способность досконального анализа сетевых пакетов с отображением значений каждого поля протокола любого уровня;
— возможность работы с разными форматами входных данных и умение открывать файлы, захваченные другими программами;
— способность импортировать и экспортировать данные из других пакетных анализаторов.
Если вас интересуют детали практического применения этих инструментов, записывайтесь на наш курс «Реверс-инжиниринг». В частности, вышеупомянутой теме посвящён седьмой модуль занятий. Убедиться в этом самостоятельно вы можете, скачав подробную программу курса в формате PDF по ссылке.