Grazie per A2A. Preferisco questi strumenti per diversi passi del reverse engineering (nei binari di windows PE):
- analisi del target: prima di fare qualsiasi lavoro di reverse engineering dovremmo analizzare il target per ottenere informazioni di base dai binari. preferisco strumenti come PEiD - aldeid e Exeinfo PE per la loro semplicità 🙂 questi strumenti riconoscono quale linguaggio di programmazione ha compilato il binario (ad esempio c++ , delphi, ASM puro e così via) o anche informazioni precise come quale compilatore per quel linguaggio ha fatto questo (ad esempio g++ o il compilatore di Visual Studio o Borland per il linguaggio c++). un'altra caratteristica utile di questo passo è che puoi trovare i binari impacchettati o offuscati vedendo l'output degli strumenti creati per questo scopo come questo:
ti dice che il binario è stato impacchettato con UPX
- disimballaggio: c'è un enorme numero di pacchettizzatori nel mondo con diversi approcci.PE Explorer. che spacchetta automaticamente i file exe compressi UPX quando li apre) ma un vero invertitore deve imparare a spacchettare manualmente i pacchettizzatori sconosciuti (o anche conosciuti). per spacchettare manualmente Import REConstructor è molto utile per ricostruire l'Import Address Table (IAT) del binario spacchettato manualmente e ricostruire il file eseguibile
- analisi statica: preferisco IDA pro per questo passo. perché è molto potente e si può usare anche da linux (è creato con il framework multipiattaforma Qt :D)
- analisi dinamica: preferisco Olly Debugger e anche immunity debugger (perché accetta script python e molto simile a ollyDbg) Olly debugger è davvero molto semplice e potente per i binari PE a 32 bit, ha molte caratteristiche e anche molte persone scrivono utili script per esso.
infine vi suggerisco di leggere questi link per altri strumenti e cose 🙂
un libro davvero pratico che introduce molti strumenti e modi per il reverse engineering => Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software: Michael Sikorski, Andrew Honig: 9781593272906: Amazon.com: Books
lena reverse engineering tutorial per neofiti => Lenas Reversing for Newbies / Downloads