Авторская статья Знакомство с Reverse Engineering.

[danaforevr]

Конкурс статей от VLMI​

Всем привет! В данной статье мы с вами познакомимся с Reverse Engineering,узнаем, что это и с чем его едят и среверсим простую программу.

Что такое Reverse Engineering?​

Reverse Engineering(также обратная разработка) - это процесс разбора программы. Так программисты компилируют свой код в приложение,а реверсеры из готового приложения достают исходный код. Целей для этого может быть куча,понять как устроена программа,украсть чьи то разработки,т.д. Так разобрать можно абсолютно любую программу,на любом языке(это может быть довольно сложно))

Программы, которые используются в Reverse Engineering​

1. DetectItEasy/PEiD/ExeInfo - программы для анализа исполняемых файлов.
   Эти программы дают нам информацию про то, чем была скомпилирована программа; язык написания; стоит ли защита от вскрытия(протектор), если да,то какая; ...
   
2. DnSpy/IDA/OllyDbg - программы для обратного программирования, разбора приложений.
   Эти программы дают нам возможность декомпилировать приложения, это очень слабо сказано. Возможности у этих программ очень большие и описывать все будет очень долго)
   
3. MegaDumper - программа для создания копии запущенной,распакованной программы.
   Данная программа и ее аналоги дают нам возможность сделать слепок запущенной программы.
   
4. D4dot/ConfuserDeobfuscator - программы для снятия протекторов/обфускаторов/защиты от декомпиляции.
   Так разработчики для спасения от вскрытия программы ставят на них защиту - протекторы. Данные программы дают возможность нам снять защиту с приложения.
   

Список можно продолжать еще довольно долго,но на этом мы с вами остановимся.

Пример реверсинга программы написанной на c#​

С помощью гугла нашел паблик с "читами" на игру "контра сити". Под видом читов здесь распостраняют разные вирусы.
Для нас это идеальный вариант поупражняться в реверсинге. В паблике с любого поста качаем наш "чит".

Суем наше приложение в DetectItEasy/Аналог и получаем про него информацию.

И нам сразу стает ясно,что это просто SFX архив,который мы распаковываем и получаем файл,который мы также суем в DIE

Мы узнаем,что данный exeшник не накрыт никаким протектором и разработан на библиотеке .NET 4. Для данной библиотеки
отлично использовать декомпилятор DnSpy. Отправляем exe в декомпилятор(просто перетаскиваем его в DnSpy).
И получаем полный исходный код этой программы на C#. Если присмотреться к сути,то это стиллер.

Это был самый простой пример реверса программы.

Заключение​

Вот мы с вами получили самые базовые,основные знания про реверс.
Думаю позже напишу вторую статью,где мы ближе познакомимся со снятием протекторов и с программой IDA.
Я старался излагать свои мысли так,чтобы всем новичкам было максимально понятно)
Это была моя первая авторская статья и попрошу вас указать на ошибки и предложения по улучшению)
_________________________________________________________________________________________________
ВСЯ ИНФОРМАЦИЯ НАПИСАНА В ЦЕЛЯХ ОЗНАКОМЛЕНИЯ И НЕ ПРИЗЫВАЕТ К ДЕЙСТВИЮ , АВТОР НЕ НЕСЕТ ОТВЕТСТВЕННОСТИ ЗА ИСПОЛЬЗОВАНИЕ ДАННОГО МАТЕРИАЛА)

Вся информация написана в целях ознакомления,автор не несет ответственность за использование данного материала)

Внимание

 

[ims0rry]

Что-то знакомое...)

 

[danaforevr]

Посмотреть вложение 10998
Что-то знакомое...)

После того как ты его слил,куча "хакеров" начали его компилировать засовывать в sfx архив и распространять)
Куда не плюнь,везде NoFile)

 

[ReQ]

Для использования на linux эти программы подходят?

 

[danaforevr]

Для использования на linux эти программы подходят?

DetectItEasy для linux есть.
Остальных программ думаю,что нету. Но возможно их можно запустить через WINE.
Но все это на уровне моих предположений, нужно тестить)

 

[ATAR1]

Ждем более глубокого погружения)

 

[/.e7z]

Для использования на linux эти программы подходят?

Увы linux не поймет бинарной структуры файлы и не сможет заняться его дизассамблированием.
Под Linux достаточно своего софта для работы с бинарниками основанного на библиотеках этой ОС.

 

[DmitriyPozzitiv]

Люблю этот форум, тонна полезной информации, никакой агрессии и только конструктив. Всегда хотел занять реверсом. э
этой статьей, автор сподвигнул начать разбираться в этом направлении.
Жду продолжения :)

 

[BINNEZ]

Красавчик, хорошая статья, как нибудь попробую по твоему примеру.
P.S.: Не делай такие большие отступы в темах, с телефона нечитабельно. ;)

 

[GentleMan's]

Автору спасибо за статью, достаточно полезная информация!
Всегда хотел попробовать себя в реверсе но никак не мог найти информацию о том какой софт нужен и как его использовать, благодаря автору теперь у меня есть такая возможность)
Продолжай в том же духе!

 

[zHd4]

Исходный код который был изначально востановить не получится, можно получить только схожий код,
а как по мне, этого не хватит, слишком много прийдется разгребать

 

[CRAMP]

Исходный код который был изначально востановить не получится, можно получить только схожий код,
а как по мне, этого не хватит, слишком много прийдется разгребать

попросту в народе дичь.

 

[danaforevr]

Исходный код который был изначально востановить не получится, можно получить только схожий код,
а как по мне, этого не хватит, слишком много прийдется разгребать

Да? То есть по твоему DnSpy из exe создает просто похожий код?
Будет очень интересно,если ты подтвердишь свои слова доказательствами.
И тогда я буду тебе очень благодарен ,возможно я чего то не знаю)

 

[Angell4d2]

Было бы неплохо,еслиб оставил ссылку на все эти программы,ну или хотябы 1 программа по каждому назначению

 

[zHd4]

Да? То есть по твоему DnSpy из exe создает просто похожий код?
Будет очень интересно,если ты подтвердишь свои слова доказательствами.
И тогда я буду тебе очень благодарен ,возможно я чего то не знаю)

подумай сам, как оно востановит код со всеми именами переменных и функций, если при компиляции
они преобразуются в адресса памяти

 

[meke]

подумай сам, как оно востановит код со всеми именами переменных и функций, если при компиляции
они преобразуются в адресса памяти

Так речь же о сишарпе, насколько я понял.

 

[User_67537]

Microsoft Linker(14.13)[EXE32] Как снять эту защиту?

 

[TetrissPlay]

Microsoft Linker(14.13)[EXE32] Как снять эту защиту?

это не защита.....

 

[Buzz666]

Когда в 2018 году постят такую инфу,а в комментах : "Автору спасибо за статью, достаточно полезная информация!" возникает ощущение,что народ деградирует. Интересно какие гайды будут в 2019 году... "Как скачать браузер" , "Как запустить компьютер" , "Как перестать постить мамонтскую дичь"