Czy możliwe jest" dekompilowanie " systemu Windows.exe? Albo chociaż obejrzyj Zgromadzenie?

Doskonały post Psoula odpowiada na twoje pytanie, więc nie będę powielał jego dobrej pracy, ale czuję, że pomoże to wyjaśnić, dlaczego jest to od razu całkowicie poprawne, ale też strasznie głupie pytanie. W końcu to jest miejsce do nauki, prawda?

Nowoczesne programy komputerowe są wytwarzane przez szereg konwersji, począwszy od wprowadzania czytelnej dla człowieka instrukcji tekstowej (zwanej "kodem źródłowym"), a skończywszy na czytelnej dla komputera instrukcji (zwanej alternatywnie "binary "lub" machine code").

Sposób, w jaki komputer uruchamia zestaw instrukcji kodu maszynowego, jest ostatecznie bardzo prosty. Każda czynność jaką może wykonać procesor (np. odczyt z pamięci, dodanie dwóch wartości) jest reprezentowana przez kod numeryczny. Gdybym ci powiedział, że liczba 1 oznacza krzyk, a liczba 2 oznacza chichotanie, a następnie trzymane karty z jednym lub dwoma na nich oczekując, że krzyk lub chichotanie odpowiednio, użyłbym tego, co jest zasadniczo tym samym systemem, którego komputer używa do operuj.

Plik binarny jest tylko zbiorem tych kodów (Zwykle nazywanych "kodami op") i informacji ("argumentami"), na których działają kody op.

Język asemblowania jest językiem komputerowym, w którym każde słowo polecenia w języku reprezentuje dokładnie jeden kod operacyjny na procesorze. Istnieje bezpośrednie tłumaczenie 1:1 pomiędzy poleceniem języka asemblacji a kodem operacyjnym procesora. To dlatego zespół kodowania dla procesora x386 różni się od zespołu kodowania dla ramienia procesor.

Demasemblowanie jest po prostu takie: program odczytuje kod binarny (kod maszynowy), zastępując kody op ich odpowiednikami poleceń języka asemblacji i wysyła wynik jako plik tekstowy. Ważne jest, aby to zrozumieć; jeśli twój komputer może odczytać plik binarny, możesz również odczytać plik binarny, albo ręcznie z tabelą kodu op w dłoni (ick) lub za pomocą disassemblera.

Disassemblery mają kilka nowych sztuczek i w ogóle, ale ważne jest, aby zrozumieć że demontaż jest ostatecznie mechanizmem wyszukiwania i wymiany. Dlatego każda EULA, która tego zabrania, ostatecznie wieje gorącym powietrzem. Nie można od razu zezwolić komputerowi na odczyt danych programu, a także zabronić komputerowi odczytywania danych programu.

(nie zrozum mnie źle, były próby, aby to zrobić. Działają tak samo jak DRM na plikach piosenek.)

Istnieją jednak zastrzeżenia do podejścia do demontażu. Nazwy zmiennych nie istnieją; taka rzecz nie istnieje dla Twojego CPU. Wywołania bibliotek są mylące jak diabli i często wymagają demontażu kolejnych plików binarnych. A montaż jest trudny do odczytania w najlepszych warunkach.

Większość profesjonalnych programistów nie potrafi siedzieć i czytać języka asemblera bez bólu głowy. Dla amatora to się nie stanie.

W każdym razie, jest to nieco przekreślone Wyjaśnienie, ale mam nadzieję, że pomoże. Każdy może czuć się swobodnie, aby poprawić wszelkie nieprawidłowości z mojej strony; minęło trochę czasu. ;)

Każdy przyzwoity debuger może to zrobić. Spróbuj OllyDbg . (edit: który ma świetny disassembler, który nawet dekoduje parametry połączeń WinAPI!)

Dobre wieści. IDA Pro jest teraz za darmo dla starszych wersji: http://www.hex-rays.com/idapro/idadownfreeware.htm

x64dbg jest dobrym i otwartym debugerem, który jest aktywnie utrzymywany.

Jasne, spójrz na IDA Pro . Oferują wersję eval, dzięki czemu można ją wypróbować.

Jeśli próbujesz dowiedzieć się, co robi złośliwe oprogramowanie, może być znacznie łatwiejsze uruchomienie go pod czymś takim jak darmowe narzędzie Process Monitor , które będzie raportować za każdym razem, gdy próbuje uzyskać dostęp do systemu plików, rejestru, portów itp...

Również korzystanie z maszyny wirtualnej, takiej jak darmowy serwer VMWare, jest bardzo pomocne w tego rodzaju pracy. Możesz zrobić "czysty" obraz, a następnie wrócić do tego za każdym razem, gdy uruchamiasz złośliwe oprogramowanie.

To, co chcesz, to rodzaj oprogramowania zwanego "Disassemblerem".

Szybkie Google daje to: http://www.geocities.com / ~sangcho/disasm.html

Możesz uzyskać pewne informacje oglądając go w assembly, ale myślę, że najłatwiejszą rzeczą do zrobienia jest odpalenie maszyny wirtualnej i zobaczenie, co ona robi. Upewnij się, że nie masz otwartych akcji ani czegoś takiego, przez co może przeskoczyć;)

Bumerang może być również warty sprawdzenia.

Jeśli chcesz uruchomić program, aby zobaczyć, co robi bez zainfekowania komputera, użyj maszyny wirtualnej, takiej jak VMWare lub Microsoft VPC, lub programu, który może sandbox program jak SandboxIE

Jeśli nie masz czasu, prześlij złośliwe oprogramowanie do cwsandbox:

Http://www.cwsandbox.org/

Http://jon.oberheide.org/blog/2008/01/15/detecting-and-evading-cwsandbox/

HTH

Nie mogę uwierzyć, że nikt nie powiedział nic o Debuggerze immunitetu , jeszcze.

Debugger odporności jest potężnym narzędziem do pisania exploitów, analizowania złośliwego oprogramowania i inżynierii wstecznej plików binarnych. Początkowo był oparty na kodzie źródłowym Ollydbg 1.0, ale z nazwami Poprawiono błąd resoution. Posiada dobrze obsługiwane API Pythona dla łatwej rozszerzalności, dzięki czemu można pisać skrypty Pythona, aby pomóc ci w analizie.

No i jest dobry Piotr z Corelan team napisał called mona.py , excelent tool btw.

Możesz użyć dotPeek, bardzo dobry do dekompilacji pliku exe. Jest za darmo.

Https://www.jetbrains.com/decompiler/

Explorer suite może robić, co chcesz.