Можно ли "декомпилировать" Windows .exe? Или хотя бы посмотреть сборку?

Отличная публикация psoul отвечает на ваш вопрос, поэтому я не буду повторять его хорошую работу, но я чувствую, что это поможет объяснить, почему это одновременно совершенно правильный, но также и ужасно глупый вопрос. В конце концов, это место, чтобы учиться, верно?

Современные компьютерные программы производятся путем серии преобразований, начиная с ввода понятного человеку текста текстовых инструкций (называемого "исходным кодом") и заканчивая машиночитаемым набором инструкций (называемых альтернативно "двоичным" или "машинным"). код").

Способ, которым компьютер выполняет набор инструкций машинного кода, в конечном итоге очень прост. Каждое действие, которое может выполнить процессор (например, чтение из памяти, добавление двух значений), представлено числовым кодом. Если бы я сказал вам, что цифра 1 означала крик, а цифра 2 означала хихиканье, а затем поднял карты с цифрами 1 или 2, ожидая, что вы будете кричать или хихикать соответственно, я бы использовал ту же систему, что и компьютер. работать.

Бинарный файл - это просто набор этих кодов (обычно называемых "кодами операций") и информацией ("аргументами"), на которые действуют коды операций.

Теперь ассемблер - это компьютерный язык, где каждое командное слово в языке представляет ровно один код операции на процессоре. Существует прямая трансляция 1:1 между командой на языке ассемблера и кодом операции процессора. Вот почему сборка кодирования для процессора x386 отличается от сборки кодирования для процессора ARM.

Разборка - это просто: программа читает двоичный код (машинный код), заменяя коды операций эквивалентными командами на языке ассемблера, и выводит результат в виде текстового файла. Это важно понимать; если ваш компьютер может читать двоичный файл, то вы можете также прочитать двоичный файл, либо вручную с таблицей кода операции в руке (ick), либо через дизассемблер.

У дизассемблеров есть несколько новых приемов и все такое, но важно понимать, что дизассемблер - это в конечном итоге механизм поиска и замены. Вот почему любое EULA, которое запрещает это, в конечном итоге дует горячим воздухом. Вы не можете сразу разрешить компьютеру читать данные программы, а также запретить компьютеру читать данные программы.

(Не поймите меня неправильно, были попытки сделать это. Они работают так же, как DRM для файлов песен.)

Тем не менее, существуют предостережения в отношении подхода к разборке. Имена переменных не существуют; такая вещь не существует для вашего процессора. Библиотечные вызовы запутаны до чертиков и часто требуют разборки дополнительных двоичных файлов. И сборка трудна для чтения в самых лучших условиях.

Большинство профессиональных программистов не могут сидеть и читать на ассемблере без головной боли. Для любителя это просто не произойдет.

Во всяком случае, это несколько затуманенное объяснение, но я надеюсь, что это поможет. Каждый может смело исправлять любые искажения с моей стороны; Прошло много времени.;)

Хорошие новости. IDA Pro на самом деле бесплатно для своих старых версий: http://www.hex-rays.com/idapro/idadownfreeware.htm

x64dbg хороший отладчик с открытым исходным кодом, который активно поддерживается.

Я бы сказал, что в 2019 году стоит попробовать Ghidra (https://ghidra-sre.org/). Это открытый исходный код (и бесплатный), и он обладает феноменальными возможностями анализа кода, включая возможность полностью декомпилировать код C.

Любой приличный отладчик может сделать это. Попробуйте OllyDbg. (edit: у которого есть отличный дизассемблер, который даже декодирует параметры для вызовов WinAPI!)

Если вы просто пытаетесь выяснить, что делает вредоносная программа, может быть гораздо проще запустить ее под чем-то вроде бесплатного инструмента Process Monitor, который будет сообщать всякий раз, когда он пытается получить доступ к файловой системе, реестру, портам и т. Д.

Кроме того, использование виртуальной машины, такой как бесплатный сервер VMWare, очень полезно для такой работы. Вы можете создать "чистое" изображение, а затем просто возвращаться к нему при каждом запуске вредоносной программы.

Конечно, посмотрите на IDA Pro. Они предлагают версию eval, так что вы можете попробовать ее.

То, что вы хотите, это тип программного обеспечения под названием "дизассемблер".

Быстрый Google дает это: http://www.geocities.com/~sangcho/disasm.html

Вы можете получить некоторую информацию, просматривая ее в сборке, но я думаю, что проще всего запустить виртуальную машину и посмотреть, что она делает. Убедитесь, что у вас нет открытых акций или чего-то в этом роде;)

Я не могу поверить, что никто еще ничего не сказал об Immunity Debugger.

Immunity Debugger - это мощный инструмент для написания эксплойтов, анализа вредоносных программ и анализа бинарных файлов. Первоначально он был основан на исходном коде Ollydbg 1.0, но с исправленной ошибкой восстановления имен. Он имеет хорошо поддерживаемый Python API для легкой расширяемости, поэтому вы можете написать свои скрипты Python, которые помогут вам в анализе.

Кроме того, есть хороший Питер из команды Corelan, который называется mona.py, отличный инструмент между прочим.

Бумеранг также стоит проверить.

Вы можете использовать dotPeek, очень хорошо для декомпиляции исполняемого файла. Это свободно.

https://www.jetbrains.com/decompiler/

Если вы хотите запустить программу, чтобы увидеть, что она делает, не заражая ваш компьютер, используйте ее с виртуальной машиной, такой как VMWare или Microsoft VPC, или с программой, которая может изолировать изолированную программную среду от SandboxIE.

Если у вас нет времени, отправьте вредоносное ПО на cwsandbox:

http://www.cwsandbox.org/

http://jon.oberheide.org/blog/2008/01/15/detecting-and-evading-cwsandbox/

НТН

Комплект Explorer может делать то, что вы хотите.