ABA
יומן פעילות לוח שנה מבזקי חדשות תקנון RSS כותרות כותרות לפי תגובה ניקוי קוקיז IP להורדת אפליקציה


"איך אני יכול לחקור קובץ .exe בכדי לראות את הקוד שלו? (view-source)"
גירסת הדפסה        
קבוצות דיון חומרה, רשתות ואבטחת מידע נושא #26050 מנהל    סגן המנהל    מפקח   Winner    צל"ש   מומחה  
אשכול מספר 26050
Nikolay6
חבר מתאריך 6.1.18
205 הודעות, דרג אמינות חבר זה 		   23:58   20.07.20   
אל הפורום  
  איך אני יכול לחקור קובץ .exe בכדי לראות את הקוד שלו? (view-source)  
 
   כמו שאפשר לעשות view-source לאתרים ולראות את הקוד שלהם. כמו שאני גם יכול לראות את הקוד מאחורי קבצי .bat וקבצי .reg אני רוצה לדעת אם יש דרך שאוכל לראות את הקוד מאחורי .exe?
יש אפשרות?
ניסיתי מקש ימני פתח כ
זה לא עובד טוב ולדעתי זו לא הדרך שאני מחפש כל כך. גם אם מלאצים לפתוח בכתבן/מסמך טקסט
זה מבולבל ולא מסודר. סוג של ג'יבריש.
יש אולי תוכנה שעושה את זה די בקלות? עם ממשק גרפי, ומסדרת לי את הקוד בצורה מסודרת
על מנת שאוכל לראות ולהחליט בעצמי אם אני מחליט להריץ את אותו .exe אחרי שעברתי ובחנתי את הקוד שלו?


                                שתף        
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

  האשכול     מחבר     תאריך כתיבה     מספר  
  מה שאתה מחפש זה reverse engineer אל תצפה לקבל קוד קריא פרוס לפניך b0rg  21.07.20 00:11 1
     B0RG, מצלצל לי מוכר המונח הזה. אני זוכר פעם שהייתה אפשרות כן לראות קוד Nikolay6 21.07.20 01:02 2
         אתה צריך תוכנה מסוג Hex Editor kobe229 21.07.20 01:22 3
             איך שאומרים הידע שלך לא יסולא בפז. בדיוק לשם כיוונתי. בוודאי שבטח יש עוד פתרונות Nikolay6 21.07.20 01:32 4
             Sandboxie שמעתי בעבר (מדובר בתוכנות וותיקות מאוד בתחום, תקן אותי. אני די בטוח) Nikolay6 21.07.20 01:36 5
                 כן, כולן מאוד ותיקות (ותודה על על המחמאות!) kobe229 21.07.20 02:27 6
                     יש הרבה עבודה. תודה רבה. Nikolay6 21.07.20 02:41 7
  אתה צריך decompiler אבל עדיין לא תקבל קוד קריא חוצה גם באדום 21.07.20 06:46 8
  בדיליי אופנתי vfree 27.07.20 10:36 9
     +1 כובען  27.07.20 15:30 11
     עדיין משתמש עם OLLY? Moshe4PRO 27.07.20 20:01 12
         צודק vfree 27.07.20 21:13 13
  אם זה נכתב ב-.net אז DNSPY יעשה את העבודה. SilverArt 27.07.20 15:16 10

       
b0rg 
חבר מתאריך 9.2.10
6272 הודעות		   00:11   21.07.20   
אל הפורום  
  1. מה שאתה מחפש זה reverse engineer אל תצפה לקבל קוד קריא פרוס לפניך  
בתגובה להודעה מספר 0
 
  


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
Nikolay6
חבר מתאריך 6.1.18
205 הודעות, דרג אמינות חבר זה 		   01:02   21.07.20   
אל הפורום  
  2. B0RG, מצלצל לי מוכר המונח הזה. אני זוכר פעם שהייתה אפשרות כן לראות קוד  
בתגובה להודעה מספר 1
 
   דווקא של קבצי .exe, של תוכנות. מבלי לעבוד יותר מדי. פשוט לפתוח את ה.exe בתוכנה כל שהיא להצגה.
אני מדבר על לא מעט שנים אחורה ואני כבר לא זוכר (בסביבות 2005-08 לדעתי).

אני לא מנסה להעתיק קוד של תוכנה על מנת לייצר תוכנה מתחרת. גילוי נאות: אין לי מושג אפילו איך לכתוב מחשבון.

אני כן רוצה מדי פעם כשאני חושד ומוריד ממקומות מפוקפקים (התשובה היא פשוט - אל, אבל אני מתעקש, ילד גדול והכל בסדר - על אחריותי. אני רק רוצה שתהיה לי היכולת) שתהיה לי דרך לעבור על הקוד לזהות דברים חשודים (אני יודע ואדע איך לזהות, יש לי גם למי להעביר את הקוד לבדיקה אם צריך).

יש לך איך לכוון אותי בכלי שיוכל לעזור לי לקרוא את הקוד בצורה הקלה והנוחה ביותר?
סוג של כתבן לקריאת מסמכי טקסט. אז דמוי כתבן (להמחשה) רק שלא לקבצי טקסט אלא .exe

תודה

@b0rg@


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
kobe229 לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 2.12.17
3776 הודעות, 4 פידבק, 8 נקודות		   01:22   21.07.20   
אל הפורום  
  3. אתה צריך תוכנה מסוג Hex Editor  
בתגובה להודעה מספר 2
 
   ערכתי לאחרונה בתאריך 21.07.20 בשעה 01:33 בברכה, kobe229
 
כגון זאת:
https://mh-nexus.de/en/hxd/
ותוכנה המראה את המשאבים של הקובץ גם יכולה להיות שימושית:
http://www.angusj.com/resourcehacker/

קח בחשבון אבל שהדברים האלה לא 100% (כי יש כל מני תוכנות דחיסה/הצפנה לאפליקציות שמסתירות היטב את קוד המקור שלהם). בנוסף, אתה יכול גם להריץ תוכנות חשודות באמולטור מבודד (כגון Sandboxie) ויש גם אפליקציות מקוונות בעניין (חפש online sandbox analysis כדי למצוא אותן) בנוסף, אתה יכול גם להתקין מערכת הפעלה משנית במכונה וירטואלית (אם Virtualbox) כדי לבדוק דברים, ויש גם את האתר virustotal.com לסריקת הקובץ אם מספר רב של אנטיוירוסים (אבל גם זה לא 100% כמובן).

בכל אופן, בהצלחה.

עריכה: רק כדי להבהיר, במקרה הטוב, אתה תראה את הקוד המקומפל של האפליקציה הספציפית, ולא את הקוד מקור ששומש לכתוב אותה (שזה דבר שאתה לא יכול לגמרי לפענח)


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
Nikolay6
חבר מתאריך 6.1.18
205 הודעות, דרג אמינות חבר זה 		   01:32   21.07.20   
אל הפורום  
  4. איך שאומרים הידע שלך לא יסולא בפז. בדיוק לשם כיוונתי. בוודאי שבטח יש עוד פתרונות  
בתגובה להודעה מספר 3
 
   ואפשרויות אחרים ואם ירצו לשתף אין לי בעיה. מה ששיתפת מעולה לי.
זו גם התוכנה שהיית לי אי שם בשנות ה
resourcehacker.


נכס לפורום. חד משמעית.


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
Nikolay6
חבר מתאריך 6.1.18
205 הודעות, דרג אמינות חבר זה 		   01:36   21.07.20   
אל הפורום  
  5. Sandboxie שמעתי בעבר (מדובר בתוכנות וותיקות מאוד בתחום, תקן אותי. אני די בטוח)  
בתגובה להודעה מספר 3
 
   אולי אפילו יצא לי להשתמש פעם פעמיים ומחקתי.
אהבתי את הסלוגן שלהם: Trust No Program


האם מספיק להתקין אותה, ואני פשוט פותח שם תוכנות בלי חשש?
בעצם אז למה שאנשים יתקינו מכונה וירטואלית, ולא את Sandboxie, זה נראה פתרון מושלם. יש לה חסרון/מגבלות?

אני כבר לא זוכר אותה עברו לא מעט שנים. טוב שהזכרת את זה על הדרך - זה בדיוק מה שהייתי צריך (בנוסף לבקשה המקורית שלי). כל הכבוד על הגדלת הראש.


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
kobe229 לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 2.12.17
3776 הודעות, 4 פידבק, 8 נקודות		   02:27   21.07.20   
אל הפורום  
  6. כן, כולן מאוד ותיקות (ותודה על על המחמאות!)  
בתגובה להודעה מספר 5
 
   בכל אופן, יש לSandboxie יתרונות וחסרונות. כברירת מחדל, כל אפליקציה מקבלת גישה לאינטרנט, וגם לקריאת ערכי הרישום (את הגישה לאינטרנט ניתן לבטל, אבל לא את הגישה לערכי הרישום, אלא רק להוסיף ערכים ספציפיים לחסימה). שימוש במכונה וירטואלית נותן בידוד טוב יותר. אבל כדי להוסיף כמה דברים נוספים לאוסף:

יש מספר תוכנות המסוגלות לזהות אם האפליקציה נדחסה/הוגנה:
http://exeinfo.byethost18.com
http://http://www.rdgsoft.net
http://ntinfo.biz/index.html

ויש גם את StudPE שמראה כל מני מידע שימושי:
https://www.cgsoftlabs.ro/studpe.html

יש את Process Monitor שעוקבת אחרי פעילות של קריאה/כתיבה למערכת קבצים וערכי רישום (ומאפשרת גם לשים פילטרים שונים ע"מ לקבל תוצאות יותר נקיות):
https://docs.microsoft.com/en-us/sysinternals/downloads/procmon
זה שימושי לכל מני דברים, לדוגמא, אפשר לשים פילטר לכתיבת קבצים, ולזהות ככה אם יש קילוגר.

יש גם Process Explorer (מנהל משימות שהרבה יותר שימושי מזה שמובנה בוינדוס):
https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer

יש את TCPEYE שמראה לך את פעילות הרשת בזמן אמת (איזה תהליכים מחוברים לאיפה):
https://www.softpedia.com/get/Network-Tools/Network-Monitoring/TCPEye.shtml

יש את GMER (שיכולה להראות לך תהליכים/ערכי רישום מוסתרים במידה ויש רוטקיט):
http://www.gmer.net/

ויש גם את Wireshark לניתוח מעמיק של התעבורה ברשת:
https://www.wireshark.org/

תהנה


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
Nikolay6
חבר מתאריך 6.1.18
205 הודעות, דרג אמינות חבר זה 		   02:41   21.07.20   
אל הפורום  
  7. יש הרבה עבודה. תודה רבה.  
בתגובה להודעה מספר 6
 
  


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
חוצה גם באדום לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 4.7.15
2717 הודעות, 12 פידבק, 10 נקודות		   06:46   21.07.20   
אל הפורום  
  8. אתה צריך decompiler אבל עדיין לא תקבל קוד קריא  
בתגובה להודעה מספר 0
 
   ודאי לא את המקור שנכתב.

מה שתקבל כנראה לא יגיד לך כלום אא"כ אתה ממש מתמצא באסמבלי וקוד מכונה


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
vfree
חבר מתאריך 27.7.20
22 הודעות, דרג אמינות חבר זה 		   10:36   27.07.20   
אל הפורום  
  9. בדיליי אופנתי  
בתגובה להודעה מספר 0
 
   אם אתה רוצה להחליט האם להריץ קובץ או לא (מניח שאתה חושד שהוא זדוני?) עדיף לך להשתמש בשירותים שמיועדים לכך. אתר מומלץ שיסרוק את הקובץ הוא virustotal.
האתר הוא למעשה sandbox עם אוסף גדול של מנועי אנטי וירוס שמתעדכנים על בסיס קבוע עם שלל סריקות נוספות.
אתה יכול להרים sandbox בעצמך בשביל התחביב, cuckoo די פשוט עם הרבה מדריכים.
אם אתה רוצה לראות את הקוד בעיניים העניינים מסתבכים.
אתה תוכל לראות לכל קובץ .exe את קוד ה- assembly שלו. אני אוהב ollydbg. יש גם windbg שמאד נפוץ בתחום. עם שניהם תוכל לדבג (debug) את הקוד, לראשון disassembler יותר נוח.
במידה וקוד האסמבלי לא מספיק ואתה ממש רוצה להמיר אותו ל-c יש אפשרות.
הכלי שיעשה לך את ה-decompilation הוא IDA האגדי. הגרסא עם ה-decompiler עולה הרבה כסף.
יש לה מתחרה סביר מבית- NSA שנקרא Ghidra. הכלי הוא opensource וניתן להוריד מ-github. הוא מכיל decompiler מובנה ברמה די טובה.
אם הקובץ הוא לא PE י(portable executable) רגיל אלא שפת ביניים (.NET, Java) יש אפשרות כן לראות את קוד המקור.
אם זה נכתב ב- .NET אפשר להשתמש ב-reflectorים למיניהם (ILSpy).
אם זה נכתב ב- Java יש JADX (כולל אפליקציות לאנדרואיד).

יש אלטרנטיבות כמעט לכל כלי שציינתי, אבל זה יקצר לך את הזמן על להתברבר מה הכלי המתאים.
זה היה על קצה המזלג, מקווה שלקחת מזה משהו.


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
כובען  לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 2.3.10
25341 הודעות, 21 פידבק, 10 נקודות		   15:30   27.07.20   
אל הפורום  
  11. +1  
בתגובה להודעה מספר 9
 
  


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
Moshe4PRO
חבר מתאריך 26.6.16
707 הודעות, דרג אמינות חבר זה 		   20:01   27.07.20   
אל הפורום  
  12. עדיין משתמש עם OLLY?  
בתגובה להודעה מספר 9
 
   למה לא עובר ל X64DBG?

@vfree@


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
vfree
חבר מתאריך 27.7.20
22 הודעות, דרג אמינות חבר זה 		   21:13   27.07.20   
אל הפורום  
  13. צודק  
בתגובה להודעה מספר 12
 
   אתה צודק. ווינדוס זה לא הצד החזק שלי 😅


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
SilverArt
חבר מתאריך 26.11.04
16173 הודעות		   15:16   27.07.20   
אל הפורום  
  10. אם זה נכתב ב-.net אז DNSPY יעשה את העבודה.  
בתגובה להודעה מספר 0
 
   https://github.com/0xd4d/dnSpy
עובד עם C# ו-VB.NET

אם לא, אז קודם כל תבדוק באיזה שפה זה נכתב, ואז תחפש Decompiler.


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

תגובה מהירה  למכתב מספר: 
 
___________________________________________________________________

___________________________________________________________________
למנהלים:  נעל | תייק בארכיון | מחק | העבר לפורום אחר | מחק תגובות | עגן אשכול
       
דרג לפי חשיבות הנושא  דרג לפי חשיבות הנושא   



© כל הזכויות שמורות ל-רוטר.נט בע"מ rotter.net