1. ホーム
  2. デバッギング

[解決済み】Windowsの.exeを「デコンパイル」することは可能ですか?または少なくともアセンブリを表示することはできますか?

2022-03-31 20:10:24

質問

友人がFacebookからマルウェアをダウンロードしたのですが、自分自身に感染することなく、それが何をするのか知りたいと思っています。.exeをデコンパイルすることができないのは知っていますが、少なくともアセンブリで表示したり、デバッガを添付したりすることはできますか?

.NETの実行ファイルではなく、CLIヘッダもないと編集しています。

解決方法は?

を使って デバッガ プログラムアセンブリを対話的に進めることができます。

を使用すると ディスアセンブラ を使えば、プログラムアセンブリをより詳細に見ることができます。

を使用すると デコンパイラ のような無料のツールを使えば、プログラムを部分的なソースコードに戻すことができます。 PEiD - プログラムが梱包されている場合は、最初に解凍する必要があります。 ディテクトイットイージー PEiD がどこにもない場合。DIEには強力な開発者コミュニティがあり ギズーブ 現在)。

デバッガ

  • OllyDbg 無償の32ビットデバッガで、多数のユーザー作成プラグインやスクリプトがあり、より便利に使うことができます。
  • WinDbg マイクロソフトのデバッガで、フリー。WinDbgは他のデバッガよりもデータ構造に詳しいので、Windowsの内部を見るのに特に便利です。
  • ソフトアイス を、SICEを友達に。2006年に商用・開発中止。SoftICEは、OSの下で動作する(起動するとシステム全体を停止させる)ハードコアツールのようなものです。SoftICEは今でも多くのプロフェッショナルに使用されていますが、入手が困難であったり、一部のハードウェア(またはソフトウェア、つまりVistaやNVIDIAのGfxカードでは動作しない)では動作しない可能性があります。

ディスアセンブラ。

  • IDA プロ (商用) - 最高級のディスアセンブラ/デバッガです。マルウェアアナリストなど、ほとんどの専門家が使用している。しかし、かなりの費用がかかります。 無料版 しかし、それはかなりかなり制限されています)
  • W32Dasm (無料) - 少し古いが、仕事はできる。W32Dasm は最近放棄されたソフトウェアで、ユーザーが作成した数多くのハックがあり、非常に便利な機能が追加されていると思います。最適なバージョンを探すには、いろいろと見て回る必要があります。

デコンパイラ

  • ビジュアルベーシックです。 VBデコンパイラ 商用で、ある程度識別可能なバイトコードを生成します。
  • デルファイ デデデ 無料で、良質なソースコードを作成できます。
  • C: 六方晶 同じ会社のIDA Proのプラグインで、商用です。素晴らしい結果を出すが、コストが高いので、誰にでも売れるわけではない(と聞いている)。
  • .NET(C#)です。 ドットピーク .NET 1.0-4.5 のアセンブリを C# にデコンパイルします。.dll、.exe、.zip、.vsix、.nupkg、および .winmd ファイルをサポートします。

あなたがしていることが何であれ、便利な関連ツールは、次のようなリソースエディタです。 リソースハッカー (無料)、および以下のような優れたヘックスエディタがあります。 ヘックスワークショップ (商用)。

さらに、マルウェア解析を行っている(またはSICEを使用している)場合 という仮想マシンの中ですべてを実行することを心からお勧めします。 VMware Workstation . SICEの場合、BSODから実際のシステムを保護し、マルウェアの場合、ターゲットプログラムから実際のシステムを保護することができます。VMwareを用いたマルウェア解析については、以下の記事をご参照ください。 こちら .

個人的には、Olly、WinDbg & W32Dasm、およびいくつかの小さなユーティリティツールを使用しています。

また、ディスアセンブルやデバッグを行う際にも 他の人の は、少なくともEULAに違反します :)