Avast sort RetDec, son décompilateur de code

Table des matières

L'un des poids lourds dans le domaine des antivirus est le célèbre Avast. L'entreprise, toujours soucieuse de la sécurité et de la protection des ordinateurs de ses clients contre les attaques et les menaces, fait ses débuts.

Il vient de sortir un décompilateur de code machine "RetDec" en tant qu'outil open source pour le public. Les entreprises ne divulguent généralement pas les outils qu'elles utilisent pour analyser le code et enquêter sur les cybermenaces. Mais dans ce cas, nous constatons qu'Avast a publié en plus du décompilateur RetDec, le code source complet.

A quoi sert un décompilateur ?
Ce qu'un décompilateur fait, c'est prendre un fichier exécutable en entrée du code source, c'est-à-dire qu'il convertit le code source en fichiers exécutables.

De cette façon, il est beaucoup plus facile de comprendre comment fonctionne une menace ou un programme spécifique. Les décompilateurs de code ne sont pas précis à 100 %, il peut donc être facile de comprendre le fonctionnement d'un fichier ou d'une menace.

Principales caractéristiques de RetDec
Ce décompilateur de code machine open source est basé sur LLVM. Il n'est limité à aucune architecture cible, S.O ou format de fichier.

fonctionnalités

  • Analyse statique des fichiers exécutables avec des informations détaillées
  • Créer et découvrir des conditionneurs
  • Charge de décodage et instructions
  • Suppression basée sur la signature du code de bibliothèque lié de manière statique
  • Extraction et utilisation des informations de débogage (DWARF, PDB)
  • Reconstruction des idiomes pédagogiques
  • Détection et reconstruction des hiérarchies de classes C++ (RTTI, vtables)
  • Déplacement des symboles des binaires C++ (GCC, MSVC, Borland)
  • Reconstruction des fonctions, des types et des constructions de haut niveau
  • Désassembleur intégré
  • Sortie dans deux langages de haut niveau : C et un langage Python
  • Génération de graphiques d'appels, de graphiques de contrôle de flux et de diverses statistiques
  • Vous pouvez tester toutes ces fonctionnalités en utilisant notre service de décompilation en ligne

Nous constatons que les formats de fichiers pris en charge sont : ELF, PE, Mach-O, COFF, AR (fichier), Intel HEX et code machine brut.

Les architectures prises en charge sont : (32b uniquement) : Intel x86, ARM, MIPS, PIC32 et PowerPC.

Si nous voulons tester cet outil, nous pouvons le faire via GitHub. C'est un programme qui est disponible pour les utilisateurs 32 bits et 64 bits sous Windows. Pour les utilisateurs Linux et Mac, cet outil peut être utilisé mais doit être activé manuellement.

La source: Déc.Ret

wave wave wave wave wave