Тот, кто хоть раз пытался дизассемблировать мало-мальски серьезную программу, знает, что лучшего инструмента, чем IDA Pro, не найти. Это легко объясняется интеллектуальностью (дизассемблер сам комментирует код и распознает стандартные библиотечные и системные функции), интерактивностью (вы в любой можете прервать процесс дизассемблирования, внести нужные изменения и потом продолжить), поддержкой собственного скриптового языка (IDC), наличием плагинов (позволяющих сэкономить десятки часов исследования) и IDA SDK.
Отладчик по сравнению с дизассемблером часто называют "агрессивной средой", требующей от вас постоянного участия, работы мысли и заставляющей все время принимать решения. Работая с IDA Pro, вы легко убедитесь в данном утверждении: комфорт и функциональность IDA Pro позволяют уйти от вопроса "знаю, что хочу, но не знаю, как этого добиться" и сосредоточиться на проблеме "каким путем достичь необходимого результата, используя возможности IDA Pro".
Но использование дизассемблера требует не только знаний и опыта, оно сопряжено также с массой этических и правовых вопросов. Ни для кого не секрет, что IDA Pro является одним из любимых инструментов взломщиков - людей, крадущих чужие программы.

Сегодня, уважаемый читатель, мы хотим представить вашему вниманию интервью с создателем IDA Pro - Ильфаком Гильфановым (Ilfak Guilfanov).

Интервью

TanaT : Расскажите, пожалуйста, немного о себе.

Ильфак : Так сразу с себя? Ну, попробую. В школу ходил в маленькой деревушке в Татарстане, потом - поступил в Московский Государственный Университет им. Ломоносова на мехмат. Очень интересное место, мне очень повезло, что я учился в окружении многих неординарных людей.

Первые два года были посвящены учебе и еще раз учебе, я узнал кучу нового для себя. Включая компьютеры. Первый компьютер в своей жизни я увидел на втором курсе. В приоткрытой двери Лаборатории Вычислительных Методов на 13 этаже увидел телевизор с буквочками зеленого цвета на экране. Очень удивился, ведь до сих пор телевизоры показывали только картинки, а не текст. Я знал, что где-то существуют ЭВМ, они очень большие и что-то вычисляют, но для чего и как, имел только смутное представление. Этот день, когда я впервые увидел терминал, подключенный к CM-4 (аналог PDP-11), в буквальном смысле изменил мою жизнь - терминалы были очень маленькие, вместо чисел на экране был текст, и все это было рядом, можно было пощупать, понажимать на клавиши...

Я узнал, что текст, так шустро меняющийся на экране, можно менять, и для этого нужно писать "программы". Также есть клавиатура для ввода букв. Можно сделать так, чтобы ЭВМ считала за тебя все, что угодно на свете - от решения квадратных уравнений до генерации простых чисел.

Мне страшно повезло - у нас на мехмате тогда был очень интересный курс по программированию. Этот курс был потом издан в виде учебника его автором, А. Г. Кушниренко, которому я благодарен за его прекрасные лекции и систему обучения. С его участием была написана специальная система для студентов, чтобы научить их основам программирования, именно той сути, самой важной части, без которой программист никогда не напишет хорошие программы. Разработка программного обеспечения для этого курса осуществлялась молодыми сотрудниками ЛВМ Г. В. Лебедевым, А. А. Веденовым, Д. В. Варсанофьевым, А. Г. Дымченко и др. Основу курса составляло не освоение конкретного языка программирования, а изучение основных структур данных и базовых алгоритмов обработки информации. Даже сегодня я бы рекомендовал всем желающим научиться программировать начать именно с него.

В настоящее время я работаю в бельгийской компании Datarescue, основная задача - продолжение работ над дизассемблером, среди других проектов. У меня в помощниках есть 2 молодых программиста, которые тоже работают над проектом. У нас также есть программы, относящиеся к безопасности в Интернете (криптография) и восстановлению данных.

Ильфак Гильфанов, создатель IDA

IDA Pro в действии. Обратите внимание, что имена Win API функций определены корректно

TanaT : А может ли IDA Pro дизассемблировать байт-код Java и управляемый код на MSIL?

Ильфак : Конечно же, IDA дизассемблирует программы на Java или C#. И что примечательно, она может дизассемблировать классы и в очень тяжелых случаях, когда входной файл был испорчен, но все еще работоспособен.


TanaT : Откуда вы почерпнули знания и опыт, так необходимые для разработки такого рода программы?

Ильфак : Про свою учебу в университете я уже рассказал. Опыт пришел со временем. Код, который был написан в начале 90-ых годов, на мой взгляд, далек от совершенства, но он работает, и поэтому мы его пока переписывать не будем.
А знания... Ну, сами знаете, какова жизнь программиста. Известно, что "надо все время бежать, чтобы оставаться на месте". Это изречение, как никакое другое, подходит к программистскому ремеслу. Книжки про языки программирования, про дизайн в целом, про логику и сложные системы... Особо хочу выделить функциональные языки и прочие странности, программировать на которых необязательно, но очень полезно знать. Интересны книги про архитектуру (это та, классическая архитектура, которая со зданиями связана). Они дают основу - здравый смысл, что у каждой программы должен быть фундамент, несущая структура, крыша... Мне нравится архитектор Christopher Alexander с его книгой The Timeless Way of Building.


TanaT : Скрипты для IDA Pro - отличная идея. Как она родилась у вас в голове?

Ильфак : Ну, идея вроде лежит на поверхности? Нет ни одной большой программы, которая бы не позволяла запрограммировать ее тем или иным способом. Честно говоря, мне хотелось написать кусочек компилятора (лексический + синтаксический анализ, как это описано у Ахо и Ульмана), вот скрипты и оказались неплохим поводом. Сегодня я бы не стал писать свой язык, а просто бы подключил имеющиеся, например Perl или Python. Это было бы и проще, и позволило бы большему количеству пользователей писать скрипты.


TanaT : Сейчас уже поздно добавить поддержку эти скриптов языков в IDA? Или нецелесообразно?

Ильфак : Мы сами не планируем поддержку других языков, но любой пользователь IDA может это сделать сам с помощью IDA SDK. Я даже краешком уха слышал про подобные работы для подключения Python к IDA.

IDA Pro это не только дизассемблер, но и отладчик. Можете убедиться, посмотрев на картинку

TanaT : Можете рассказать немного об IDA SDK? Он позволяет писать плагины к IDA самому?

Ильфак : Да, с помощью IDA SDK можно всячески расширять IDA, добавлять новую функциональность, поддержку новых процессоров и платформ. Существует 3 типа дополнительных модулей, которые можно разработать с помощью SDK: это процессорные модули, загрузчики и плагины. Процессорные модули позволяют разбирать программы для новых процессоров. Загрузчики нужны для поддержки новых форматов файлов. И, наконец, плагины позволяют расширить функциональность IDA - это может быть добавление новых команд или же улучшение анализа посредством установления обработчиков событий в IDA.

IDA API является достаточно сложным и богатым API и насчитывает порядка 1000 функций. Мы постарались сделать полностью доступной базу данных IDA и дать полный контроль над анализом. Конечно, такой большой API не так просто освоить. Поэтому в составе SDK есть много примеров реальных модулей из реальной жизни. И опять-таки можно найти примеры в сети.


TanaT : Без сомнения, IDA Pro - самый мощный и гибкий дизассемблер в мире. Вам приятно это осознавать? Чем для вас является IDA Pro: хобби/увлечением или профессиональным продуктом?

Ильфак : Он начался как хобби в далеком 1991 году, просто увлечением для себя и для друзей. И потихоньку вырос во что-то, и это используется многими специалистами по всем мире. Теперь IDA является коммерческой программой, и, естественно, мое отношение к ней поменялось. Параллельно с разработкой IDA мне интересно заниматься другими проектами. Например, проблема восстановления фотографий с цифровых носителей на первый взгляд является простенькой задачей, но для достижения максимальных результатов потребовалось разработать нестандартный алгоритм, и получившаяся программа дает лучшие результаты (данные тестов компьютерных журналов). Работа над Photorescue привела к возникновению нового хобби - цифровой фотографии, так что это хобби может тоже перерасти в профессиональную деятельность, когда-нибудь...


TanaT : Как вы считаете, в каких случаях программисту требуется именно интерактивность IDA? Только тогда, когда код зашифрован?

Ильфак : Не только. Думаю, интерактивность IDA является самой главной ее особенностью. Во-первых, пользователь может мгновенно изменить представление программы на экране, что очень полезно, если автоматический анализ неправильно разобрал функцию. Можно также переименовать функцию или добавить комментарий, и все изменения сразу же видны на экране. Во-вторых, развитая система навигации позволяет найти интересующую часть программы без долгих поисков по листингу.

Анализ программ чем-то схож с разгадыванием кроссвордов: чем больше информации мы имеем, тем проще угадать следующее слово. Чем больше осмысленных имен и комментариев в листинге, тем проще понять логику работы и соответственно переименовать анализируемую функцию. Мы начинаем практически с чистого листа, когда все функции, кроме импортированных, названы, как sub_1234. Такое автоматически сгенерированное имя не дает никакой информации о том, что эта функция делает. Потом, в процессе разбора (я предпочитаю разбор снизу вверх, то есть первыми анализируются функции самого нижнего уровня) мы переименовываем функции, и таким образом делаем листинг более ясным и понятным. Без интерактивности это было бы просто невозможно.

Конечно, интерактивность не всегда нужна. Например, если нам нужно найти код, обладающий какими-нибудь свойствами в большой коллекции программ, то анализировать все программы вручную не хочется (представьте себе, что у вас семейство программ из 200 файлов). Для таких случаев лучше запустить IDA из командного файла и поручить анализ и нахождение интересующего кода IDC: скрипту или плагину.


TanaT : Кстати, о плагинах. Не подскажете, где можно найти стандартные (да и любые другие) плагины к IDA?

Ильфак : До сих пор самым доступным местом была группа IDAExtensions в Yahoo. С созданием cvs-управляемого проекта на sourceforge большинство плагинов, скорее всего, будут доступны оттуда.

WinGraph позволяет легко построить структуру программы

TanaT : Как вы считаете, какая категория людей является основным пользователем вашего продукта? Пираты/хакеры или разработчики?

Ильфак : Не те и не другие. Основные пользователи - это специалисты по информационной безопасности, антивирусные компании, и вообще специалисты по безопасности в целом.

Разработчики и хакеры, конечно же, тоже используют IDA, но не являются основными покупателями. Про хакеров я вообще молчу, я совершенно не хочу, чтобы IDA использовался для взлома программ, и буду всячески бороться против этого.
Разработчикам же далеко не всегда нужен дизассемблер. Уже учитывая тот факт, что многие не знают язык ассемблера, можно сказать, что большинству разработчиков дизассемблер не понадобится. Исключение составляют специалисты, работающие на низком уровне - писатели драйверов и встроенных систем, вынужденные работать на ассемблере.

Я не знаю, почему в России считается, что основными пользователями IDA являются хакеры. Если бы IDA приносила пользу только им, то я бы прекратил работу над ней, не задумываясь.
Тем, кто использует IDA для взлома, скажу следующее: "ломать - не строить". Программы, как и любой другой продукт человеческой деятельности, требуют труда - кто-то должен потратить свое время и силы, чтобы программу придумать, написать и проверить. Взломщик подобен вору, который увидел что-то, не принадлежащее ему, и забрал. Не потому что он такой доблестный и умный, сумел взломать программу, а просто потому, что защита была слабая или разработчик вообще не уделял ей внимания. Где тут доблесть? Мне совсем не нравится, что IDA используется для таких целей.


TanaT : Сразу возникает вопрос, ведь хороший дизассемблер не должен "сыпаться" при первых же "антидизассемблерных" приемах. Получается, что, разрабатывая дизассемблер и повышая его интеллект + функциональность, вы делаете жизнь хакера легче. Противоречие?

Ильфак : Скорее, диалектика. IDA делает анализ программ проще для всех. Значит и защита программ становится более изощренней, придумываются новые методы. Как, например, подступиться к системе, которая использует подход объектно-ориентированного программирования с передачей сообщений между объектами? По листингу практически ничего невозможно будет понять, т.к. так кроме косвенных вызовов с номерами сообщений, практически ничего не будет.


TanaT : Сколько сегодня стоит IDA Pro и можно ли ее где-нибудь купить в России?

Ильфак : Да, IDA можно купить в Москве в компании Гелиософт. Их адрес [email protected] . Точные цены можно узнать у представителей компании, они в пределах $266-795 в зависимости от конкретной версии.


TanaT : Каковы системные требования IDA? Если говорить об IBM PC, какие операционные системы она поддерживает?

Ильфак : Первые версии IDA были предназначены для работы под MS DOS с 640кб памяти, поэтому при дизайне программы я предпочитал решения, не требующие много памяти или быстрого процессора. Сейчас, конечно, нереально запустить IDA на такой малой памяти, но любой современный компьютер подойдет. Чем больше памяти и чем быстрее процессор, тем лучше, конечно.

IDA работает под MS Windows (любые версии), MS DOS, OS/2. Абсолютное большинство пользователей работает под MS Windows, поэтому мы даже не уверены, что имеет смысл продолжать поддерживать другие системы. Если у кого есть соображения по этому поводу, прошу в e-mail ([email protected] ), мы с удовольствием выслушаем аргументы в пользу этих систем.
Тогда как IDA может работать под управлением трёх операционных систем, количество платформ, для которых она может дизассемблировать файлы - практически не ограниченно. Назовите практически любую современную операционную систему, и окажется, что IDA сможет анализировать выполняемые файлы для нее. Я уже не помню точного количества процессоров, поддерживаемых IDA, но знаю, что их больше 32: несколько лет назад мне пришлось расширить битовую маску для списка процессоров (раньше был ulong, теперь ulonglong, надеюсь, хватит лет на пять).


TanaT : В каком направлении вы сейчас совершенствуете свой дизассемблер? Добавляете поддержку новых процессоров или улучшаете функциональность?

Ильфак : Мы постоянно добавляем новые процессоры и улучшаем функциональность. На мой взгляд, сегодня в IDA есть практически все, что нужно для анализа программ, за исключением одной фундаментальной вещи - анализа потоков данных и возможностей, вытекающих из этого анализа. Мы могли бы реализовать этот анализ для IBM PC, но очень хочется сделать что-то, что будет работать для любых процессоров. Иначе может оказаться, что сделанное сегодня придется выбросить через несколько лет или переписать для новых процессоров. Не секрет, что 64-битовые процессоры скоро будут доступны многим, и они вряд ли будут совместимы по бинарному коду с IBM PC.

В последней версии IDA появился отладчик для MS Windows файлов, и в будущем, вероятно, мы добавим новые модули отладчика - для Linux, для микроконтроллеров, сделаем удаленную отладку.
Конечно, еще одно направление - это выдача кода на языке высокого уровня, например С, т.е. написание декомпилятора. Задача достойная, и мы над ней работаем. Очень много деталей, которые нужно учитывать для работы с программами из реальной жизни.
Тут надо сразу сказать, что декомпилятор никогда не будет входить в состав IDA. Если (и это - большое "если") декомпилятор будет сделан, то только в виде отдельного продукта.


TanaT : Декомпилятор на язык С был бы отличным инструментов для многих профессионалов в reverse engineering. Думаете, это реально?

Ильфак : Это реально, если ставить перед собой разумные цели. Если цель - сделать систему, которая выдаст код для последующей компиляции и использования в составе другой программы, то ответ отрицательный. Вернее, такой декомпилятор сделать можно, и даже очень легко, но это меня лично совсем не интересует. Такая система была бы очень удобна для кражи кода. Если кто хочет заниматься этим, то, пожалуйста, без меня. Да, если хорошенько поискать, то такие системы можно найти в Интернете.

Если же целью является облегчение понимания программ, т.е. представление логики программы на языке высокого уровня так, чтобы это было читаемо человеком, то задача намного сложнее, но тоже решаема. Объем работ очень велик, а рынок для декомпиляторов - маленький. Может этим и объясняется тот факт, что настоящих декомпиляторов, способных разбирать реальные программы, не существует?
Кстати, уже существует маленький декомпилятор на основе IDA. Он был создан одним студентом как master thesis. Вы можете найти сайт, поискав его по имени: desquirr.


TanaT : Небольшое замешательство вызывает тот факт, что, хотя везде указано, что вы являетесь создателем IDA Pro, продает его компания Datarescue. Можете прояснить ситуацию?

Ильфак : Ну, так оно и есть. Компания Datarescue продает IDA Pro. Я не занимаюсь продажами напрямую, предпочитаю заниматься программированием, это у меня лучше получается.


TanaT : Есть ли версия вашего продукта не "Pro"?

Ильфак : Да, есть. Студенты, или пользователи, лишь иногда дизассемблирующие программы, могут пользоваться бесплатной версией IDA Freeware, которая доступна в Интернете, например, на Simtel"е . Эта версия является полноценной версией, которая продавалась несколько лет назад. Единственное, что может удивить современных пользователей, привыкших работать с мышкой - это текстовый интерфейс программы, но суть программы та же. Настоящий программист не обращает внимания на такие мелкие детали, как интерфейс программы:).


TanaT : Скажите, пожалуйста, а доступна ли где-нибудь trial- или demo-версия IDA Pro?

Ильфак : Да, конечно. Мы раздаем демонстрационные версии потенциальным покупателям - серьезным компаниям, государственным учреждениям и т. д. Сразу же хочу отметить, что у Васи Пупкина, подписавшегося как FuRiOuSDaRkLoRd, и просящего демо-версию в 5-ый раз (потому что он хочет "самолично" убедиться, что IDA отвечает его "высоким требованиям"), очень мало шансов получить ее. Такие запросы у нас сразу идут в корзину.

Хотя бывают смешные случаи. Например, меня поразил один "бедный пастор в аргентине", желающий пользоваться IDA. Он также написал, что будет молиться за нас, если мы ему пришлем программу. Интересно, что ему нужно было дизассемблировать, не библию же? Или "бедный студент", которому немедленно понадобилось анализировать какой-нибудь специальный микроконтроллер, потому что "клиенту нужно срочно".


TanaT : Кого из конкурентов вы можете выделить? Есть ли кто-либо, кто может составить конкуренцию IDA?

Ильфак : Честно говоря, не знаю, что сказать.


TanaT : Многие пользователи жалуются, что к IDA PRO почти нет официальной документации и научиться работать с ней, особенно с ее скриптовым языком, довольно сложно. Можете прокомментировать?

Ильфак : Да, это правда. Разбирать программы на языке ассемблера уже сложно, я просто не знаю, как это сделать проще (знал бы - сделал бы:)). Могу лишь посоветовать прочитать страницы помощи, посмотреть на примеры IDC скриптов, поставляемых вместе с IDA, поискать в Интернете примеры использования. Что касается документации, ее нет, и вряд ли будет в ближайшем будущем, к сожалению. Есть контекстная помощь, вызываемая по F1.

Дело еще усугубляется тем, что многие пользователи не знают, что им делать, т.е. не умеют анализировать программы. Тут очень многое зависит от уровня пользователя. Кто-то не знает язык ассемблера и ему нужно объяснять, что такое xor eax,eax. Другому непонятно, что такое DialogProc, т.к. он никогда не программировал в Windows. Третьему непонятно, почему количество push в функции не соответствует количеству pop. А ведь это самые простые случаи. Обычно пользователь загружает программу в IDA и не знает, что делать. Ответить на этот вопрос непросто, ведь "что делать" зависит от того, "что хочется получить".

Поэтому мы решили поступить самым простым способом - у нас есть F1, который описывает каждую команду, каждую функцию в IDC. Пользователю, знающему, что он хочет получить, достаточно пройтись по списку команд и постараться подобрать набор, который решит конкретную проблему. А вот незнающему пользователю будет сложнее, и помощь, наверное, должна заключаться в обучении пользователя самим азам ассемблера, представления программ в бинарном виде, типичным приемам MS Windows, и так по нарастающей. Для зарубежных пользователей мы время от время проводим такие курсы. При наличии достаточного количества интересующихся можем устроить курсы и в России.

Первым ассемблером и одновременно первым интерпретатором стал псевдокод и набор инструкций Short Code, разработанный в июле 1949 года американцами Пресом Экертом и Джоном Мошли для компьютера BINAC. Решение любой задачи вначале записывалось математическими уравнениями. Те, в свою очередь, посимвольно транслировались в коды: из “a=b+c” в “S0 03 S1 07 S2”. На заключительном этапе коды приобретали двоичный вид, а каждая строка после ввода автоматически выполнялась. Первая практическая задача, которую решил ассемблер, - расчет таблиц артиллерийской стрельбы для американских баллиститов. Ассемблеры на мнемонических кодах (с “MOV” и “ADD”) появились только в середине 50-х. Авторы ассемблера более известны изобретением самых первых вычислительных машин (на вакуумных трубках): ENIAC (1946), BINAC (1949) и прямого предка современных компьютеров UNIVAC I (1951). К сожалению, ни Эскерт, ни Мошли до наших дней не дожили.

TanaT : Вы читали книгу Криса Касперски "Образ мышления дизассемблера IDA"? Сегодня это единственная книга по IDA на русском, поэтому хотелось бы услышать о ней ваше мнение. Может вы знакомы с ее автором?

Ильфак : Да, я знаком с Крисом, и он обращался ко мне с вопросами при написании книги. Книга хороша, как развернутый справочник по функциям IDC, и рассчитана на читателя, разбирающегося в ассемблере и любящего манипулировать битами и байтами. Конечно же, я могу лишь порекомендовать эту книгу любому, кому хочется досконально разобраться с IDC и научиться писать хорошие скрипты.

Но жизнь не стоит на месте и со времени написания книги вышли новые версии IDA. Появились новые возможности (например, разработка плагинов в книге не рассматривается). Надеюсь, Крис напишет продолжение, в котором будет уделено больше внимания современным программам и типичным проблемам, с которыми сталкиваются начинающие специалисты по информационной безопасности.


TanaT : А почему вы сами не напишите что-то похожее на "Advanced IDA Pro Developer"s/Users’s Guide"? Ведь никто не знает все тонкости IDA, IDA SDK и IDC так, как вы. Думаю, эта книга разошлась бы немалым тиражом в одной только России. К тому же практика издания книг по своим продуктам сегодня довольно распространена: взять все тот же Microsoft Press…

Ильфак : Вы не первый, кто поднимает вопрос о книге. Может когда-нибудь я и решусь, но пока еще не готов к писательству. Если я буду писать книгу, то вряд ли останется время для улучшения IDA, так что пока пусть книга подождет:)


TanaT : Разрешите личный вопрос: я нигде доселе не читал интервью с вами, вы не любите их давать?

Ильфак : Это - мое первое интервью.


TanaT : Хотите сказать нашим читателям что-нибудь?

Ильфак : Хочу сказать спасибо всем, кто помогал в развитии IDA - генерируя идеи, делясь кодом, регистрируя программу, и просто поддержкой добрым словом. Надеюсь, что и в дальнейшем IDA останется инструментом профессионалов, использующих его для благородных целей.

Спасибо за вопросы.


TanaT : И вам большое спасибо за столь интересные ответы. Успехов вам лично и вашему творению, IDA, надеемся, этот дизассемблер и дальше будет развиваться не менее интенсивно и плодотворно.

IDA Free - это дизассемблер, альтернативы которому просто нет. Для профессиональной работы это единственный пригодный дизассемблер. Он давно стал стандартом, и если говорят о дизассемблере, то в первую очередь имеют в виду IDA Free . IDA Free имеет огромное количество функций и модулей, которые значительно упрощают процесс дизассемблирования. Сюда входит распознавание стандартных библиотечных функций, распознавание аргументов функций и их типов, представление всего кода в удобной древовидной форме и многое другое.

Основные группы пользователей IDA Free - это антивирусные компании, крупные разработчики ПО, специалисты по информационной безопасности.

Ключевые особенности и функции

• окно со списком функций программы;
• список сегментов программы;
• древовидная структура кода;
• список импортированных функций;
• встроенный отладчик;
• встроенный язык программирования IDC;
• возможность делать комментарии и менять названия переменных и функций для удобной читаемости.

• интеллектуальная обработка. Сегодня в тексте программ очень часто встречаются зашифрованные или заведомо запутанные участки кода. Точное разделение кода и данных программы – это целая наука или даже искусство. Один неправильно распознанный аргумент функции может повлечь за собой серьезные ошибки в исследовании всего кода. Сегодня IDA Pro имеет самый мощный механизм анализа кода программы, который значительно упрощает дизассемблирование;
• уникальная технология FLIRT. Современные вирусы и черви чаще всего написаны на языках высокого уровня, что усложняет дизассемблирование. Благодаря технологии FLIRT и расширенным возможностям отслеживания стека, IDA Pro дает оригинальный исходный код настолько точно, насколько это возможно;
• расширение и совершенствование. Конечно, разработчики делают все возможное для усовершенствования IDA Pro, однако только специалисты в области отладки и декомпиляции работают с IDA Pro в «боевых» условиях и всегда лучше знают что им нужно. Благодаря IDA Pro SDK вы можете расширять функциональность и приспосабливать дизассемблер под свои нужды;

Список поддерживаемых процессоров:
· AMD K6-2 3D-Теперь доступна!;
· ARM Архитектура версии 3, 4 и 5 включяя Thumb Mode и DSP инструкции;
· ATMEL AVR (вместе с исходным кодом);
· DEC PDP-11(вместе с исходным кодом) ;
· Fujitsu FR (вместе с исходным кодом);
· GameBoy;
· H8/300 , H8/300L , H8/300H, H8S/2000 , H8S/2600(вместе с исходным кодом);
· H8/500(вместе с исходным кодом);
· Hitachi HD 6301, HD 6303, Hitachi HD 64180 ;
· INTEL 8080;
· INTEL 8085;
· INTEL 80196 (вместе с исходным кодом);
· INTEL 8051 (вместе с исходным кодом);
· INTEL 860XR (вместе с исходным кодом);
· INTEL 960 (вместе с исходным кодом);
· INTEL 80x87 and 80x87;
· INTEL Pentium family;
· Java Virtual Machine (вместе с исходным кодом);
· KR1878 (вместе с исходным кодом);
· Microsoft .NET;
· Mitsubishi MELPS740(вместе с исходным кодом);
· MN102 (только с исходным кодом);
· MOS Technologies 6502 (вместе с исходным кодом);
· Motorola MC680xx. , Motorola CPU32 (68330), Motorola MC6301, MC6303;
· MC6800, MC6801, MC6803, MC6805, MC6808, MC6809, MC6811, M68H12C;
· Motorola ColdFire;
· NSC CR16 (только с исходным кодом);
· PIC 12XX, PIC 14XX, PIC 18XX, PIC 16XXX (вместе с исходным кодом);
· Rockwell C39 (только с исходным кодом);
· SAM8 (вместе с исходным кодом);
· SGS Thomson ST-7, and ST-20 (вместе с исходным кодом);
· TLCS900 (только с исходным кодом);
· XA (вместе с исходным кодом);
· xScale;
· Z80, Zilog Z8, Zilog Z180, Zilog Z380 (вместе с исходным кодом);
· AMD64 architecture;
· DEC Alpha;
· DSP563xx, DSP566xx, DSP561XX (вместе с исходным кодом);
· TI TMS320C2X, TMS320C5X, TMS320C6X, TMS 320C54xx, TMS320C55xx, TMS320C3 (вместе с исходным кодом);
· Hewlett-Packard HP-PA (вместе с исходным кодом);
· Hitachi SH1, SH2, SH3, Hitachi SH4 - Dreamcast;
· IBM - Motorola PowerPC;
· Infineon Tricore архитектура;
· Intel IA-64 Architecture - Itanium;
· Motorola DSP 56K, Motorola MC6816;
· MIPS Mark I (R2000), MIPS Mark II (R3000), MIPS Mark III: (R4000, R4200, R4300, R4400, and R4600), MIPS Mark IV: R8000, R10000, R5900 (Playstation 2), MIPS16 encoding;
· Mitsubishi M32R(вместе с исходным кодом);
· Mitsubishi M7700 (вместе с исходным кодом);
· Mitsubishi M7900 (вместе с исходным кодом);
· Nec 78K0 and Nec 78K0S (вместе с исходным кодом);
· STMicroelectronics ST9+, ST-10 (вместе с исходным кодом);
· SPARCII, ULTRASPARC;
· Siemens C166 ;
· Fujitsu F2MC-16L Fujitsu F2MC-LC.

Ограничения бесплатной версии

• бесплатная версия предназначена только для некоммерческого использования.

IDA Pro Disassembler — интерактивный дизассемблер , который широко используется для реверс-инжиниринга. Он отличается исключительной гибкостью, наличием встроенного командного языка, поддерживает множество форматов исполняемых файлов для большого числа процессоров и операционных систем.

Hex-Rays — навороченный многофункциональный Hex-редактор (hex-editor ) и мощнейший декомпилятор . Наиболее известный коммерческий инструмент для обратного анализа, разработанный компанией Hex-Rays . Является плагином для IDA Pro.

Когда-то, в далеких 90-х, все начиналось с дизассемблера с возможностью интерактивного редактирования и поддержкой сложных типов данных в виде структур. Сейчас это уже куда более продвинутый инструмент. Программа имеет возможность расширения и развитый SDK для разработки различных плагинов, начиная с добавления поддержки новых процессорных архитектур и до автоматизации процесса отладки при помощи встроенного API для скриптовых языков (IDC , IDAPython ).

Про поддержку Python стоит отдельно отметить, так как он уже довольно давно тесно интегрирован при помощи плагина IDAPython , и на данный момент поддерживает практически все возможности нативного SDK на С++ , за исключением лишь совсем специфичных вещей.

К пятой версии IDA Pro имела в своем арсенале все необходимое для автоматической декомпиляции , причем не просто декомпиляции, а очень
качественной декомпиляции , декомпиляции принципиально нового уровня , до которого не дотягивает ни один другой существующих
декомпилятор .

Вот так и родилась идея дописать к IDA еще небольшую (на самом деле очень большую) порцию кода, переводящую китайскую ассемблерную грамоту в доступный и понятный листинг на языке Си.

Включать декомпилятор в дистрибутив IDA Pro Ильфак не стал. Тому было несколько причин. Первая и главная — основной массе текущих пользователей IDA декомпилятор не сильно нужен, если они им и будут пользоваться, то лишь из чистого любопытства, запустят пару раз, плюнут и вернутся к привычному стилю жизни — анализу дизассемблерного листинга. Второе — зарабатывать на жизнь (Ильфаку) и содержать фирму как-то же надо?!

Все это привело к тому, что декомпилятор , получивший название (HexRays ) , был выпущен отдельным продуктом, но — внимание на экран — требующим
обязательного присутствия IDA , поскольку HexRays — всего лишь плагин . Таким образом, реверсеру, желающему упростить свою жизнь за счет автоматической декомпиляции, необходимо прибрести как саму IDA, так и HexRays . Причем приобретать этот комплект будет совсем другая пользовательская аудитория, совсем не та, что приобретала ИДУ и почитала ее как самый лучший интерактивный дизассемблер. Интерактивный — значит, тесно взаимодействующий с пользователем (в смысле с хакером). В противовес ей, пакетные дизассемблеры стремятся к максимальной автоматизации
реверсинга, лишая пользователя возможности вмешиваться в процесс и отдавать указания.
HexRays в отличии от IDA Pro интерактивностью не обладает : она у него атрофирована еще в зародыше. Нет даже опций настройки! А там где нет интерактивности, нет и хакеров.

• Tutorial

Этот пост будет интересно действительно тем, кто только начинает интересоваться этой темой. У людей с опытом он, возможно, вызовет только зевки. За исключением разве что, может быть, …
Реверс-инжиниринг в той менее легальной части, где он не касается отладки и оптимизации собственного продукта, касается в том числе и такой задачи: «узнать, а как у них это работает». Иначе говоря, восстановление исходного алгоритма программы, имея на руках ее исполнимый файл.
Для того, чтобы держаться азов и избежать некоторых проблем - «взломаем» не что-нибудь, а… кейген. В 90% он не будет запакован, зашифрован или иным способом защищен - в том числе и нормами международного права…

Вначале было слово. Двойное

Итак, нам нужен кейген и дизассемблер. Что касается второго - то предположим, что это будет Ida Pro. Подопытный безымянный кейген, найденный на просторах Сети:

Открыв файл кейгена в Ida, видим список функций.

Проанализировав этот список, мы видим несколько стандартных функций (WinMain, start, DialogFunc) и кучу вспомогательных-системных. Все это стандартные функции, составляющие каркас.
Пользовательские функции, которые представляют реализацию задач программы, а не ее обертку из API-шных и системных вызовов, дизассемблер не распознает и называет попросту sub_цифры. Учитывая, что такая функция здесь всего одна - она и должна привлечь наше внимание как, скорее всего, содержащая интересующий нас алгоритм или его часть.

Давайте запустим кейген. Он просит ввести две 4-значных строки. Предположим, в функцию расчета ключа отправляются сразу восемь символов. Анализируем код функции sub_401100. Ответ на гипотезу содержится в первых двух строках:

var_4= dword ptr -4
arg_0= dword ptr 8

Вторая строка недвусмысленно намекает нам на получение аргумента функции по смещению 8. Однако размер аргумента - двойное слово, равное 4 байтам, а не 8. Значит, вероятнее всего за один проход функция обрабатывает одну строку из четырех символов, а вызывается она два раза.
Вопрос, который наверняка может возникнуть: почему для получения аргумента функции резервируется смещение в 8 байт, а указывает на 4, ведь аргумент всего один? Как мы помним, стек растет вниз; при добавлении в стек значения стековый указатель уменьшается на соответствующее количество байт. Следовательно, после добавления в стек аргумента функции и до начала ее работы в стек добавляется что-то еще. Это, очевидно, адрес возврата, добавляемый в стек после вызова системной функции call.

Найдем места в программе, где встречаются вызовы функции sub401100. Таковых оказывается действительно два: по адресу DialogFunc+97 и DialogFunc+113. Интересующие нас инструкции начинаются здесь:

Относительно длинный кусок кода

loc_401196: mov esi, mov edi, ds:SendDlgItemMessageA lea ecx, push ecx ; lParam push 0Ah ; wParam push 0Dh ; Msg push 3E8h ; nIDDlgItem push esi ; hDlg call edi ; SendDlgItemMessageA lea edx, push edx ; lParam push 0Ah ; wParam push 0Dh ; Msg push 3E9h ; nIDDlgItem push esi ; hDlg call edi ; SendDlgItemMessageA pusha movsx ecx, byte ptr movsx edx, byte ptr movsx eax, byte ptr shl eax, 8 or eax, ecx movsx ecx, byte ptr shl eax, 8 or eax, edx shl eax, 8 or eax, ecx mov , eax popa mov eax, push eax call sub_401100

Сначала подряд вызываются две функции SendDlgItemMessageA. Эта функция берет хэндл элемента и посылает ему системное сообщение Msg. В нашем случае Msg в обоих случаях равен 0Dh, что является шестнадцатиричным эквивалентом константы WM_GETTEXT. Здесь извлекаются значения двух текстовых полей, в которые пользователь ввел «две 4-символьных строки». Буква А в названии функции указывает, что используется формат ASCII - по одному байту на символ.
Первая строка записывается по смещению lParam, вторая, что очевидно - по смещению var_1C.
Итак, после выполнения функций SendDlgItemMessageA текущее состояние регистров сохраняется в стеке с помощью команды pusha, затем в регистры ecx, edx и eax записывается по одному байту одной из строк. В результате каждый из регистров принимает вид: 000000. Затем:

1. Команда SHL сдвигает битовое содержимое регистра eax на 1 байт или, другими словами, умножает арифметическое содержимое на 100 в шестнадцатиричной системе или на 256 в десятичной. В результате еах принимает вид 000000 (например, 00001200).
2. Выполняется операция OR между полученным значением eax и регистром ecx в виде 000000 (пусть это будет 00000034). В результате еах будет выглядеть так: 00001234.
3. В «освободившийся» есх записывается последний, четвертый байт строки.
4. Содержимое еах снова сдвигается на байт, освобождая место в младшем байте для следующей команды OR. Теперь еах выглядит так: 00123400.
5. Инструкция OR выполняется, на этот раз между еах и edx, который содержит, допустим, 00000056. Теперь еах - 00123456.
6. Повторяются два шага SHL eax,8 и OR, в результате чего новое содержимое ecx (00000078) добавляется в «конец» еах. В итоге, еах хранит значение 12345678.

Затем это значение сохраняется в «переменной» - в области памяти по смещению arg_4. Состояние регистров (их прежние значения), ранее сохраненное в стеке, вытаскивается из стека и раздается регистрам. Затем в регистр еах снова записывается значение по смещению arg_4 и это значение выталкивается из регистра в стек. После этого следует вызов функции sub_401100.

В чем смысл этих операций? Выяснить очень просто даже на практике, без теории. Поставим в отладчике брейкпойнт, например, на инструкции push eax (перед самым вызовом подфункции) и запустим программу на выполнение. Кейген запустится, попросит ввести строки. Введя qwer и tyui и остановившись на брейкпойнте, смотрим значение еах: 72657771. Декодируем в текст: rewq. То есть физический смысл этих операций - инверсия строки.

Теперь мы знаем, что в sub_401100 передается одна из исходных строк, перевернутая задом наперед, в размере двойного слова, целиком умещающаяся в любом из стандартных регистров. Пожалуй, можно взглянуть на инструкции sub_401100.

Еще один относительно длинный кусок кода

sub_401100 proc near var_4= dword ptr -4 arg_0= dword ptr 8 push ebp mov ebp, esp push ecx push ebx push esi push edi pusha mov ecx, mov eax, ecx shl eax, 10h not eax add ecx, eax mov eax, ecx shr eax, 5 xor eax, ecx lea ecx, mov edx, ecx shr edx, 0Dh xor ecx, edx mov eax, ecx shl eax, 9 not eax add ecx, eax mov eax, ecx shr eax, 11h xor eax, ecx mov , eax popa mov eax, pop edi pop esi pop ebx mov esp, ebp pop ebp retn sub_401100 endp

В самом начале здесь ничего интересного - состояния регистров заботливо сохраняются в стеке. А вот первая команда, которая нам интересна - следующая за инструкцией PUSHA. Она записывает в есх аргумент функции, хранящийся по смещению arg_0. Потом это значение перекидывается в еах. И обрезается наполовину: как мы помним, в нашем примере в sub_401100 передается 72657771; логический сдвиг влево на 10h (16 в десятичной) превращает значение регистра в 77710000.
После этого значение регистра инвертируется инструкцией NOT. Это значит, что в двоичном представлении регистра все нули превращаются в единицы, а единицы - в нули. Регистр после выполнения этой инструкции содержит 888ЕFFFF.
Инструкция ADD добавляет (прибавляет, плюсует, и т.д.) получившееся значение к исходному значению аргумента, которое все еще содержится в регистре есх (теперь понятно, зачем было записывать его сначала в есх, а затем в еах?). Результат сохраняется в есх. Проверим, как будет выглядеть есх после выполнения этой операции: FAF47770.
Этот результат копируется из есх в еах, после чего к содержимому еах применяется инструкция SHR. Эта операция противоположна SHL - если последняя сдвигает разряды влево, то первая сдвигает их вправо. Подобно тому, как операция логического сдвига влево эквивалентна умножению на степени двойки, операция логического сдвига вправо эквивалентна такому же делению. Посмотрим, какое значение окажется результатом этой операции: 7D7A3BB.
Теперь совершим еще одно насилие над содержимым еах и есх: инструкция XOR - сложение по модулю 2 или «исключающее ИЛИ». Суть этой операции, грубо говоря, в том, что в результат ее равен единице (истине) только, если операнды ее раЗнозначные. Например, в случае 0 xor 1 результатом будет истина, или единица. В случае 0 xor 0 или 1 xor 1 - результатом будет ложь, или ноль. В нашем случае в результате выполнения этой инструкции применительно к регистрам еах (7D7A3BB) и есх (FAF47770) в регистр еах запишется значение FD23D4CB.

Следующая команда LEA ecx, элегантно и непринужденно умножает еах на 9 и записывает результат в есх. Затем это значение копируется в edx и сдвигается вправо на 13 разрядов: получаем 73213 в еdx и E6427B23 в есх. Затем - снова ксорим есх и edx, записывая в есх E6454930. Копируем это в еах, сдвигаем влево на 9 разрядов: 8А926000, затем инвертируем это, получая 756D9FFF. Прибавляем это значение к регистру есх - имеем 5BB2E92F. Копируем это в еах, сдвигаем вправо аж на 17 разрядов - 2DD9 - и ксорим с есх. Получаем в итоге 5BB2C4F6. Затем… затем… что там у нас? Что, все?..
Итак, мы сохраняем это значение в область памяти по смещению var_4, загружаем из стека состояния регистров, снова берем из памяти итоговое значение и окончательно забираем из стека оставшиеся там состояния регистров, сохраненные в начале. Выходим из функции. Ура!.. впрочем, радоваться еще рано, пока что на выходе из первого вызова функции мы имеем максимум - четыре полупечатных символа, а ведь у нас еще целая необработанная строка есть, да и эту еще к божескому виду привести надо.

Перейдем на более высокий уровень анализа - от дизассемблера к декомпилятору. Представим всю функцию DialogFunc, в которой содержатся вызовы sub_401100, в виде С-подобного псевдокода. Собственно говоря, это дизассемблер называет его «псевдокодом», на деле это практически и есть код на С, только страшненький. Глядим:

Нужно больше кода. Нужно построить зиккурат.

SendDlgItemMessageA(hDlg, 1000, 0xDu, 0xAu, (LPARAM)&lParam); SendDlgItemMessageA(hDlg, 1001, 0xDu, 0xAu, (LPARAM)&v15); v5 = sub_401100((char)lParam | ((SBYTE1(lParam) | ((SBYTE2(lParam) | (SBYTE3(lParam) << 8)) << 8)) << 8)); v6 = 0; do { v21 = v5 % 0x24; v7 = v21; v5 /= 0x24u; if (v7 >= 10) v8 = v7 + 55; else v8 = v7 + 48; v21 = v8; } while (v6 < 4); v22 = 0; v9 = sub_401100(v15 | ((v16 | ((v17 | (v18 << 8)) << 8)) << 8)); v10 = 0; do { v19 = v9 % 0x24; v11 = v19; v9 /= 0x24u; if (v11 >= 10) v12 = v11 + 55; else v12 = v11 + 48; v19 = v12; } while (v10 < 4); v20 = 0; wsprintfA(&v13, "%s-%s-%s-%s", &lParam, &v15, v21, v19); SendDlgItemMessageA(hDlg, 1002, 0xCu, 0, (LPARAM)&v13);

Это уже легче читать, чем ассемблерный листинг. Однако не во всех случаях можно положиться на декомпилятор: нужно быть готовым часами следить за нитью ассемблерной логики, за состояниями регистров и стека в отладчике… а потом давать письменные объяснения сотрудникам ФСБ или ФБР. Под вечер у меня особенно смешные шутки.
Как я уже сказал, читать это легче, но до совершенства еще далеко. Давайте проанализируем код и дадим переменным более удобочитаемые названия. Ключевым переменным дадим понятные и логичные названия, а счетчикам и временным - попроще.

То же самое, только переведенное с китайского на индусский.

SendDlgItemMessageA(hDlg, 1000, 0xDu, 0xAu, (LPARAM)&first_given_string); SendDlgItemMessageA(hDlg, 1001, 0xDu, 0xAu, (LPARAM)&second_given_string); first_given_string_encoded = sub_401100((char)first_given_string | ((SBYTE1(first_given_string) | ((SBYTE2(first_given_string) | (SBYTE3(first_given_string) << 8)) << 8)) << 8)); i = 0; do { first_result_string[i] = first_string_encoded % 0x24; temp_char = first_result_string[i]; first_string_encoded /= 0x24u; if (temp_char >= 10) next_char = temp_char + 55; else next_char = temp_char + 48; first_result_string = next_char; } while (i < 4); some_kind_of_data = 0; second_string_encoded = sub_401100(byte1 | ((byte2 | ((byte3 | (byte4 << 8)) << 8)) << 8)); j = 0; do { second_result_string[j] = second_string_encoded % 0x24; temp_char2 = second_result_string[j]; second_string_encoded /= 0x24u; if (temp_char2 >= 10) next_char2 = temp_char2 + 55; else next_char2 = temp_char2 + 48; second_result_string = next_char2; } while (j < 4); yet_another_some_kind_of_data = 0; wsprintfA(&buffer, "%s-%s-%s-%s", &first_given_string, &second_given_string, first_result_string, second_result_string); SendDlgItemMessageA(hDlg, 1002, 0xCu, 0, (LPARAM)&buffer);

IDA Pro –уникальная программа, которая получила признание во всем мире, а теперь и на русском языке включительно. Если речь идет о дизассемблировании, то конкурентов данной утилите нет. Достаточно скачать Айди Про одним файлом и установить, чтобы начать использование в полном объеме. Стоит отметить, что продукт предоставляется в сборке Standard (поддерживает больше 20 популярных семейств процессоров) и Advanced (рассчитан на 50 и более). В зависимости от прямого назначения стоит выбрать подходящие параметры. Также одну из версий можно расширить или упросить, если возникла необходимость.

Чтобы скачать бесплатно IDAPro, необходимо лишь кликнуть на ссылку. Установщик является мультиплатформенным и поддерживает набор команд на 32 и 64 бита. Русская версия для Windows установлена по умолчанию, изменить язык можно в меню настроек.

В чем особенность программы? Утилита является профессиональным дизассемблером, который уже содержит в себе большинство модулей и функций. Это существенно облегчает работу, позволяет быстрее обрабатывать большой объем данных. В рабочей среде есть удобный поиск. С его помощью можно быстро найти и заменить нужную часть кода. Устанавливается продукт на компьютер без дополнительного программного обеспечения. После окончательной установки требуется перезагрузка системы, чтобы новые параметры вступили в силу, и утилиту было видно в списке программ.

Также можно задать и привязку (к примеру, открывать файлы данного формата именно через эту программу в Виндовс).Удобнее только скачать IDAPro и выполнять процесс дизассемблирования, чем компилировать данные через несколько приложений. Сохраняются все пользовательские настройки. В рабочей среде уже есть готовые шаблоны, которые можно изменить, удалить или создать новые. Это повышает комфорт использования продукта в целом. Последние действия можно отменить, используя навигацию или стандартную комбинацию клавиш.

К главным достоинствам программы относятся:

• бесплатное распространение;
• пользовательская и профессиональная версии;
• быстрая компиляция данных;
• поиск части кода и подсвечивание;
• не нагружает систему во время работы.