reverseenengineering:soft

Различия

Показаны различия между двумя версиями страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
Следующая версия		 Предыдущая версия
reverseenengineering:soft [2025/06/23 23:56] – удалено - внешнее изменение (Дата неизвестна) 127.0.0.1reverseenengineering:soft [2025/07/17 02:18] (текущий) – [Граберы] Lex
Строка 1: Строка 1:
 +====== Программное обеспечение ======
 +
 +===== Отладчики =====
 +Отладчики — ключевой инструмент реверс-инженера. Они позволяют по шагам выполнять бинарные файлы, устанавливать точки останова (breakpoints), изменять память и регистры, отслеживать системные вызовы и поведение исполняемого кода в реальном времени. Ниже представлены наиболее популярные отладчики, их преимущества и недостатки.
 +
 +----
 +
 +==== x64dbg/x32dbg ====
 +Мощный и активно развиваемый отладчик с открытым исходным кодом для 64-битных (x64dbg) и 32-битных (x32dbg) PE-файлов на Windows. Представляет собой современную альтернативу OllyDbg.
 +
 +**Функциональность:**
 +  * Графический дизассемблер и отладчик
 +  * Поддержка плагинов и скриптов
 +  * Удобная панель регистров, стек, память, карты модулей
 +  * Поддержка обфусцированных и защищённых файлов (совместим с ScyllaHide)
 +  * Поиск строк, API-вызовов, переходов и ссылок
 +  * Интеграция с символами PDB
 +  * Расширенные инструменты анализа (xAnalyzer)
 +
 +**Плюсы:**
 +  * Современный UI, горячие клавиши и настраиваемые макросы
 +  * Поддержка символов и комментариев
 +  * Бесплатен, активно развивается
 +
 +**Минусы:**
 +  * Только для Windows
 +  * Зависит от структуры PE-файлов (мало пригоден для анализа прошивок и нестандартных форматов)
 +
 +**Идеально подходит для:**
 +  * Интерактивного анализа поведения вредоносного кода
 +  * Динамического патчинга программ
 +  * Поиска уязвимостей и отладки софта Windows
 +
 +----
 +
 +==== OllyDbg ====
 +Легендарный отладчик для 32-битных приложений Windows. Свою популярность он получил за счёт простоты и большого количества доступных плагинов.
 +
 +**Функциональность:**
 +  * Отладка и дизассемблирование кода
 +  * Анализ импортов/экспортов, команд переходов
 +  * Интерактивное редактирование кода и данных
 +  * Система плагинов (OllyAdvanced, StrongOD и др.)
 +  * Поиск по памяти, именам функций и т.д.
 +
 +**Плюсы:**
 +  * Интуитивно понятный интерфейс
 +  * Отлично подходит для обучения
 +  * Большое сообщество и документация
 +
 +**Минусы:**
 +  * Только 32-бит
 +  * Нет обновлений с 2014 года
 +  * Сложности с новыми системами и защищёнными файлами
 +
 +**Идеально подходит для:**
 +  * Реверса старых программ
 +  * Учебных целей и демонстрации базовых техник
 +
 +----
 +
 +==== IDA Pro ====
 +Один из самых мощных дизассемблеров и отладчиков на рынке. Представляет собой коммерческий инструмент для статического и динамического анализа исполняемых файлов.
 +
 +**Функциональность:**
 +  * Гибридный статический анализ с возможностью отладки (Debugging + Disassembly)
 +  * Поддержка десятков архитектур и форматов (x86, x64, ARM, MIPS, PowerPC и др.)
 +  * Встроенный скриптовый язык IDC и Python API
 +  * Интерактивная графовая навигация по коду (flow chart)
 +  * Интеграция с декомпилятором (Hex-Rays Decompiler)
 +
 +**Плюсы:**
 +  * Глубокий статический анализ
 +  * Расширяемость через скрипты и плагины
 +  * Широкое применение в профессиональном реверсе
 +
 +**Минусы:**
 +  * Высокая цена ($$$)
 +  * Сложный интерфейс для новичков
 +  * Некоторые функции недоступны в бесплатной версии (IDA Free)
 +
 +**Идеально подходит для:**
 +  * Глубокого анализа вредоносного кода, прошивок, драйверов
 +  * Работа с редкими архитектурами и нестандартными бинарниками
 +  * Исследовательской работы в области reverse engineering
 +
 +----
 +
 +==== RADARE2 ====
 +Продвинутый кроссплатформенный фреймворк для анализа бинарных файлов. Поддерживает отладку, дизассемблирование, патчинг, анализ и скриптинг. Имеет высокую кривую обучения.
 +
 +**Функциональность:**
 +  * Консольный интерфейс + веб GUI (Cutter) и Ghidra-подобный декомпилятор (r2ghidra)
 +  * Поддержка множества архитектур
 +  * Символьный анализ, поиск входных точек, визуализация CFG
 +  * Плагинная архитектура и мощный скриптовый движок (r2pipe, ESIL)
 +
 +**Плюсы:**
 +  * Открытый исходный код
 +  * Гибкость и расширяемость
 +  * Работа на Linux, macOS, Windows
 +
 +**Минусы:**
 +  * Высокий порог входа (CLI-first)
 +  * Недостаток стабильности в некоторых плагинах
 +  * Слабый GUI по сравнению с конкурентами
 +
 +**Идеально подходит для:**
 +  * Кроссплатформенного анализа бинарников
 +  * Сценарного анализа и автоматизации
 +  * Проектов с открытым исходным кодом
 +
 +----
 +
 +==== GHIDRA ====
 +Открытый проект от Агентства национальной безопасности США (NSA), предназначенный для реверс-инжиниринга. Предоставляет продвинутую визуальную среду с декомпиляцией, графами и анализом.
 +
 +**Функциональность:**
 +  * Поддержка PE, ELF, Mach-O, и других форматов
 +  * Встроенный декомпилятор в стиле C-подобного кода
 +  * Графовая навигация по коду, анализ зависимостей
 +  * Поддержка скриптов на Java, Python (Jython)
 +  * Совместная работа (multi-user mode), плагинная архитектура
 +
 +**Плюсы:**
 +  * Бесплатна и кроссплатформенна
 +  * Постоянно обновляется
 +  * Сравнима по возможностям с IDA Pro
 +
 +**Минусы:**
 +  * Медленная работа на больших бинарниках
 +  * Некоторые баги при декомпиляции нестандартного кода
 +  * Интерфейс требует привыкания
 +
 +**Идеально подходит для:**
 +  * Начального и среднего уровня анализа
 +  * Углублённой работы с декомпиляцией
 +  * Исследования прошивок и вредоносных программ
 +
 +===== Сравнительная характеристика =====
 +
 +^ Отладчик      ^ Архитектуры                   ^ GUI / CLI ^ Декомпиляция ^ API / Скрипты        ^ Расширяемость       ^ ОС           ^
 +| x64dbg/x32dbg | x86, x64                     | GUI       | Нет (внешние) | Да (скрипты и плагин API) | Высокая (много плагинов) | Windows      |
 +| OllyDbg       | x86                          | GUI       | Нет          | Ограничено (плагины)       | Средняя (устаревшие плагины) | Windows      |
 +| IDA Pro       | x86, x64, ARM, MIPS, PowerPC, и др. | GUI + CLI | Да (Hex-Rays) | Да (IDC, Python API)     | Высокая (много плагинов, SDK) | Windows, Linux, macOS |
 +| RADARE2       | x86, x64, ARM, MIPS, AVR, SPARC и др. | CLI (Cutter — GUI) | Да (через r2ghidra, cxx) | Да (ESIL, r2pipe, Python, JS) | Очень высокая (модули, плагины, open source) | Windows, Linux, macOS |
 +| GHIDRA        | x86, x64, ARM, MIPS, PPC, и др. | GUI       | Да (встроенный) | Да (Java, Python (Jython)) | Высокая (плагины, open source) | Windows, Linux, macOS |
 +| Bochs         | x86, x86-64                  | GUI + CLI | Нет          | Да (GDB integration)        | Низкая                    | Windows, Linux, macOS |
 +| QEMU          | x86, x64, ARM, MIPS, и др.   | CLI       | Нет          | Да (GDB, TCG hooks)         | Средняя                   | Windows, Linux, macOS |
 +| Unicorn Engine| x86, x64, ARM, ARM64, MIPS   | API Only  | Нет          | Да (C, Python, Ruby, Go)    | Высокая (библиотека для эмуляции) | Windows, Linux, macOS |
 +
 +  * Архитектуры — поддерживаемые архитектуры процессоров
 +  * GUI / CLI — графический или командный интерфейс
 +  * Декомпиляция — встроенный или сторонний декомпилятор (возможность восстановления C-подобного кода)
 +  * API / Скрипты — возможность автоматизации через API, скриптовые языки
 +  * Расширяемость — поддержка плагинов, модулей, настройка
 +  * ОС — операционные системы, на которых работает отладчик
 +
 +===== Сканеры ресурсов =====
 +Программы, предназначенные для извлечения ресурсов (иконок, строк, изображений, диалогов) из исполняемых файлов.
 +
 +==== Resource Hacker ====
 +**Плюсы:**
 +  * Простой интерфейс
 +  * Позволяет изменять ресурсы напрямую
 +  * Поддержка как .exe, так и .dll
 +
 +**Минусы:**
 +  * Только Windows
 +  * Не поддерживает некоторые нестандартные форматы
 +
 +**Лучше всего подходит для:**
 +  * Модификации GUI-элементов программ
 +  * Извлечения ресурсов
 +
 +==== PE Explorer ====
 +**Плюсы:**
 +  * Анализ PE-структуры
 +  * Интеграция дизассемблера
 +  * Хорошая поддержка ресурсов
 +
 +**Минусы:**
 +  * Платный
 +  * Устаревший интерфейс
 +
 +**Лучше всего подходит для:**
 +  * Изучения структуры PE-файлов
 +  * Редактирования и анализа ресурсов
 +
 +----
 +
 +===== Граберы =====
 +Инструменты для перехвата и извлечения данных, таких как логины, ключи и сетевой трафик.
 +
 +
 +==== NinjaRipper ====
 +NinjaRipper — инструмент для **перехвата и извлечения 3D-моделей**, текстур и других графических ресурсов из запущенных DirectX/OpenGL/Vulkan приложений (чаще всего — игр). Используется при создании модов, в обучающих целях, для анализа движков или цифровой архивации.
 +
 +**Функциональность:**
 +  * Перехват моделей, мешей, текстур во время выполнения
 +  * Поддержка DirectX 9/11/12, OpenGL, Vulkan (ограниченно)
 +  * Возможность экспорта в формат `.rip` или `.obj`
 +  * Сопровождается визуальным препросмотром (NinjaViewer)
 +  * Перехватывает также шейдеры и их параметры (в зависимости от движка)
 +
 +**Плюсы:**
 +  * Позволяет извлечь ресурсы даже из защищённых или нестандартных движков
 +  * Может работать с 32/64-битными играми
 +  * Сообщество активно делится профилями и опытом
 +  * Поддержка различных хаков запуска (вкл. ReShade hook и Custom DLL Injection)
 +
 +**Минусы:**
 +  * Не всегда работает с современными движками и античитами
 +  * Часто требует подбора запуска (launch mode, wrapper, hooking)
 +  * Модели могут экспортироваться без структуры (нужно вручную собирать сцены)
 +  * Может вызывать падение игры или конфликт с защитой
 +
 +**Лучше всего подходит для:**
 +  * Извлечения 3D-моделей из старых и средних по возрасту игр
 +  * Создания модов, цифровой реставрации и обучения 3D-графике
 +  * Исследования проприетарных движков, визуализации игровых сцен
 +
 +==== Сравнение: NinjaRipper vs 3D Ripper DX ====
 +^ Характеристика         ^ NinjaRipper                         ^ 3D Ripper DX                          ^
 +| Поддержка API          | DirectX 9/10/11/12, OpenGL, Vulkan  | Только DirectX 6–9                    |
 +| Совместимость          | Современные и старые движки         | Только старые игры (до 2012 года)     |
 +| Формат вывода          | .rip, .obj, текстуры (DDS/TGA)      | .3DR, .obj, .dds                      |
 +| Поддержка 64-бит       | Да                                  | Нет                                   |
 +| Работа в Windows 10/11 | Да (частично, зависит от метода)    | Ограниченно, часто нестабильно        |
 +| Уровень захвата        | Более гибкий (свой рендер-хук)      | Низкоуровневый захват DX9 сцены       |
 +| Поддержка ReShade      | Да (совместим через Proxy DLL)      | Нет                                   |
 +
 +**Вывод:**  
 +*3D Ripper DX* — устаревший, но всё ещё работает с очень старыми DirectX9-играми (2000–2012).  
 +*NinjaRipper* — универсальнее, работает с большинством современных игр и поддерживает больше API.
 +
 +----
 +
 +==== Интеграция с ReShade ====
 +ReShade — инструмент постобработки, часто используемый как промежуточный **hook-слой** в графическом конвейере. Он может **конфликтовать с NinjaRipper**, но также помогает **обходить античиты**, выступая как "легитимный" графический фильтр.
 +
 +**Методы интеграции:**
 +  * Установка ReShade перед запуском игры
 +  * Использование ReShade `.dll` в качестве прокси-хука (`dxgi.dll` / `d3d11.dll`)
 +  * Привязка NinjaRipper к ReShade-процессу (в режимах: `Intruder Injector` или `Wrapper Mode`)
 +  * Изменение порядка загрузки DLL (через `LoadLibrary`)
 +
 +**Плюсы:**
 +  * ReShade помогает перехватывать сцены там, где NinjaRipper не может напрямую
 +  * Уменьшает вероятность детекта античитами (видится как графический фильтр)
 +
 +**Минусы:**
 +  * Требует ручной настройки путей DLL и фильтрации ReShade-шейдеров
 +  * Может сбивать порядок захвата текстур/буферов
 +
 +----
 +
 +==== Обход античитов ====
 +Некоторые игры с EAC, BattleEye, Denuvo или собственными DRM-механизмами могут блокировать:
 +  * инжекцию DLL
 +  * отладку процессов
 +  * графический хук
 +
 +**Способы обхода:**
 +  * Использование **режима оффлайн** (Steam/Origin/Uplay)
 +  * Запуск игры через **ReShade**, и подмена стандартных `d3d*.dll`
 +  * Использование **пользовательских launchers** (например, с отключённым античитом)
 +  * Инъекция через **NinjaRipper Intruder Injector** (настройка процесса захвата вручную)
 +  * Работа с **Portable-версией игры** (если доступна)
 +
 +**Важно:** Многие античиты распознают NinjaRipper как потенциально вредоносную активность. Используйте **только для анализа, моддинга и образовательных целей** в **оффлайн-режиме**.
 +
 +----
 +
 +==== Рекомендованные конфигурации запуска NinjaRipper ====
 +Для повышения шансов успешного захвата моделей:
 +
 +**1. ReShade-хук (гибридный метод):**
 +  * Установить ReShade в папку с игрой
 +  * Назначить `dxgi.dll` как целевой для захвата
 +  * Выбрать в NinjaRipper режим `Intruder Injector`
 +  * Указать путь к `ReShade64.dll` или `dxgi.dll`
 +
 +**2. Wrapper Mode (менее стабильный, но работает без инъекции):**
 +  * Выбрать DLL-соответствие API (d3d11.dll, opengl32.dll)
 +  * Поместить файлы NinjaRipper в корень игры
 +  * Запустить игру напрямую
 +
 +**3. Параметры запуска:**
 +  * `Admin mode`: всегда запускать NinjaRipper и игру от имени администратора
 +  * `DelayInject`: увеличить задержку инъекции до 3000–5000 мс
 +  * `Force Windowed`: запуск игры в оконном режиме для стабильности захвата
 +  * `Disable anti-aliasing`: часто мешает корректному извлечению геометрии
 +
 +**Дополнительно:**
 +  * Сохраняйте лог процесса
 +  * Пробуйте разные версии NinjaRipper (1.7, 2.0 beta)
 +  * Используйте **NinjaRipper Viewer** для первичного анализа `.rip` файлов
 +
 +----
 +
 +
 +
 +
 +==== Wireshark ====
 +**Плюсы:**
 +  * Поддержка множества сетевых протоколов
 +  * Фильтрация и анализ трафика в реальном времени
 +  * Расширяемость с помощью плагинов
 +
 +**Минусы:**
 +  * Требует знаний сетевых протоколов
 +  * Не все шифрованные протоколы можно расшифровать
 +
 +**Лучше всего подходит для:**
 +  * Сниффинга трафика
 +  * Анализа сетевой безопасности
 +
 +==== WebBrowserPassView / Mail PassView ====
 +**Плюсы:**
 +  * Мгновенный доступ к сохранённым паролям
 +  * Поддержка большинства популярных браузеров и клиентов
 +
 +**Минусы:**
 +  * Распознается антивирусами как потенциально вредоносное ПО
 +  * Не работает при шифровании профиля пользователя
 +
 +**Лучше всего подходит для:**
 +  * Восстановления забытых паролей
 +  * Анализа скомпрометированных систем
 +
 +----
 +
 +===== Анализаторы =====
 +Программы, выполняющие статический или динамический анализ кода, структуры или поведения файлов.
 +
 +==== CFF Explorer ====
 +**Плюсы:**
 +  * Удобная работа с PE-заголовками
 +  * Интеграция с PE-дизассемблером
 +  * Возможность модификации структур PE
 +
 +**Минусы:**
 +  * Устаревший интерфейс
 +  * Не подходит для глубокой отладки
 +
 +**Лучше всего подходит для:**
 +  * Изучения структуры исполняемых файлов
 +  * Модификации импортов и заголовков
 +
 +==== Detect It Easy (DIE) ====
 +**Плюсы:**
 +  * Определение компиляторов, упаковщиков
 +  * Расширяемая сигнатурная база
 +
 +**Минусы:**
 +  * Только статический анализ
 +  * Возможны ложные срабатывания
 +
 +**Лучше всего подходит для:**
 +  * Быстрого определения типа файла
 +  * Анализа защиты файлов
 +
 +==== Pestudio ====
 +**Плюсы:**
 +  * Автоматический анализ подозрительных характеристик
 +  * Интеграция с VirusTotal и другими сервисами
 +
 +**Минусы:**
 +  * Нет динамического анализа
 +  * Закрытый исходный код
 +
 +**Лучше всего подходит для:**
 +  * Малварного анализа
 +  * Предварительного сканирования перед реверсом
 +
 +===== Эмуляторы =====
 +Позволяют запускать или анализировать поведение исполняемых файлов в изолированной или эмулируемой среде. Часто используются для анализа вредоносного ПО и отладки.
 +
 +==== QEMU ====
 +**Плюсы:**
 +  * Поддержка множества архитектур (x86, ARM, MIPS, RISC-V и др.)
 +  * Возможность запуска образов ОС
 +  * Используется в связке с GDB для отладки
 +
 +**Минусы:**
 +  * Сложность настройки
 +  * Менее удобен для Windows-приложений
 +
 +**Лучше всего подходит для:**
 +  * Эмуляции нестандартных или встраиваемых систем
 +  * Отладки low-level кода (прошивки, ядро)
 +
 +----
 +
 +==== Bochs ====
 +**Плюсы:**
 +  * Аппаратная эмуляция на уровне инструкций CPU
 +  * Поддержка отладки и трассировки инструкций
 +
 +**Минусы:**
 +  * Медленная работа
 +  * Ограниченные возможности по сравнению с QEMU
 +
 +**Лучше всего подходит для:**
 +  * Отладки загрузчиков и низкоуровневого кода
 +  * Эмуляции старых x86-систем
 +
 +----
 +
 +==== Unicorn Engine ====
 +**Плюсы:**
 +  * Быстрая и лёгкая интеграция
 +  * Скриптуемость на Python, C и др.
 +  * Поддержка нескольких архитектур
 +
 +**Минусы:**
 +  * Только эмуляция CPU (без ОС и API)
 +  * Требует ручной загрузки данных/регистров
 +
 +**Лучше всего подходит для:**
 +  * Частичной эмуляции фрагментов бинарного кода
 +  * Эмуляции shell-кода и вредоносных инструкций
 +
 +----
 +
 +===== Декомпиляторы =====
 +Инструменты, преобразующие машинный код в псевдокод высокого уровня для лучшего понимания логики программы.
 +
 +==== RetDec ====
 +**Плюсы:**
 +  * Open Source
 +  * Поддержка множества форматов (PE, ELF, Mach-O)
 +  * Интеграция с IDA и Ghidra
 +
 +**Минусы:**
 +  * Псевдокод часто содержит лишние конструкции
 +  * Нет полноценного GUI
 +
 +**Лучше всего подходит для:**
 +  * Декомпиляции редких форматов
 +  * Образовательных и исследовательских задач
 +
 +----
 +
 +==== JEB Decompiler ====
 +**Плюсы:**
 +  * Поддержка Android, Java и native кода
 +  * Прекрасный GUI
 +  * Поддержка obfuscation-aware анализа
 +
 +**Минусы:**
 +  * Платный (дорогая лицензия)
 +  * Требует регистрации
 +
 +**Лучше всего подходит для:**
 +  * Анализа Android-приложений и DEX-файлов
 +  * Обратного инжиниринга Java-кода
 +
 +----
 +
 +===== Инструменты упаковки/распаковки =====
 +
 +==== UPX ====
 +**Плюсы:**
 +  * Высокая степень сжатия
 +  * Поддержка множества форматов (PE, ELF, Mach-O)
 +  * Возможность распаковки
 +
 +**Минусы:**
 +  * Легко обнаруживается защитными средствами
 +  * Простота обхода
 +
 +**Лучше всего подходит для:**
 +  * Минимизации размера файлов
 +  * Тестирования unpacking-рутин в анализе вредоносного ПО
 +
 +----
 +
 +==== MPRESS, ASPack, Themida (коммерческие) ====
 +**Плюсы:**
 +  * Защита от реверс-инжиниринга и анализа
 +  * Встроенные анти-дизассемблерные техники
 +
 +**Минусы:**
 +  * Трудности при отладке/анализе
 +  * Может вызывать ложные срабатывания антивирусов
 +
 +**Лучше всего подходит для:**
 +  * Защиты авторского ПО
 +  * Усложнения анализа вредоносного кода
 +
 +----
 +
 +===== Мониторинг API =====
 +
 +==== API Monitor ====
 +**Плюсы:**
 +  * Перехват WinAPI и COM-вызовов в реальном времени
 +  * Настраиваемые фильтры
 +  * Возможность перехвата параметров и возвращаемых значений
 +
 +**Минусы:**
 +  * Только для Windows
 +  * Ограниченная автоматизация
 +
 +**Лучше всего подходит для:**
 +  * Анализа поведения исполняемых файлов
 +  * Поиска точек входа для отладки
 +
 +----
 +
 +==== Procmon (Sysinternals) ====
 +**Плюсы:**
 +  * Логгирование всех файловых, реестровых и сетевых операций
 +  * Гибкая фильтрация событий
 +
 +**Минусы:**
 +  * Много лишнего шума
 +  * Нет возможности детальной трассировки кода
 +
 +**Лучше всего подходит для:**
 +  * Поведенческого анализа ПО
 +  * Обнаружения следов активности малвари
 +
 +----
 +
 +===== Инструменты анти-анализа =====
 +Техники и утилиты, используемые для защиты программ от анализа, отладки и реверс-инжиниринга.
 +
 +==== ScyllaHide (для x64dbg) ====
 +**Плюсы:**
 +  * Скрытие от отладчиков
 +  * Обход анти-отладочных проверок
 +
 +**Минусы:**
 +  * Требует настройки
 +  * Может быть несовместим с некоторыми конфигурациями
 +
 +**Лучше всего подходит для:**
 +  * Обхода защит в процессе отладки
 +  * Анализа защищённых бинарников
 +
 +----
 +
 +==== VMProtect / Enigma Protector / Themida (анализируемые) ====
 +**Плюсы:**
 +  * Используют виртуализацию инструкций
 +  * Противодействуют статическому и динамическому анализу
 +
 +**Минусы:**
 +  * Сложны для реверса
 +  * Часто требуют написания собственных распаковщиков/декодеров
 +
 +**Лучше всего подходит для:**
 +  * Обучения анти-анализу
 +  * Анализа сложных вредоносных образцов
 +
 +----
 +
 +==== Pafish (для песочниц и анализаторов) ====
 +**Плюсы:**
 +  * Проверяет наличие виртуализации, отладчиков, хуков
 +  * Используется как тест для песочниц и sandboxes
 +
 +**Минусы:**
 +  * Не защищает, а проверяет окружение
 +
 +**Лучше всего подходит для:**
 +  * Анализа среды исполнения
 +  * Тестирования эффективности анти-анализов
 +
 +