reverseenengineering:soft

Различия

Показаны различия между двумя версиями страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
Следующая версия		 Предыдущая версия
reverseenengineering:soft [2025/07/16 22:52] Lexreverseenengineering:soft [2025/07/17 02:18] (текущий) – [Граберы] Lex
Строка 2: Строка 2:
  
 ===== Отладчики ===== ===== Отладчики =====
 +Отладчики — ключевой инструмент реверс-инженера. Они позволяют по шагам выполнять бинарные файлы, устанавливать точки останова (breakpoints), изменять память и регистры, отслеживать системные вызовы и поведение исполняемого кода в реальном времени. Ниже представлены наиболее популярные отладчики, их преимущества и недостатки.
 +
 +----
  
 ==== x64dbg/x32dbg ==== ==== x64dbg/x32dbg ====
-x64dbg и x32dbg — это отладчики с открытым исходным кодом для 64-битных и 32-битных Windows-приложений соответственно.+Мощный и активно развиваемый отладчик с открытым исходным кодом для 64-битных (x64dbg) и 32-битных (x32dbg) PE-файлов на Windows. Представляет собой современную альтернативу OllyDbg. 
 + 
 +**Функциональность:** 
 +  * Графический дизассемблер и отладчик 
 +  * Поддержка плагинов и скриптов 
 +  * Удобная панель регистров, стек, память, карты модулей 
 +  * Поддержка обфусцированных и защищённых файлов (совместим с ScyllaHide) 
 +  * Поиск строк, API-вызовов, переходов и ссылок 
 +  * Интеграция с символами PDB 
 +  * Расширенные инструменты анализа (xAnalyzer)
  
 **Плюсы:** **Плюсы:**
-  * Удобный графический интерфейс +  * Современный UI, горячие клавиши и настраиваемые макросы 
-  * Активное сообщество и регулярные обновления +  * Поддержка символов и комментариев 
-  * Поддержка плагинов +  * Бесплатен, активно развивается
-  * Расширенные функции скриптинга (xAnalyzer, ScyllaHide и т.д.)+
  
 **Минусы:** **Минусы:**
   * Только для Windows   * Только для Windows
-  * Может быть менее мощным для анализа сложных обфусцированных исполняемых файлов по сравнению с IDA Pro+  * Зависит от структуры PE-файлов (мало пригоден для анализа прошивок и нестандартных форматов)
  
-**Лучше всего подходит для:** +**Идеально подходит для:** 
-  * Отладки PE-файлов +  * Интерактивного анализа поведения вредоносного кода 
-  * Реверс-инжиниринга вредоносных программ +  * Динамического патчинга программ 
-  * Патчинга исполняемых файлов+  * Поиска уязвимостей и отладки софта Windows
  
 ---- ----
  
 ==== OllyDbg ==== ==== OllyDbg ====
-OllyDbg — классический 32-битный отладчик для Windows.+Легендарный отладчик для 32-битных приложений Windows. Свою популярность он получил за счёт простоты и большого количества доступных плагинов. 
 + 
 +**Функциональность:** 
 +  * Отладка и дизассемблирование кода 
 +  * Анализ импортов/экспортов, команд переходов 
 +  * Интерактивное редактирование кода и данных 
 +  * Система плагинов (OllyAdvanced, StrongOD и др.) 
 +  * Поиск по памяти, именам функций и т.д.
  
 **Плюсы:** **Плюсы:**
-  * Простота использования +  * Интуитивно понятный интерфейс 
-  * Хорошо подходит для начинающих +  * Отлично подходит для обучения 
-  * Большое количество плагинов+  * Большое сообщество и документация
  
 **Минусы:** **Минусы:**
-  * Нет поддержки 64-битных приложений +  * Только 32-бит 
-  * Проект устарел, давно не обновлялся +  * Нет обновлений с 2014 года 
-  * Ограниченные возможности по сравнению с современными отладчиками+  * Сложности с новыми системами и защищёнными файлами
  
-**Лучше всего подходит для:** +**Идеально подходит для:** 
-  * Обучения отладке +  * Реверса старых программ 
-  * Реверса старого 32-битного ПО+  * Учебных целей и демонстрации базовых техник
  
 ---- ----
  
 ==== IDA Pro ==== ==== IDA Pro ====
-IDA Pro — один из самых мощных коммерческих дизассемблеров с функцией отладки.+Один из самых мощных дизассемблеров и отладчиков на рынке. Представляет собой коммерческий инструмент для статического и динамического анализа исполняемых файлов
 + 
 +**Функциональность:** 
 +  * Гибридный статический анализ с возможностью отладки (Debugging + Disassembly) 
 +  * Поддержка десятков архитектур и форматов (x86, x64, ARM, MIPS, PowerPC и др.
 +  * Встроенный скриптовый язык IDC и Python API 
 +  * Интерактивная графовая навигация по коду (flow chart) 
 +  * Интеграция с декомпилятором (Hex-Rays Decompiler)
  
 **Плюсы:** **Плюсы:**
-  * Мощный статический анализатор +  * Глубокий статический анализ 
-  * Поддержка множества архитектур и форматов +  * Расширяемость через скрипты и плагины 
-  * Встроенный отладчик +  * Широкое применение в профессиональном реверсе
-  * Интерактивная диаграмма потоков управления+
  
 **Минусы:** **Минусы:**
-  * Высокая стоимость лицензии+  * Высокая цена ($$$)
   * Сложный интерфейс для новичков   * Сложный интерфейс для новичков
-  * Ограничения демо-версии+  * Некоторые функции недоступны в бесплатной версии (IDA Free)
  
-**Лучше всего подходит для:** +**Идеально подходит для:** 
-  * Глубокого статического анализа +  * Глубокого анализа вредоносного кода, прошивок, драйверов 
-  * Реверс-инжиниринга сложного ПО и прошивок +  * Работа с редкими архитектурами и нестандартными бинарниками 
-  * Анализа вредоносного ПО+  * Исследовательской работы в области reverse engineering
  
 ---- ----
  
 ==== RADARE2 ==== ==== RADARE2 ====
-RADARE2 — мощный кроссплатформенный фреймворк для анализа бинарных файлов.+Продвинутый кроссплатформенный фреймворк для анализа бинарных файлов. Поддерживает отладку, дизассемблирование, патчинг, анализ и скриптинг. Имеет высокую кривую обучения.
  
-**Плюсы:** +**Функциональность:** 
-  * Кроссплатформенность (Linux, Windows, macOS)+  * Консольный интерфейс + веб GUI (Cutter) и Ghidra-подобный декомпилятор (r2ghidra)
   * Поддержка множества архитектур   * Поддержка множества архитектур
-  * Скриптуемость (ESIL, r2pipe) +  * Символьный анализ, поиск входных точек, визуализация CFG 
-  * Поддержка анализа прошивок+  * Плагинная архитектура и мощный скриптовый движок (r2pipe, ESIL
 + 
 +*люсы:** 
 +  * Открытый исходный код 
 +  * Гибкость и расширяемость 
 +  * Работа на Linux, macOS, Windows
  
 **Минусы:** **Минусы:**
-  * Высокий порог входа, сложный интерфейс +  * Высокий порог входа (CLI-first) 
-  * Отсутствие полноценного GUI (только r2ghidra и Cutter)+  * Недостаток стабильности в некоторых плагинах 
 +  * Слабый GUI по сравнению с конкурентами
  
-**Лучше всего подходит для:** +**Идеально подходит для:** 
-  * Анализа нестандартных форматов и платформ +  * Кроссплатформенного анализа бинарников 
-  * Автоматизации реверса+  * Сценарного анализа и автоматизации
   * Проектов с открытым исходным кодом   * Проектов с открытым исходным кодом
  
Строка 84: Строка 114:
  
 ==== GHIDRA ==== ==== GHIDRA ====
-GHIDRA — бесплатный инструмент от NSA для обратного инжиниринга.+Открытый проект от Агентства национальной безопасности США (NSA), предназначенный для реверс-инжиниринга. Предоставляет продвинутую визуальную среду с декомпиляцией, графами и анализом. 
 + 
 +**Функциональность:** 
 +  * Поддержка PE, ELF, Mach-O, и других форматов 
 +  * Встроенный декомпилятор в стиле C-подобного кода 
 +  * Графовая навигация по коду, анализ зависимостей 
 +  * Поддержка скриптов на Java, Python (Jython) 
 +  * Совместная работа (multi-user mode), плагинная архитектура
  
 **Плюсы:** **Плюсы:**
-  * Бесплатная и мощная альтернатива IDA Pro +  * Бесплатна и кроссплатформенна 
-  * Поддержка различных платформ и форматов +  * Постоянно обновляется 
-  * Встроенный декомпилятор +  * Сравнима по возможностям с IDA Pro
-  * Скриптуемость на Java и Python+
  
 **Минусы:** **Минусы:**
-  * Меньше готовых плагинов по сравнению с IDA +  * Медленная работа на больших бинарниках 
-  * Более медленная работа на больших проектах +  * Некоторые баги при декомпиляции нестандартного кода 
-  * GUI может быть неудобным для некоторых задач+  * Интерфейс требует привыкания
  
-**Лучше всего подходит для:** +**Идеально подходит для:** 
-  * Статического анализа +  * Начального и среднего уровня анализа 
-  * Декомпиляции бинарных файлов +  * Углублённой работы с декомпиляцией 
-  * Обучения реверснжинирингу+  * Исследования прошивок и вредоносных программ
  
-----+===== Сравнительная характеристика ===== 
 + 
 +^ Отладчик      ^ Архитектуры                   ^ GUI / CLI ^ Декомпиляция ^ API / Скрипты        ^ Расширяемость       ^ ОС           ^ 
 +| x64dbg/x32dbg | x86, x64                     | GUI       | Нет (внешние) | Да (скрипты и плагин API) | Высокая (много плагинов) | Windows      | 
 +| OllyDbg       | x86                          | GUI       | Нет          | Ограничено (плагины)       | Средняя (устаревшие плагины) | Windows      | 
 +| IDA Pro       | x86, x64, ARM, MIPS, PowerPC, и др. | GUI + CLI | Да (Hex-Rays) | Да (IDC, Python API)     | Высокая (много плагинов, SDK) | Windows, Linux, macOS | 
 +| RADARE2       | x86, x64, ARM, MIPS, AVR, SPARC и др. | CLI (Cutter — GUI) | Да (через r2ghidra, cxx) | Да (ESIL, r2pipe, Python, JS) | Очень высокая (модули, плагины, open source) | Windows, Linux, macOS | 
 +| GHIDRA        | x86, x64, ARM, MIPS, PPC, и др. | GUI       | Да (встроенный) | Да (Java, Python (Jython)) | Высокая (плагины, open source) | Windows, Linux, macOS | 
 +| Bochs         | x86, x86-64                  | GUI + CLI | Нет          | Да (GDB integration)        | Низкая                    | Windows, Linux, macOS | 
 +| QEMU          | x86, x64, ARM, MIPS, и др.   | CLI       | Нет          | Да (GDB, TCG hooks)         | Средняя                   | Windows, Linux, macOS | 
 +| Unicorn Engine| x86, x64, ARM, ARM64, MIPS   | API Only  | Нет          | Да (C, Python, Ruby, Go)    | Высокая (библиотека для эмуляции) | Windows, Linux, macOS | 
 + 
 +  * Архитектуры — поддерживаемые архитектуры процессоров 
 +  * GUI / CLI — графический или командный интерфейс 
 +  * Декомпиляция — встроенный или сторонний декомпилятор (возможность восстановления C-подобного кода) 
 +  * API / Скрипты — возможность автоматизации через API, скриптовые языки 
 +  * Расширяемость — поддержка плагинов, модулей, настройка 
 +  * ОС — операционные системы, на которых работает отладчик
  
 ===== Сканеры ресурсов ===== ===== Сканеры ресурсов =====
Строка 139: Строка 192:
 ===== Граберы ===== ===== Граберы =====
 Инструменты для перехвата и извлечения данных, таких как логины, ключи и сетевой трафик. Инструменты для перехвата и извлечения данных, таких как логины, ключи и сетевой трафик.
 +
 +
 +==== NinjaRipper ====
 +NinjaRipper — инструмент для **перехвата и извлечения 3D-моделей**, текстур и других графических ресурсов из запущенных DirectX/OpenGL/Vulkan приложений (чаще всего — игр). Используется при создании модов, в обучающих целях, для анализа движков или цифровой архивации.
 +
 +**Функциональность:**
 +  * Перехват моделей, мешей, текстур во время выполнения
 +  * Поддержка DirectX 9/11/12, OpenGL, Vulkan (ограниченно)
 +  * Возможность экспорта в формат `.rip` или `.obj`
 +  * Сопровождается визуальным препросмотром (NinjaViewer)
 +  * Перехватывает также шейдеры и их параметры (в зависимости от движка)
 +
 +**Плюсы:**
 +  * Позволяет извлечь ресурсы даже из защищённых или нестандартных движков
 +  * Может работать с 32/64-битными играми
 +  * Сообщество активно делится профилями и опытом
 +  * Поддержка различных хаков запуска (вкл. ReShade hook и Custom DLL Injection)
 +
 +**Минусы:**
 +  * Не всегда работает с современными движками и античитами
 +  * Часто требует подбора запуска (launch mode, wrapper, hooking)
 +  * Модели могут экспортироваться без структуры (нужно вручную собирать сцены)
 +  * Может вызывать падение игры или конфликт с защитой
 +
 +**Лучше всего подходит для:**
 +  * Извлечения 3D-моделей из старых и средних по возрасту игр
 +  * Создания модов, цифровой реставрации и обучения 3D-графике
 +  * Исследования проприетарных движков, визуализации игровых сцен
 +
 +==== Сравнение: NinjaRipper vs 3D Ripper DX ====
 +^ Характеристика         ^ NinjaRipper                         ^ 3D Ripper DX                          ^
 +| Поддержка API          | DirectX 9/10/11/12, OpenGL, Vulkan  | Только DirectX 6–9                    |
 +| Совместимость          | Современные и старые движки         | Только старые игры (до 2012 года)     |
 +| Формат вывода          | .rip, .obj, текстуры (DDS/TGA)      | .3DR, .obj, .dds                      |
 +| Поддержка 64-бит       | Да                                  | Нет                                   |
 +| Работа в Windows 10/11 | Да (частично, зависит от метода)    | Ограниченно, часто нестабильно        |
 +| Уровень захвата        | Более гибкий (свой рендер-хук)      | Низкоуровневый захват DX9 сцены       |
 +| Поддержка ReShade      | Да (совместим через Proxy DLL)      | Нет                                   |
 +
 +**Вывод:**  
 +*3D Ripper DX* — устаревший, но всё ещё работает с очень старыми DirectX9-играми (2000–2012).  
 +*NinjaRipper* — универсальнее, работает с большинством современных игр и поддерживает больше API.
 +
 +----
 +
 +==== Интеграция с ReShade ====
 +ReShade — инструмент постобработки, часто используемый как промежуточный **hook-слой** в графическом конвейере. Он может **конфликтовать с NinjaRipper**, но также помогает **обходить античиты**, выступая как "легитимный" графический фильтр.
 +
 +**Методы интеграции:**
 +  * Установка ReShade перед запуском игры
 +  * Использование ReShade `.dll` в качестве прокси-хука (`dxgi.dll` / `d3d11.dll`)
 +  * Привязка NinjaRipper к ReShade-процессу (в режимах: `Intruder Injector` или `Wrapper Mode`)
 +  * Изменение порядка загрузки DLL (через `LoadLibrary`)
 +
 +**Плюсы:**
 +  * ReShade помогает перехватывать сцены там, где NinjaRipper не может напрямую
 +  * Уменьшает вероятность детекта античитами (видится как графический фильтр)
 +
 +**Минусы:**
 +  * Требует ручной настройки путей DLL и фильтрации ReShade-шейдеров
 +  * Может сбивать порядок захвата текстур/буферов
 +
 +----
 +
 +==== Обход античитов ====
 +Некоторые игры с EAC, BattleEye, Denuvo или собственными DRM-механизмами могут блокировать:
 +  * инжекцию DLL
 +  * отладку процессов
 +  * графический хук
 +
 +**Способы обхода:**
 +  * Использование **режима оффлайн** (Steam/Origin/Uplay)
 +  * Запуск игры через **ReShade**, и подмена стандартных `d3d*.dll`
 +  * Использование **пользовательских launchers** (например, с отключённым античитом)
 +  * Инъекция через **NinjaRipper Intruder Injector** (настройка процесса захвата вручную)
 +  * Работа с **Portable-версией игры** (если доступна)
 +
 +**Важно:** Многие античиты распознают NinjaRipper как потенциально вредоносную активность. Используйте **только для анализа, моддинга и образовательных целей** в **оффлайн-режиме**.
 +
 +----
 +
 +==== Рекомендованные конфигурации запуска NinjaRipper ====
 +Для повышения шансов успешного захвата моделей:
 +
 +**1. ReShade-хук (гибридный метод):**
 +  * Установить ReShade в папку с игрой
 +  * Назначить `dxgi.dll` как целевой для захвата
 +  * Выбрать в NinjaRipper режим `Intruder Injector`
 +  * Указать путь к `ReShade64.dll` или `dxgi.dll`
 +
 +**2. Wrapper Mode (менее стабильный, но работает без инъекции):**
 +  * Выбрать DLL-соответствие API (d3d11.dll, opengl32.dll)
 +  * Поместить файлы NinjaRipper в корень игры
 +  * Запустить игру напрямую
 +
 +**3. Параметры запуска:**
 +  * `Admin mode`: всегда запускать NinjaRipper и игру от имени администратора
 +  * `DelayInject`: увеличить задержку инъекции до 3000–5000 мс
 +  * `Force Windowed`: запуск игры в оконном режиме для стабильности захвата
 +  * `Disable anti-aliasing`: часто мешает корректному извлечению геометрии
 +
 +**Дополнительно:**
 +  * Сохраняйте лог процесса
 +  * Пробуйте разные версии NinjaRipper (1.7, 2.0 beta)
 +  * Используйте **NinjaRipper Viewer** для первичного анализа `.rip` файлов
 +
 +----
 +
 +
 +
  
 ==== Wireshark ==== ==== Wireshark ====
Строка 211: Строка 374:
   * Малварного анализа   * Малварного анализа
   * Предварительного сканирования перед реверсом   * Предварительного сканирования перед реверсом
 +
 +===== Эмуляторы =====
 +Позволяют запускать или анализировать поведение исполняемых файлов в изолированной или эмулируемой среде. Часто используются для анализа вредоносного ПО и отладки.
 +
 +==== QEMU ====
 +**Плюсы:**
 +  * Поддержка множества архитектур (x86, ARM, MIPS, RISC-V и др.)
 +  * Возможность запуска образов ОС
 +  * Используется в связке с GDB для отладки
 +
 +**Минусы:**
 +  * Сложность настройки
 +  * Менее удобен для Windows-приложений
 +
 +**Лучше всего подходит для:**
 +  * Эмуляции нестандартных или встраиваемых систем
 +  * Отладки low-level кода (прошивки, ядро)
 +
 +----
 +
 +==== Bochs ====
 +**Плюсы:**
 +  * Аппаратная эмуляция на уровне инструкций CPU
 +  * Поддержка отладки и трассировки инструкций
 +
 +**Минусы:**
 +  * Медленная работа
 +  * Ограниченные возможности по сравнению с QEMU
 +
 +**Лучше всего подходит для:**
 +  * Отладки загрузчиков и низкоуровневого кода
 +  * Эмуляции старых x86-систем
 +
 +----
 +
 +==== Unicorn Engine ====
 +**Плюсы:**
 +  * Быстрая и лёгкая интеграция
 +  * Скриптуемость на Python, C и др.
 +  * Поддержка нескольких архитектур
 +
 +**Минусы:**
 +  * Только эмуляция CPU (без ОС и API)
 +  * Требует ручной загрузки данных/регистров
 +
 +**Лучше всего подходит для:**
 +  * Частичной эмуляции фрагментов бинарного кода
 +  * Эмуляции shell-кода и вредоносных инструкций
 +
 +----
 +
 +===== Декомпиляторы =====
 +Инструменты, преобразующие машинный код в псевдокод высокого уровня для лучшего понимания логики программы.
 +
 +==== RetDec ====
 +**Плюсы:**
 +  * Open Source
 +  * Поддержка множества форматов (PE, ELF, Mach-O)
 +  * Интеграция с IDA и Ghidra
 +
 +**Минусы:**
 +  * Псевдокод часто содержит лишние конструкции
 +  * Нет полноценного GUI
 +
 +**Лучше всего подходит для:**
 +  * Декомпиляции редких форматов
 +  * Образовательных и исследовательских задач
 +
 +----
 +
 +==== JEB Decompiler ====
 +**Плюсы:**
 +  * Поддержка Android, Java и native кода
 +  * Прекрасный GUI
 +  * Поддержка obfuscation-aware анализа
 +
 +**Минусы:**
 +  * Платный (дорогая лицензия)
 +  * Требует регистрации
 +
 +**Лучше всего подходит для:**
 +  * Анализа Android-приложений и DEX-файлов
 +  * Обратного инжиниринга Java-кода
 +
 +----
 +
 +===== Инструменты упаковки/распаковки =====
 +
 +==== UPX ====
 +**Плюсы:**
 +  * Высокая степень сжатия
 +  * Поддержка множества форматов (PE, ELF, Mach-O)
 +  * Возможность распаковки
 +
 +**Минусы:**
 +  * Легко обнаруживается защитными средствами
 +  * Простота обхода
 +
 +**Лучше всего подходит для:**
 +  * Минимизации размера файлов
 +  * Тестирования unpacking-рутин в анализе вредоносного ПО
 +
 +----
 +
 +==== MPRESS, ASPack, Themida (коммерческие) ====
 +**Плюсы:**
 +  * Защита от реверс-инжиниринга и анализа
 +  * Встроенные анти-дизассемблерные техники
 +
 +**Минусы:**
 +  * Трудности при отладке/анализе
 +  * Может вызывать ложные срабатывания антивирусов
 +
 +**Лучше всего подходит для:**
 +  * Защиты авторского ПО
 +  * Усложнения анализа вредоносного кода
 +
 +----
 +
 +===== Мониторинг API =====
 +
 +==== API Monitor ====
 +**Плюсы:**
 +  * Перехват WinAPI и COM-вызовов в реальном времени
 +  * Настраиваемые фильтры
 +  * Возможность перехвата параметров и возвращаемых значений
 +
 +**Минусы:**
 +  * Только для Windows
 +  * Ограниченная автоматизация
 +
 +**Лучше всего подходит для:**
 +  * Анализа поведения исполняемых файлов
 +  * Поиска точек входа для отладки
 +
 +----
 +
 +==== Procmon (Sysinternals) ====
 +**Плюсы:**
 +  * Логгирование всех файловых, реестровых и сетевых операций
 +  * Гибкая фильтрация событий
 +
 +**Минусы:**
 +  * Много лишнего шума
 +  * Нет возможности детальной трассировки кода
 +
 +**Лучше всего подходит для:**
 +  * Поведенческого анализа ПО
 +  * Обнаружения следов активности малвари
 +
 +----
 +
 +===== Инструменты анти-анализа =====
 +Техники и утилиты, используемые для защиты программ от анализа, отладки и реверс-инжиниринга.
 +
 +==== ScyllaHide (для x64dbg) ====
 +**Плюсы:**
 +  * Скрытие от отладчиков
 +  * Обход анти-отладочных проверок
 +
 +**Минусы:**
 +  * Требует настройки
 +  * Может быть несовместим с некоторыми конфигурациями
 +
 +**Лучше всего подходит для:**
 +  * Обхода защит в процессе отладки
 +  * Анализа защищённых бинарников
 +
 +----
 +
 +==== VMProtect / Enigma Protector / Themida (анализируемые) ====
 +**Плюсы:**
 +  * Используют виртуализацию инструкций
 +  * Противодействуют статическому и динамическому анализу
 +
 +**Минусы:**
 +  * Сложны для реверса
 +  * Часто требуют написания собственных распаковщиков/декодеров
 +
 +**Лучше всего подходит для:**
 +  * Обучения анти-анализу
 +  * Анализа сложных вредоносных образцов
 +
 +----
 +
 +==== Pafish (для песочниц и анализаторов) ====
 +**Плюсы:**
 +  * Проверяет наличие виртуализации, отладчиков, хуков
 +  * Используется как тест для песочниц и sandboxes
 +
 +**Минусы:**
 +  * Не защищает, а проверяет окружение
 +
 +**Лучше всего подходит для:**
 +  * Анализа среды исполнения
 +  * Тестирования эффективности анти-анализов
 +
  
  
  • reverseenengineering/soft.1752681145.txt.gz
  • Последнее изменение: 2025/07/16 22:52
  • Lex