Quels sont vos meilleurs outils de rétroingénierie et pourquoi ?



par

Merci pour l'A2A. Je préfère ces outils pour différentes étapes de la rétro-ingénierie (dans les binaires windows PE):

  • analyser la cible : avant de faire des trucs de rétro-ingénierie, nous devons analyser la cible pour obtenir des informations de base à partir des binaires.Je préfère des outils comme PEiD - aldeid et Exeinfo PE en raison de leur simplicité 🙂 ces outils reconnaissent quel langage de programmation a compilé le binaire (par exemple c++ , delphi ,pure ASM et ainsi de suite) ou même des informations précises comme quel compilateur pour ce langage a fait cela (par ex. g++ ou le compilateur Visual Studio ou Borland pour le langage c++). une autre caractéristique utile de cette étape est que vous pouvez trouver les binaires emballés ou obfusqués en voyant la sortie des outils qui ont été créés à cet effet comme ceci:

main-qimg-382f126eefba383c9062f8216d76aff1.webp

il vous indique que le binaire est empaqueté avec UPX

  • dépaquetage : il existe un nombre énorme d'empaqueteurs dans le monde avec différentes approches. pour les empaqueteurs célèbres (par exemple UPX ou ASPACK), il existe des outils automatiques de dépaquetage (par ex.g. PE Explorer. qui décompresse automatiquement les fichiers exe empaquetés par UPX lorsqu'ils sont ouverts) mais un vrai inverseur doit apprendre à décompresser manuellement des empaqueteurs inconnus (ou même connus). pour décompresser manuellement Import REConstructor est très utile pour reconstruire la table d'adresses d'importation (IAT) du binaire décompressé manuellement et reconstruire le fichier exécutable
  • analyse statique : je préfère IDA pro pour cette étape. car il est très puissant et aussi vous pouvez l'utiliser depuis linux (il est créé avec le framework Qt cross-platform :D)
  • analyse dynamique : je préfère Olly Debugger et aussi immunity debugger (car il accepte les scripts python et très similaire à ollyDbg) Olly debugger est vraiment très simple et puissant débogueur pour les binaires 32 bit PE il a beaucoup de fonctionnalités et aussi beaucoup de gens écrivent des scripts utiles pour lui.

finalement je vous suggère de lire ces liens pour plus d'outils et de trucs 🙂
un livre vraiment pratique qui présente de nombreux outils et moyens pour la rétro-ingénierie => Practical Malware Analysis : The Hands-On Guide to Dissecting Malicious Software : Michael Sikorski, Andrew Honig : 9781593272906 : Amazon.com : Books

Tutoriels de rétroingénierie pour les débutants => Lenas Reversing for Newbies / Downloads

.