Retargetable Decompiler

Сейчас на форуме: -Sanchez-, Alf, Adler, Rio (+5 невидимых)

Посл.ответ	Сообщение
4kusNick Ранг: 748.2 (! !), 390thx Активность: 0.37↘0 Статус: Участник bytecode!	Создано: 27 января 2014 15:31 · Личное сообщение · #1 Вроде не было ещё. Features Handles all the commonly used file formats (ELF, PE). Currently supports the MIPS, ARM, and Intel x86 architectures. Can decompile to two output high-level languages: C and a Python-like language. Compiler and packer detection. Extraction and utilization of debugging information (DWARF, PDB). Signature-based removal of statically linked library code. Reconstruction of functions, high-level constructs, types, etc. Generation of call graphs, control-flow graphs, and various statistics. It is actively developed. Работает online: http://decompiler.fit.vutbr.cz/decompilation/ Попробовал на очень простом рандомном примере, скомпиленном в GCC: http://pastebin.com/Dv8VgNTr На дефолтных настройках обламывается на этапе data flow analysis =\ С другим простым примером справился, на выходе получился неплохой результат, похожий на рейсовский, но не рейсовский. ----- Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

reversecode Ранг: 1053.6 (!!!!), 1078thx Активность: 1.06↘0.81 Статус: Участник	Создано: 27 января 2014 15:59 · Поправил: reversecode · Личное сообщение · #2 его недавно пиарили но декомпилить онлайн это не то, и на реальных примерах он либо падает либо таймаут в декомпиляции. авторы сказали что тем кто зарегистрируется будет выделятся больше времени но все равно не более чем игрушка подождем когда может полный пакет где то уплывет
deniskore Ранг: 53.9 (постоянный), 33thx Активность: 0.05↘0 Статус: Участник	Создано: 27 января 2014 16:00 · Личное сообщение · #3 Даже слабо обфусцированные ехешники разобрать не может. на анализе CFG помирает.
4kusNick Ранг: 748.2 (! !), 390thx Активность: 0.37↘0 Статус: Участник bytecode!	Создано: 28 января 2014 19:09 · Личное сообщение · #4 Отписал им пару багрепортов, довольно быстро и вежливо ответили, что C++ у них сейчас не в основном приоритете, мол попробуйте C версию файлов декомпильнуть. Так же говорят, что поправят эти баги в версии 1.6, радует, что они активно его пилят. ----- Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.
reversecode Ранг: 1053.6 (!!!!), 1078thx Активность: 1.06↘0.81 Статус: Участник	Создано: 28 января 2014 19:13 · Личное сообщение · #5 на х эта онлайн декомпиляция нужна спроси когда готовый бирань дадут что бы локально запускать можно было
reversecode Ранг: 1053.6 (!!!!), 1078thx Активность: 1.06↘0.81 Статус: Участник	Создано: 10 октября 2015 14:23 · Поправил: reversecode · Личное сообщение · #6 обновился 5 октября New Version: 2.1 We are proud to inform you that we have made a new version of our retargetable decompiler! Among the main features of this release belong a new instruction-decoding algorithm, improved detection of C++ classes and functions, improved decompilation of programs using wide strings or functions from the Windows API, and improved annotations (comments) in the generated high-level language. Code: A list of changes: •Added a new instruction-decoding algorithm. The new algorithm is more precise and requires less memory. •Added basic support for decompilation of COFF binary files, e.g. Windows object files (.o). •Added a new* optimization of comparisons with boolean literals. This optimization simplifies code that performs comparisons to true/false. •Improved detection of C++ classes. Our decompiler is now able to reconstruct class hierarchies, virtual-method tables, and recognize constructors, destructors, and virtual member functions. All these pieces of information are emitted as comments in the generated high-level language. •Improved decompilation of ELF binary files containing segments instead of sections. •Improved decompilation of PE binary files containing delayed imports. •Improved decompilation of programs that use functions from the standard C mathematical library (math.h). •Improved decompilation of shared (.so) and* dynamic (.dll) libraries. •Improved decompilation of programs that use wide strings. •Improved decompilation of programs that use functions from the Windows API. •Improved decompilation of UPX-packed programs. Furthermore, we newly support unpacking of several UPX modifications. •Improved detection of the tool used to create the input binary file (e.g. compiler and* packer), including detection whether the input file contains bytecode. Keep in mind that our machine-code decompiler may produce inaccurate results when decompiling bytecode. •Improved annotations (comments) in the generated high-level language: ◦Functions are now divided into several categories: user-defined, statically linked, dynamically linked, system-call, and instruction-idiom functions. - Local variables that were created from global variables (e.g. registers) now include the name of the global variable in a comment. - Register names now correspond to real register names (e.g. eax or ebx on Intel x86). Previously, we emitted our internal names. - Goto-label addresses now correspond to addresses in the input binary file. - The end address of a function is now the address of the last byte of the function (previously, it was the address of the first byte of the next function). •Slightly improved reconstruction of for loops. •Selective decompilation is now less aggressive in terms of elimination of stack accesses. This change ensures that important stack accesses (such as loading of string literals) are kept in the generated source code. •Speeded up generation of the target high-level language when decompilation optimizations are disabled. •The decompiler may now produce warnings. They are shown in the decompilation log when decompiling through our decompilation web service. •Changes in our REST API: -Added a new key to decompilation phases: warnings. It represents a list of warnings (strings) that were produced by the decompiler in the given phase. •Many bug fixes. \| Сообщение посчитали полезным: 4kusNick, sendersu, Artem_N, t0ShA
reversecode Ранг: 1053.6 (!!!!), 1078thx Активность: 1.06↘0.81 Статус: Участник	Создано: 25 августа 2016 11:00 · Поправил: reversecode · Личное сообщение · #7 плагин к иде они все так же к ихнему апи сервису привязали ? стяните кому не лень глянуть New Version: 2.2 We are proud to release a brand new version of the retargetable decompiler. Among its main features are a decompilation plugin for the IDA disassembler, implementation of a loader for all the supported file formats, and added support for decompilation of archives, object files, and files in the Intel HEX format. Code: A list of changes: •Publicly released an experimental version of our decompilation plugin for the IDA disassembler. •Implemented a loader for all the supported file formats, which improves decompilation results. •Added support for decompilation of archives (ar format) and object files. Archives are statically linked libraries, commonly ending with .a or .lib. •Added support for decompilation of files in the Intel HEX format. •Added detection of various YARA patterns (e.g. used cryptographic constants). Their presence is used to improve decompilation results. They are shown in comments in the generated C source code. •Improved unpacking of UPX-packed binaries. •Improved recognition of statically linked code. •Improved reconstruction of return types and arguments for external functions. •Reworked how raw machine code is decompiled so you no longer have to select a file format. •Changes in our fileinfo service: It can now emit the output in the JSON format. Set "Output format" to "JSON" via settings when using the service. It now produces more information about input files. For example, it now includes hashes (file, sections, imports), relocation tables for the COFF format, detected YARA patterns (e.g. used cryptographic constants), and information about resources and certificates. •Changes in our REST API: Added support for decompilation of files in archives (ar format). To decompile a file from an archive, use the bin mode and pass either the index of the file in the archive (ar_index) or its name (ar_name). Added support for decompilation of files in the Intel HEX format. To decompile such files, use the bin mode and pass the architecture and endianness of the machine code inside the file. The raw_entry_point and raw_section_vma parameters in raw decompilations no longer accept the default value. In both cases, you have to explicitly pass an address. The raw_endian parameter was renamed to endian. Use of the original name is still supported, but it is deprecated. It is no longer required to set file_format in raw decompilations. When given, it will be ignored. It is no longer possible to force an architecture when decompiling a file in the bin mode. The architecture is now detected automatically from the input file. Compiler-optimization levels can now be also specified without the leading dash (e.g. you can pass O1 instead of -O1). Added a new optional parameter output_format to the fileinfo service. You can use it to obtain the output in the JSON format. A related change is that the extension of the output file now depends on the output format. •Changes in our IDA plugin: Added support for decompilation of COFF object files. Added support for decompilation of Intel HEX files. Added support for decompilation of files containing just raw machine code. Added generation of IDA comments into C files generated by full decompilation. The plugin no longer performs automatic decompilation of the opened file upon the start of IDA. The plugin no longer ignores statically linked functions when selective decompilation is invoked through IDA. The plugin does not allow decompilation of non-existing files like objects extracted from archives. The plugin does not allow decompilations that it cannot properly handle. •Many bug fixes.
MasterSoft Ранг: 281.8 (наставник), 272thx Активность: 0.25↘0.01 Статус: Участник Destroyer of protectors	Создано: 25 августа 2016 11:07 · Личное сообщение · #8 reversecode пишет: плагин к иде они все так же к ихнему апи сервису привязали ? We have made available an experimental version of our IDA plugin to registered users. It allows you to decompile files opened in the IDA Pro disassembler via our online decompilation service.
reversecode Ранг: 1053.6 (!!!!), 1078thx Активность: 1.06↘0.81 Статус: Участник	Создано: 25 августа 2016 11:19 · Личное сообщение · #9 да я читать умею, это было еще в первой версии, но все же в душе надеюсь что хотя бы большую часть кода перенесли в плагин а не все тупо по айпи сервису но для стянуть нужно региться, мне лень
MasterSoft Ранг: 281.8 (наставник), 272thx Активность: 0.25↘0.01 Статус: Участник Destroyer of protectors	Создано: 25 августа 2016 13:05 · Личное сообщение · #10 reversecode пишет: да я читать умею, это было еще в первой версии, но все же в душе надеюсь что хотя бы большую часть кода перенесли в плагин а не все тупо по айпи сервису но для стянуть нужно региться, мне лень сниффер говорит, что на сервер отправляется exe, а затем принимается полный листинг. всё в онлайне.
Hellspawn Ранг: 990.2 (! ! !), 380thx Активность: 0.68↘0 Статус: Модератор Author of DiE	Создано: 25 августа 2016 14:00 · Личное сообщение · #11 обновился вот такой https://sourceforge.net/projects/decompiler/ вроде не одно и тоже, но странно почему почти одновременно? совпадение?))) ----- [nice coder and reverser]
reversecode Ранг: 1053.6 (!!!!), 1078thx Активность: 1.06↘0.81 Статус: Участник	Создано: 25 августа 2016 14:44 · Личное сообщение · #12 нее реко постоянно апдейтится и он на сишарпе, а ретдек на основе llvm
reversecode Ранг: 1053.6 (!!!!), 1078thx Активность: 1.06↘0.81 Статус: Участник	Создано: 12 декабря 2017 23:05 · Личное сообщение · #13 https://github.com/avast-tl/retdec \| Сообщение посчитали полезным: shellstorm, plutos, Bronco
shellstorm Ранг: -0.7 (гость), 170thx Активность: 0.54↘0 Статус: Участник	Создано: 12 декабря 2017 23:22 · Личное сообщение · #14 reversecode пишет: https://github.com/avast-tl/retdec Ееее, дождался открытия.
reversecode Ранг: 1053.6 (!!!!), 1078thx Активность: 1.06↘0.81 Статус: Участник	Создано: 13 декабря 2017 16:35 · Личное сообщение · #15 https://retdec.com/web/files/publications/retdec-slides-botconf-2017.pdf
r_e Ранг: 590.4 (!), 408thx Активность: 0.36↘0.18 Статус: Модератор	Создано: 13 декабря 2017 17:45 · Личное сообщение · #16 Собрал утили под винду64. Если у кого время есть соберите плаг. ----- старый пень
deniskore Ранг: 53.9 (постоянный), 33thx Активность: 0.05↘0 Статус: Участник	Создано: 13 декабря 2017 21:25 · Личное сообщение · #17 Проверил его в деле. Что хорошо оптимайзит/сворачивает: 1) Мертвый код 2) Математику Где есть ошибки: 1) Самомодифицирующийся код 2) Хитрая математика 3) Различные ассемблерные трюки. Вышеперечисленное приводит к неверной декомпиляции и соответственно декомпиленный код будет выдавать неверный результат или же приводить к ACCESS VIOLATION. Проверил на самописных примерах которые набросал в студии. На данном этапе для продакшена нет смысла использовать. \| Сообщение посчитали полезным: Bronco
Bronco Ранг: 312.0 (мудрец), 349thx Активность: 0.46↗0.65 Статус: Участник Advisor	Создано: 13 декабря 2017 21:56 · Поправил: Bronco · Личное сообщение · #18 del ----- Чтобы юзер в нэте не делал,его всё равно жалко..
reversecode Ранг: 1053.6 (!!!!), 1078thx Активность: 1.06↘0.81 Статус: Участник	Создано: 13 декабря 2017 22:40 · Личное сообщение · #19 что греха таить, нет и не будет замены хексрею единственное что у него сильнее по сравнению с рейсом, это ир+оптимизатор llvm но на одном нём никуда не выедешь еще народ пишет что мемори лик есть --> Link <--
deniskore Ранг: 53.9 (постоянный), 33thx Активность: 0.05↘0 Статус: Участник	Создано: 17 декабря 2017 12:18 · Поправил: deniskore · Личное сообщение · #20 Bronco помню, что просил примеры, но не было времени. Проверил еще на косяки. Неверно декомпилит работу с флагами. В некоторых случаях в декомпилированном файле он вставляет вызов определенных ассемблерных команд, через asm вставку, но при работе с EFLAGS такого не происходит. Логика кода будет меняться и работать как нужно декомпиленный код не будет. Code: DECLSPEC_NOINLINE uint32_t test() { printf("started\n"); __asm { mov ah, 46h sahf xor eax,eax pushf pop ax add eax, 0xFFFFAAAA } } int32_t decompiled(void) { // entry function_401060((int32_t)"started\n"); return -0x5510; } Итого: 1) Ошибки при декомпиляции самомодифицирующегося кода (смотрите 27 комментарий для понимания о чем идет речь) 2) Ошибки при декомпиляции SSE2-SSE4.2 математика (при использовании intrinsic-ов в студии) 3) Ошибки при декомпиляции использования EFLAGS (чтение запись и затем использование результата) 4) Ошибка при декомпиляции asm трюков. 5) Ошибка при декомпиляции хитрых примеров с использованием SEH/VEH. (Декомпилер оптимизирует слишком агрессивно) На самом деле список ошибок можно расширить. Еще я не проверял ARM 32 битный, думаю там косяков будет прилично. \| Сообщение посчитали полезным: Bronco, SReg
DrVB_5_6 Ранг: 58.3 (постоянный), 50thx Активность: 0.04↗0.08 Статус: Участник	Создано: 17 декабря 2017 14:55 · Личное сообщение · #21 deniskore пишет: 1) Ошибки при декомпиляции самомодифицирующегося кода. deniskore пишет: 4) Ошибка при декомпиляции asm трюков. Бред какой-то. Причем тут декомпиляция вообще? Вы случайно не пробовали Сишным компилятором программульку на Коболе или Фортране покомпилировать? Иль хотя бы исходники на Vbasic подсуньте!!! И что получается?... Попробуйте представить общественности исходный код на ЯВ, после трансляции которого (любым существующим в настоящее время компилятором) будет самомодифицирующийся код!!! Как нароете - можно выставлять претензии... \| Сообщение посчитали полезным: shellstorm
shellstorm Ранг: -0.7 (гость), 170thx Активность: 0.54↘0 Статус: Участник	Создано: 17 декабря 2017 15:10 · Личное сообщение · #22 DrVB_5_6 пишет: Бред какой-то. Причем тут декомпиляция вообще? +1. Причем здесь какие то "трюки" если это декомпилятор, если ломается граф, значит нужно фиксить построение графа, если неверно восстанавливает какую то конструкцию следовательно нужно фиксить или добавлять паттерн для распознавания подобных конструкций. Касательно оптимизации здесь даже не смешно, причем декомпилятор если оптимизирует llvm, достаточно отключить оптимизацию и будет идти весь поток со всем трешем. Здесь можно сказать лишь емкое мда.
Bronco Ранг: 312.0 (мудрец), 349thx Активность: 0.46↗0.65 Статус: Участник Advisor	Создано: 17 декабря 2017 15:41 · Поправил: Bronco · Личное сообщение · #23 shellstorm пишет: Причем здесь какие то "трюки" Code: MOV WORD PTR [R13 + 0x170], 0x5A80 ... XOR DI, DI ADD DI, WORD PTR [R13 + 0x170] SHLD DI, DI, A SHLD DI, DI, 4 PUSH RDX MOV DX, DI NOT DI OR DX, FF1E OR DI, E1 AND DX, DI XOR DX, FFFF MOV DI, DX POP RDX PUSH R12 MOV R12W, DI NOT DI OR R12W, 4DFF PUSH RAX MOV AX, B200 AND AX, DI ADD DI, B200 SUB DI, AX POP RAX PUSH RSI MOV SI, R12W AND SI, DI XCHG R12W, SI POP RSI NOT R12W MOV DI, R12W POP R12 SHLD DI, DI, C SHRD DI, DI, D AND DI, 7FFF ... PUSH RCX ROR RCX, 10 POP RCX CMOVB DX, WORD PTR DS:[R13 + 170] DrVB_5_6 пишет: Причем тут декомпиляция вообще? хм...а разве в проекте есть транслятор в асм? собственно задача топа обозначить возможности сабжа, и лучше чем на примерах способа нет. господа какашки оставте быдловатому хамлО, его и так хватает. ----- Чтобы юзер в нэте не делал,его всё равно жалко..
DrVB_5_6 Ранг: 58.3 (постоянный), 50thx Активность: 0.04↗0.08 Статус: Участник	Создано: 17 декабря 2017 16:12 · Личное сообщение · #24 Bronco пишет: хм...а разве в проекте есть транслятор в асм? А у Вас с логикой проблем нет? Все почему-то думают, что как в довольно примитивном "Нех-Rays" что ни подсунь, он тебе какую-нибудь хрень выплюнет. Я ж в предыдущем посте написал: предоставьте исходник на ЯВ, а затем результат компиляции. Тогда и будем обсуждать проблемы декомпиляции. А то какой-нибудь клоун возьмёт NotePad и начинает затевать базар, что у этого поделия нет совсем функционала, который должен быть у обычной IDE. Bronco пишет: господа какашки оставте хамлу, его и так хватает. А это Вы о чем? Вроде пока ничего подобного (по крайней мере) в предыдущих 2-3 постах не наблюдалось! \| Сообщение посчитали полезным: difexacaw
shellstorm Ранг: -0.7 (гость), 170thx Активность: 0.54↘0 Статус: Участник	Создано: 17 декабря 2017 16:18 · Личное сообщение · #25 Bronco пишет: Причем здесь какие то "трюки" Засуньте в рельсы хотя бы морфин и рельсы внезапно соснут, снимать обфускацию или заниматься девиртуализацией это вообще не задача декомпилятора, если хочется чего то странного, так исходники открыты и более того, они неплохо написаны, добавьте паттерны и будет распознавать странное.
Bronco Ранг: 312.0 (мудрец), 349thx Активность: 0.46↗0.65 Статус: Участник Advisor	Создано: 17 декабря 2017 16:41 · Поправил: Bronco · Личное сообщение · #26 shellstorm пишет: Засуньте в рельсы хотя бы морфин и рельсы внезапно соснут, энджой, для языка общения который даже не третий, оборот речи очень даже не плохой по сабжу пока интересует оптимизация и трансляция псевдокода, де компиляцию в данном контексте воспринимаю не более, чем для комфорта чтения выхлопа на языке высокого уровня. ОпенСорс не спорю, но проект большой, и модули (та же llvm) заточены только под него. Вот вникать в сорцы глубже, времени пока нет. DrVB_5_6 пишет: А это Вы о чем? Да всё о том же. указать ошибку оппоненту, можно разными способами, но применять метод базарных торгов, не самый лучший выбор. ----- Чтобы юзер в нэте не делал,его всё равно жалко..
deniskore Ранг: 53.9 (постоянный), 33thx Активность: 0.05↘0 Статус: Участник	Создано: 17 декабря 2017 16:48 · Поправил: deniskore · Личное сообщение · #27 DrVB_5_6 пишет: Бред какой-то. Причем тут декомпиляция вообще? Вы случайно не пробовали Сишным компилятором программульку на Коболе или Фортране покомпилировать? Иль хотя бы исходники на Vbasic подсуньте!!! И что получается?... Попробуйте представить общественности исходный код на ЯВ, после трансляции которого (любым существующим в настоящее время компилятором) будет самомодифицирующийся код!!! Как нароете - можно выставлять претензии... Вы вообще сабж "трогали"? Обьясняю для тех кто не понял, что имелось ввиду под самомодифицирующимся кодом. Есть софт у которого написан свой декриптор+распаковщик кода, так вот функции распаковки и модификации кода декомпилированы этим инструментом неверно, если я скопипастю код который он сгенерил, ничего работать не будет. Хекс-рейс на этом же софте отрабатывает нормально, с небольшими допилами кода.
shellstorm Ранг: -0.7 (гость), 170thx Активность: 0.54↘0 Статус: Участник	Создано: 17 декабря 2017 16:50 · Личное сообщение · #28 Bronco пишет: энджой, для языка общения который даже не третий, оборот речи очень даже не плохой Дуров со своим детищем сильно подтянул знания языка, иногда в падежах путаюсь, но это уже несущественно. Bronco пишет: ОпенСорс не спорю, но проект большой, и модули (та же llvm) заточены только под него. Нет, проект средненький и читается легко, касательно качества декомпилятора, это один из лучших паблик декомпиляторов и лучший среди открытых, как в плане выхлопа, так и в плане качества кода, а еще проект модульный, что очень удобно для того, чтобы тырить код в свой проект. Хейт в целом удивил, учитывая, что рельсы обламываются даже на простом коде и без ручного напильника на говнокоде работает чуть лучше чем никак. \| Сообщение посчитали полезным: Bronco, r_e
plutos Ранг: 622.6 (!), 521thx Активность: 0.33↗0.89 Статус: Участник _Вечный_Студент_	Создано: 23 марта 2019 07:59 · Личное сообщение · #29 retdec обновился до версии 3.3 В числе изменений пожалуй самое интересное, на мой взгляд: •Added basic support for decompilation of x86-64 binaries (previously, RetDec supported only 32b Intel x86). --> RetDec v3.3<-- ----- Give me a HANDLE and I will move the Earth. \| Сообщение посчитали полезным: mak

Для печати