Электронная библиотека
Xakep
Азы хака. Подборка инструментов.
Xakep, номер #013, стр. 013-051-3
Дизассемблеры
В некоторых случаях одними отладчиками не обойтись. И тогда на арену выходят дизассемблеры. Но и здесь есть свои подводные камни. Такие дизассемблеры, как Sourcer, например, просто декодируют команды и выискивают ссылки на уже определенные участки кода. Немного изобретательности - и Sourcer выдаст на-гора километры ненужных file.lst, содержащих полностью перечисленные байты файла, но ни строчки по существу. И все - больше он практически ни на что не способен. Зато с его помощью можно получить вполне приятный дамп BIOS. А ещё компактом, на котором этот дизазм записан, можно в кого-нибудь кинуть. Иными словами, ему применение почти всегда найдется.
Другое дело (в хорошем смысле этого слова) IDA - Interactive Disassembler by Ilfak Guilfanov. Автор этого чудесного дизассемблера сделал упор на работу, прежде всего на взаимодействие с пользователем (или, по-нашему, хакером). IDA не выдает текстовый файлик мегабайт этак на 20, в отличие от Sourcer`а.
Нет - IDA есть приятное междумордие (interface) для юзверя и позволяет просматривать и помечать просмотренные участки кода именами/кличками, чтобы их потом можно было легко найти. Плюс возможность писать комментарии везде, где только это радует глаз! И возможность писать свои процедуры анализа на встроенном макроязыке! Такой подход позволяет исследователю восполнить все пробелы `тупой железячки`. И это далеко не все возможности. Дело в том, что IDA поставляется вместе с набором специальных плагинов - для автоматического распознавания. Например, есть программа, написанная на Borland C++ 5.0. Если IDA определит (а она определит, то есть не если - когда), что эта прога скомпилена именно на BC, он подгрузит соответствующий плагин и сможет распознать и обозначать стандартные функции (например, exit и biosdisk на экране будут не просто асмовым листингом, а именно exit и biosdisk), что уменьшает время, необходимое для поиска `лишнего` кода. В общем, IDA намного опередила всех своих коллег по жанру. Очень рекомендую.