Несколько вопросов по radare2+cutter+r2ghidra.

radare, reverse engineering, нубвопрос, нубский вопрос

0

1

Понадобилось сделать реверс-инжиниринг одного мобильного приложения. Я в этом полный 0. Нашёл, что это можно сделать с помощью radare2. Времени на его изучение нет. Решил попробовать gui — cutter. Так как приложение скачивал с apkpure, я не уверен в его безопасности. И поэтому у меня появились нубские вопросы:

Запускает ли radare2+cutter+r2ghidra анализируемое приложение(реверс-инжинирю скомпилированный под arm бинарник на arm)?
Можно ли подцепить какую-нибудь молварь во время реверс-инжиниринга?

Ссылка

←	Ищу uart-bootloader для atmega8, который можно собрать и использовать из-под Linux

Не могу привести передаточную функцию к виду приведённому автором

→

Запускает ли radare2+cutter+r2ghidra анализируемое приложение(реверс-инжинирю скомпилированный под arm бинарник на arm)?

Ну это разве что если ты его в отладчике запустишь https://radare.gitbooks.io/radare2book/content/debugger/intro.html

Или интерпретатор ESIL использовать https://radare.gitbooks.io/radare2book/content/analysis/emulation.html

Можно ли подцепить какую-нибудь молварь во время реверс-инжиниринга?

Теоретически можно, если ты какую-то малварь реверсишь, и запускаешь ее отладчиком или этим интерпретатором, или если в radare2 есть некий баг, который эта малварь каким-то образом использует, например если где-то в radare2 переполнится буфер при дизассемблировании и таким образом можно теоретически выполнить некий вредоносный код.

SZT ★★★★★
(07.02.21 19:20:45 MSK)

Не дождавшись ответа, запустил полный анализ. Теперь добавляется ещё один вопрос:

Функциям дались имена вида fcn.{адрес функции}. Только в поиске строк нашёл названия функций(по адресу такой строки только сама строка). Это можно исправить и дать функциям их названия или это особенность компилятора(когда я реверсил бинарник, который скомпилировал сам с помощью gcc, функциям давались имена method.{имя функции}) ?

BossOfThisGym
(07.02.21 19:30:37 MSK) автор топика

Ответ на: комментарий от SZT 07.02.21 19:20:45 MSK

Ну это разве что если ты его в отладчике запустишь https://radare.gitbooks.io/radare2book/content/debugger/intro.html

Этого не делал.

Или интерпретатор ESIL использовать https://radare.gitbooks.io/radare2book/content/analysis/emulation.html

Как он в cutter называется? Может быть и использовал....

Теоретически можно, если ты какую-то малварь реверсишь, и запускаешь ее отладчиком или этим интерпретатором, или если в radare2 есть некий баг, который эта малварь каким-то образом использует, например если где-то в radare2 переполнится буфер при дизассемблировании и таким образом можно теоретически выполнить некий вредоносный код.

У меня radare2 5.0.0-1, а подобное было до 4.5.0(но не факт что других уязвимостей нет)

BossOfThisGym
(07.02.21 19:37:59 MSK) автор топика

Ссылка

Ответ на: комментарий от BossOfThisGym 07.02.21 19:30:37 MSK

Готовые выпуски приложений не содержат содержательных названий функций, т.к. при оптимизации вырезается вся отладочные данные, но вы можете в процессе обращения исполняемого файла для удобства переприсваивать функциям новые имена.

AKonia ★★
(07.02.21 21:13:01 MSK)

Ответ на: комментарий от AKonia 07.02.21 21:13:01 MSK

при оптимизации вырезается вся отладочные данные

Я собирал в конфигурации Release(-O3 -DNDEBUG) и функции назывались в виде method.{имя функции}, а тут в неизвестной конфигурации функции называются fcn.{адрес} и в секции .rodata лежат названия функций......

BossOfThisGym
(07.02.21 23:20:22 MSK) автор топика

Ответ на: комментарий от BossOfThisGym 07.02.21 23:20:22 MSK

Если вызовешь strip на свой собранный файл, то имена исчезнут.

anonymous
(10.02.21 21:48:41 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Ищу uart-bootloader для atmega8, который можно собрать и использовать из-под Linux

Development

Не могу привести передаточную функцию к виду приведённому автором

→

Похожие темы