LINUX.ORG.RU

Несколько вопросов по radare2+cutter+r2ghidra.

 , , ,


0

1

Понадобилось сделать реверс-инжиниринг одного мобильного приложения. Я в этом полный 0. Нашёл, что это можно сделать с помощью radare2. Времени на его изучение нет. Решил попробовать gui — cutter. Так как приложение скачивал с apkpure, я не уверен в его безопасности. И поэтому у меня появились нубские вопросы:

  • Запускает ли radare2+cutter+r2ghidra анализируемое приложение(реверс-инжинирю скомпилированный под arm бинарник на arm)?
  • Можно ли подцепить какую-нибудь молварь во время реверс-инжиниринга?

Запускает ли radare2+cutter+r2ghidra анализируемое приложение(реверс-инжинирю скомпилированный под arm бинарник на arm)?

Ну это разве что если ты его в отладчике запустишь https://radare.gitbooks.io/radare2book/content/debugger/intro.html

Или интерпретатор ESIL использовать https://radare.gitbooks.io/radare2book/content/analysis/emulation.html

Можно ли подцепить какую-нибудь молварь во время реверс-инжиниринга?

Теоретически можно, если ты какую-то малварь реверсишь, и запускаешь ее отладчиком или этим интерпретатором, или если в radare2 есть некий баг, который эта малварь каким-то образом использует, например если где-то в radare2 переполнится буфер при дизассемблировании и таким образом можно теоретически выполнить некий вредоносный код.

SZT ★★★★★
()

Не дождавшись ответа, запустил полный анализ. Теперь добавляется ещё один вопрос:

  • Функциям дались имена вида fcn.{адрес функции}. Только в поиске строк нашёл названия функций(по адресу такой строки только сама строка). Это можно исправить и дать функциям их названия или это особенность компилятора(когда я реверсил бинарник, который скомпилировал сам с помощью gcc, функциям давались имена method.{имя функции}) ?
BossOfThisGym
() автор топика
Ответ на: комментарий от SZT

Ну это разве что если ты его в отладчике запустишь https://radare.gitbooks.io/radare2book/content/debugger/intro.html

Этого не делал.

Или интерпретатор ESIL использовать https://radare.gitbooks.io/radare2book/content/analysis/emulation.html

Как он в cutter называется? Может быть и использовал....

Теоретически можно, если ты какую-то малварь реверсишь, и запускаешь ее отладчиком или этим интерпретатором, или если в radare2 есть некий баг, который эта малварь каким-то образом использует, например если где-то в radare2 переполнится буфер при дизассемблировании и таким образом можно теоретически выполнить некий вредоносный код.

У меня radare2 5.0.0-1, а подобное было до 4.5.0(но не факт что других уязвимостей нет)

BossOfThisGym
() автор топика
Ответ на: комментарий от BossOfThisGym

Готовые выпуски приложений не содержат содержательных названий функций, т.к. при оптимизации вырезается вся отладочные данные, но вы можете в процессе обращения исполняемого файла для удобства переприсваивать функциям новые имена.

AKonia ★★
()
Ответ на: комментарий от AKonia

при оптимизации вырезается вся отладочные данные

Я собирал в конфигурации Release(-O3 -DNDEBUG) и функции назывались в виде method.{имя функции}, а тут в неизвестной конфигурации функции называются fcn.{адрес} и в секции .rodata лежат названия функций......

BossOfThisGym
() автор топика
Ответ на: комментарий от BossOfThisGym

Если вызовешь strip на свой собранный файл, то имена исчезнут.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.