1 added
1 removed
Original
2026-01-01
Modified
2026-03-10
1
<p>Теги: реверс-инжиниринг кода, вирусная аналитика, ida pro, windbg, wireshark, анализ трафика, дизассемблер, отладчик кода</p>
1
<p>Теги: реверс-инжиниринг кода, вирусная аналитика, ida pro, windbg, wireshark, анализ трафика, дизассемблер, отладчик кода</p>
2
<p>У каждого, кто профессионально занимается<strong>реверс-инжинирингом</strong>, есть собственный набор используемых программ. В этой статье мы расскажем об инструментах, которые сегодня наиболее популярны и широко применяются опытными аналитиками, работающими в<strong>вирусных лабораториях</strong>.</p>
2
<p>У каждого, кто профессионально занимается<strong>реверс-инжинирингом</strong>, есть собственный набор используемых программ. В этой статье мы расскажем об инструментах, которые сегодня наиболее популярны и широко применяются опытными аналитиками, работающими в<strong>вирусных лабораториях</strong>.</p>
3
<h2>WinDbg</h2>
3
<h2>WinDbg</h2>
4
<p>Любой реверс-инженер имеет в арсенале<strong>отладчики</strong>, ведь отладка приложений - неотъемлемая часть процесса исследования. На сегодняшний день одно из важных требований к отладчику - поддержка архитектуры Intel как x86, так и x64. При этом инструмент должен уметь вскрывать драйверы вирусов и работать в режиме ядра, когда возникает необходимость поиска уязвимостей нулевого дна в ядре операционной системы.</p>
4
<p>Любой реверс-инженер имеет в арсенале<strong>отладчики</strong>, ведь отладка приложений - неотъемлемая часть процесса исследования. На сегодняшний день одно из важных требований к отладчику - поддержка архитектуры Intel как x86, так и x64. При этом инструмент должен уметь вскрывать драйверы вирусов и работать в режиме ядра, когда возникает необходимость поиска уязвимостей нулевого дна в ядре операционной системы.</p>
5
<p>Всем этим требованиям отвечает<strong>WinDbg</strong>. Если нужно отлаживать драйвер либо ядро, ему действительно сложно найти замену. Он поддерживается Microsoft и включён в состав WDK (Windows Driver Kit). Считается одним из самых мощных и актуальных средств отладки кода ядра. Да, в нём вы не найдёте такого приятного интерфейса, как, например, в<strong>x64dbg</strong>, зато WinDbg может выполнять отладку в режиме<strong>kernel mode</strong>.</p>
5
<p>Всем этим требованиям отвечает<strong>WinDbg</strong>. Если нужно отлаживать драйвер либо ядро, ему действительно сложно найти замену. Он поддерживается Microsoft и включён в состав WDK (Windows Driver Kit). Считается одним из самых мощных и актуальных средств отладки кода ядра. Да, в нём вы не найдёте такого приятного интерфейса, как, например, в<strong>x64dbg</strong>, зато WinDbg может выполнять отладку в режиме<strong>kernel mode</strong>.</p>
6
<p>Программа поддерживает удалённую отладку и может скачивать отладочные символы с серверов Microsoft напрямую. Для ускорения настройки при отладке ядра операционных систем внутри виртуальных машин, есть специальная надстройка<strong>VirtualKD</strong>. Бытует мнение, что программа WinDbg противопоказана начинающим, зато просто необходима опытным реверс-инженерам.</p>
6
<p>Программа поддерживает удалённую отладку и может скачивать отладочные символы с серверов Microsoft напрямую. Для ускорения настройки при отладке ядра операционных систем внутри виртуальных машин, есть специальная надстройка<strong>VirtualKD</strong>. Бытует мнение, что программа WinDbg противопоказана начинающим, зато просто необходима опытным реверс-инженерам.</p>
7
-
<p>И именно в WinDbg вы сможете посмотреть, как выглядят различные системные структуры, а если потребуется - без проблем дизассемблировать функции<strong>NTAPI</strong>. Безусловно, можно отлаживать и вполне обычные приложения, но стоит ли распаковывать столь мощный инструмент по пустякам?</p>
7
+
<p>И име��но в WinDbg вы сможете посмотреть, как выглядят различные системные структуры, а если потребуется - без проблем дизассемблировать функции<strong>NTAPI</strong>. Безусловно, можно отлаживать и вполне обычные приложения, но стоит ли распаковывать столь мощный инструмент по пустякам?</p>
8
<h2>IDA Disassembler</h2>
8
<h2>IDA Disassembler</h2>
9
<p>Сложно представить реверс без отладчиков и так же сложно это сделать без инструментов для статического анализа кода -<strong>дизассемблеров</strong>. Признанный стандарт антивирусных лабораторий сегодня -<strong>IDA Pro</strong>. Второе место у<strong>Radare2</strong>. Это, так сказать, фавориты, но есть и другие.</p>
9
<p>Сложно представить реверс без отладчиков и так же сложно это сделать без инструментов для статического анализа кода -<strong>дизассемблеров</strong>. Признанный стандарт антивирусных лабораторий сегодня -<strong>IDA Pro</strong>. Второе место у<strong>Radare2</strong>. Это, так сказать, фавориты, но есть и другие.</p>
10
<p>Вообще, существуют 2 версии IDA - бесплатная (Starter) и платная - (вышеупомянутая Pro). Первая урезана по числу поддерживаемых архитектур (понимает лишь x86) и не поддерживает плагины. Платная этих неприятных ограничений лишена.</p>
10
<p>Вообще, существуют 2 версии IDA - бесплатная (Starter) и платная - (вышеупомянутая Pro). Первая урезана по числу поддерживаемых архитектур (понимает лишь x86) и не поддерживает плагины. Платная этих неприятных ограничений лишена.</p>
11
<p>Кстати, в IDA встроен отладчик, который довольно прост по набору функций и имеет самобытный интерфейс. Также IDA можно укомплектовать дополнением<strong>Hex-Rays</strong>- это декомпилятор исходного кода приложения в код на C. Довольно полезное дополнение, значительно ускоряющее анализ программы.</p>
11
<p>Кстати, в IDA встроен отладчик, который довольно прост по набору функций и имеет самобытный интерфейс. Также IDA можно укомплектовать дополнением<strong>Hex-Rays</strong>- это декомпилятор исходного кода приложения в код на C. Довольно полезное дополнение, значительно ускоряющее анализ программы.</p>
12
<p>Подводя итоги, можно сказать, что IDA - мощный и проверенный инструмент, который развивался и совершенствовался не один год. Правда, профессиональная версия стоит довольно дорого (от 500 до 1000 $ в зависимости от вида лицензии).</p>
12
<p>Подводя итоги, можно сказать, что IDA - мощный и проверенный инструмент, который развивался и совершенствовался не один год. Правда, профессиональная версия стоит довольно дорого (от 500 до 1000 $ в зависимости от вида лицензии).</p>
13
<h2>Wireshark</h2>
13
<h2>Wireshark</h2>
14
<p>Популярная программа для анализа трафика в режиме реального времени. Позволяет просматривать весь проходящий трафик с помощью широковещательного режима сетевой карты. Имеет ряд плюсов: - возможность сортировки и фильтрации информации; - поддержка широкого списка<strong>сетевых протоколов</strong>: HTTP, ICQ, IPV6, MOUNT, NETBIOS, NFS, DNS, POP, PPP, TCP, FDDI, FTP, IPX, IRC, MAPI, NNTP, TELNET, X25; - возможность анализа трафика в разных компьютерных сетях (PPP, Token-Ring, Ethernet, FDDI и пр.); - способность перехватывать трафик в реальном времени; - есть функция сохранения и просмотра ранее сохранённого трафика; - способность досконального анализа сетевых пакетов с отображением значений каждого поля протокола любого уровня; - возможность работы с разными форматами входных данных и умение открывать файлы, захваченные другими программами; - способность импортировать и экспортировать данные из других пакетных анализаторов.</p>
14
<p>Популярная программа для анализа трафика в режиме реального времени. Позволяет просматривать весь проходящий трафик с помощью широковещательного режима сетевой карты. Имеет ряд плюсов: - возможность сортировки и фильтрации информации; - поддержка широкого списка<strong>сетевых протоколов</strong>: HTTP, ICQ, IPV6, MOUNT, NETBIOS, NFS, DNS, POP, PPP, TCP, FDDI, FTP, IPX, IRC, MAPI, NNTP, TELNET, X25; - возможность анализа трафика в разных компьютерных сетях (PPP, Token-Ring, Ethernet, FDDI и пр.); - способность перехватывать трафик в реальном времени; - есть функция сохранения и просмотра ранее сохранённого трафика; - способность досконального анализа сетевых пакетов с отображением значений каждого поля протокола любого уровня; - возможность работы с разными форматами входных данных и умение открывать файлы, захваченные другими программами; - способность импортировать и экспортировать данные из других пакетных анализаторов.</p>
15
<p>Если вас интересуют детали практического применения этих инструментов, записывайтесь на наш курс "<a>Реверс-инжиниринг</a>". В частности, вышеупомянутой теме посвящён седьмой модуль занятий. Убедиться в этом самостоятельно вы можете, скачав подробную программу курса в формате PDF по<a>ссылке</a>.</p>
15
<p>Если вас интересуют детали практического применения этих инструментов, записывайтесь на наш курс "<a>Реверс-инжиниринг</a>". В частности, вышеупомянутой теме посвящён седьмой модуль занятий. Убедиться в этом самостоятельно вы можете, скачав подробную программу курса в формате PDF по<a>ссылке</a>.</p>
16
16