Reverse Engineering er prosessen med å analysere et produkt eller system for å forstå dets design, interne virkemåter og funksjonalitet.
Omvendt utvikling brukes ofte for å få en bedre forståelse av et produkt eller system for å forbedre det, for å lage konkurrerende produkter eller systemer, eller for å identifisere og fikse feil eller sårbarheter.
Det er ofte brukt i felt som programvareutvikling, produksjon og sikkerhet. Omvendt utvikling kan imidlertid også brukes til ondsinnede formål, for eksempel å stjele forretningshemmeligheter eller lage forfalskede produkter. Av denne grunn er revers engineering ofte regulert av lover som regulerer åndsverk og forretningshemmeligheter.
For å bli dyktig i revers engineering, bør en sikkerhetsekspert ha en sterk forståelse av informatikk og programmering, samt erfaring med verktøy og teknikker som vanligvis brukes i reverse engineering, for eksempel demontering og feilsøking.
Innholdsfortegnelse
Hvordan fungerer reverse engineering?
Omvendt utvikling er prosessen med å analysere et system for å forstå dets komponenter, funksjoner og operasjoner for å forstå hvordan det fungerer eller for å lage en kopi eller etterligning av det.
Omvendt utvikling er en verdifull mekanisme for en rekke formål, inkludert å forstå funksjonaliteten til et system, identifisere sårbarheter eller svakheter i systemet, lage kompatible eller alternative versjoner av systemet og forbedre den originale designen.
Prosessen med omvendt utvikling innebærer vanligvis å demontere et system eller en enhet for å forstå komponentene og hvordan de passer sammen. Dette kan innebære å ta fra hverandre fysiske enheter eller analysere koden og strukturen til programvaresystemer.
Når systemet er demontert, studeres og analyseres de enkelte komponentene for å forstå funksjonen deres og hvordan de virker sammen for å gjøre det mulig for det totale systemet å fungere.
Det er imidlertid viktig å respektere andres immaterielle rettigheter når du bruker reverse engineering og kun bruke den til juridiske og etiske formål.
Formål med omvendt engineering i sikkerhet
Hensikten med omvendt utvikling innen sikkerhet er å identifisere og redusere potensielle sårbarheter i et produkt eller system. Dette gjøres vanligvis ved å undersøke produktets eller systemets design, kode eller komponenter for å forstå hvordan det fungerer og identifisere potensielle svakheter.
For eksempel kan en sikkerhetsforsker bruke omvendt utvikling for å studere utformingen av en programvareapplikasjon for å identifisere potensielle sårbarheter som kan utnyttes av angripere. Dette kan innebære å undersøke applikasjonens kode, analysere nettverkskommunikasjonen eller studere dens interaksjoner med andre systemer eller komponenter.
Når potensielle sårbarheter er identifisert, kan sikkerhetsforskeren jobbe med å utvikle løsninger for å redusere disse sårbarhetene, for eksempel ved å lappe applikasjonens kode eller implementere ytterligere sikkerhetstiltak. Dette kan bidra til å forbedre den generelle sikkerheten til produktet eller systemet og beskytte det mot potensielle angrep.
Trinn i reverse engineering
Omvendt utvikling innebærer vanligvis følgende trinn:
La oss komme i gang med de beste reverse engineering-verktøyene.
Ghidra
Ghidra er en gratis og åpen kildekode programvare reverse engineering (SRE) pakke med verktøy utviklet av National Security Agency (NSA). Den brukes til å demontere, dekompilere og analysere binær kode.
Ghidra ble designet for å være et robust og skalerbart SRE-verktøy, og det brukes av både offentlige etater og det bredere SRE-samfunnet. Dette verktøyet ble gjort tilgjengelig for publikum i 2019, og det kan lastes ned og brukes gratis.
Den har et brukervennlig grensesnitt og en modulær design, som lar brukere tilpasse verktøyet for å møte deres spesifikke behov.
I tillegg inkluderer Ghidra en dekompiler som kan konvertere monteringskode til et språk på høyere nivå, for eksempel C eller Java, som kan gjøre det lettere å forstå funksjonaliteten til en binær fil.
Androguard
Androguard er et verktøysett med åpen kildekode for å reversere og analysere Android-applikasjoner. Den er skrevet i Python og kan brukes til å analysere strukturen og oppførselen til Android-apper.
Androguard inkluderer en rekke verktøy for å utføre ulike typer analyser, inkludert demontering, dekompilering og deobfuskering av Android-apper. Den kan brukes til å analysere koden til en app, trekke ut ressursene og identifisere potensielle sårbarheter.
Androguard er mye brukt av forskere og sikkerhetseksperter for å analysere sikkerheten til Android-apper.
Den tilbyr en rekke funksjoner for omvendt utvikling, inkludert støtte for flere filformater, muligheten til å utføre statisk og dynamisk analyse, og integrasjon med andre verktøy som IDA Pro og radare2.
ImHex
ImHex er en hex-editor, som er en type programvare som lar brukere se og redigere de rå binære dataene til en fil. Hex-editorer brukes ofte av programmerere, sikkerhetsforskere og andre tekniske brukere for å undersøke innholdet i en fil på et lavt nivå. De er spesielt nyttige for å analysere filer som er i et binært format, for eksempel kjørbare filer eller andre typer kompilert kode.
ImHex er en gratis og åpen kildekode hex-editor som er tilgjengelig for Windows og Linux. Den har et brukervennlig grensesnitt og en rekke funksjoner som gjør den enkel å bruke.
Noen av hovedfunksjonene til ImHex inkluderer støtte for store filer, en fleksibel søke- og erstatningsfunksjon og muligheten til å sammenligne filer side ved side. ImHex lar også brukere definere sine egne datatyper, noe som kan være nyttig for å undersøke spesifikke typer data i en fil.
Radare 2
Radare2 er en åpen kildekode omvendt utviklingsramme som brukes til å demontere, analysere og feilsøke binære filer. Den er skrevet i C og er tilgjengelig for et bredt spekter av plattformer, inkludert Windows, Linux og macOS.
Dette verktøyet er mye brukt av sikkerhetsforskere til en rekke formål, inkludert omvendt utvikling, sårbarhetsanalyse og etterforskning. Den har et kommandolinjegrensesnitt og en kraftig skriptmotor som lar brukere automatisere komplekse oppgaver og utvide funksjonene til verktøyet.
Radare2 inkluderer også en disassembler som kan brukes til å konvertere binær kode til menneskelesbare monteringsinstruksjoner, noe som gjør det lettere å forstå den indre funksjonen til en binær fil.
Den tilbyr ulike funksjoner for omvendt utvikling, inkludert støtte for flere arkitekturer og filformater, muligheten til å utføre statisk og dynamisk analyse, og integrasjon med andre verktøy som debuggere og disassemblere.
IDA Pro
IDA Pro (forkortelse for Interactive Disassembler Pro) er en kommersiell disassembler og feilsøker som ofte brukes av sikkerhetsforskere for å analysere kompilert kode. Den kan brukes til å reversere kjørbare filer og andre binære filer.
Den tilbyr også en rekke funksjoner for statisk og dynamisk analyse, inkludert støtte for flere arkitekturer og filformater, muligheten til å lage og endre demonteringer, og integrasjon med andre verktøy som debuggere og dekompilatorer.
IDA Pro støtter kompatibilitet på tvers av plattformer og tilbyr også et grafisk brukergrensesnitt samt et skriptspråk for automatisering av komplekse oppgaver. Den regnes som en av de kraftigste og mest funksjonsrike demontørene som finnes, men den er også kjent for sin bratte læringskurve og høye pris.
Hei
Hiew er en binær filviser og editor for Microsoft Windows. Det er et populært verktøy blant programvareutviklere og sikkerhetsforskere. Hiew lar brukere se og redigere rådataene til en binær fil, samt demontere maskinkode til monteringsspråk.
Den kan også brukes til å søke etter mønstre eller strenger i en binær fil og til å sammenligne to filer for forskjeller. Hiew er ikke åpen kildekode og er ikke fritt tilgjengelig, men den kan kjøpes fra utviklerens nettsted.
Apktool er et gratis og åpen kildekodeverktøy for omvendt utvikling av Android apk-filer. Den er skrevet i Java og kan kjøres på alle plattformer som støtter Java. Apktool lar brukere dekode ressursene i en apk-fil og gjenoppbygge appen med noen modifikasjoner.
Det brukes ofte av Android-utviklere og moddere for å tilpasse apper, så vel som av sikkerhetsforskere for å utføre statiske analyser på Android-apper.
Den kan dekode ressursene i en apk-fil og lage en menneskelesbar representasjon av appens kode og innhold.
Apktool kan også brukes til å utføre sikkerhetsanalyse på Android-apper, da det lar brukere inspisere appens kode og ressurser. Dette lar brukere gjøre endringer i appens utseende og oppførsel.
Det er imidlertid viktig for brukere å respektere de immaterielle rettighetene til apputviklere og kun bruke Apktool til juridiske og etiske formål.
edb-debugger
EDB er en gratis og åpen kildekode-debugger for Linux, Windows og macOS. Det er et kraftig verktøy som kan brukes til å analysere og feilsøke et bredt spekter av kjørbare filer, inkludert ELF-, PE-, Mach-O- og Java-klassefiler.
EDB inkluderer en rekke funksjoner som gjør det til et verdifullt verktøy for programvareutvikling og omvendt utvikling.
En av hovedfunksjonene til EDB er det brukervennlige grensesnittet, som gjør det enkelt å bruke selv for de som er nye innen feilsøking. Den inkluderer en rekke visninger, for eksempel en demonteringsvisning, et minnekart og en registervisning, som gir detaljert informasjon om tilstanden til programmet som feilsøkes.
EDB lar også brukere sette bruddpunkter, enkelttrinns gjennom kode og inspisere verdiene til variabler, noe som gjør det enkelt å analysere og feilsøke programmer.
I tillegg inkluderer EDB støtte for en rekke prosessorarkitekturer og operativsystemer, noe som gjør det til et allsidig verktøy som kan brukes på en lang rekke plattformer.
Java Snoop
JavaSnoop er et verktøy som lar brukere endre oppførselen til Java-applikasjoner under kjøring. Den er designet for å brukes til sikkerhetstesting og -analyse, og den kan brukes til å identifisere og utnytte sårbarheter i Java-applikasjoner.
JavaSnoop fungerer ved å koble seg til en kjørende Java-prosess og injisere kode i den, slik at brukeren kan endre oppførselen til applikasjonen på et øyeblikk. Dette kan være nyttig for å identifisere og teste sikkerheten til Java-applikasjoner.
JavaSnoop er tilgjengelig som et frittstående verktøy og som en plug-in for den populære Burp Suite-sikkerhetstestplattformen for nettapplikasjoner. Den er skrevet i Java, og den kan kjøres på alle plattformer som støtter Java, inkludert Windows, Linux og macOS.
Noen av nøkkelfunksjonene til JavaSnoop inkluderer muligheten til å avskjære og endre metodeanrop, vise og endre verdiene til variabler og definere tilpassede kroker for å automatisere oppgaver.
Konklusjon
Omvendt utvikling er en verdifull ferdighet for sikkerhetsfagfolk fordi den lar dem forstå designen, den interne funksjonen og funksjonaliteten til et produkt eller system for å identifisere og redusere potensielle sårbarheter eller feil.
Dette kan være spesielt nyttig for å identifisere og redusere nulldagssårbarheter, som er sårbarheter som er ukjente for produsenten eller utvikleren og som ennå ikke er rettet.
Omvendt engineering kan være en utfordrende og kompleks ferdighet å mestre. Likevel kan det være et verdifullt verktøy for sikkerhetseksperter som ønsker å identifisere og redusere potensielle sårbarheter i programvareapplikasjoner og systemer.
Du kan også være interessert i å lære om de beste NetFlow-analysatorene og samleverktøyene for nettverket ditt.