Доступен выпуск проекта Hobbits 0.21, развивающего графический интерфейс для анализа, обработки и визуализации бинарных данных в процессе проведения обратного инжиниринга. Код написан на С++ с использованием библиотеки Qt и распространяется под лицензией MIT...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52500

• Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,A.Stahl, 11:55 , 10-Мрт-20
  • Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,Аноним, 15:54 , 10-Мрт-20
    • Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,A.Stahl, 19:25 , 10-Мрт-20
  • Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,Аноним, 21:18 , 10-Мрт-20
    • Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,A.Stahl, 21:27 , 10-Мрт-20
      • Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,Зз, 00:23 , 11-Мрт-20
      • Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,Аноним, 23:34 , 11-Мрт-20
  • Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,Аноним, 22:17 , 10-Мрт-20
    • Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,Аноним, 02:00 , 11-Мрт-20
      • Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,Аноним, 09:30 , 11-Мрт-20
• Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,Аноним, 12:40 , 10-Мрт-20
  • Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,1234, 12:50 , 10-Мрт-20
    • Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,n80, 14:15 , 10-Мрт-20
      • Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,Unnamed, 16:15 , 10-Мрт-20
        • Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,n80, 19:01 , 10-Мрт-20
  • Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,имя, 14:09 , 10-Мрт-20
  • Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,Аноним, 14:16 , 10-Мрт-20
    • Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,Аноним, 21:19 , 10-Мрт-20
      • Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,anonimous, 21:26 , 10-Мрт-20
        • Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,Аноним, 21:36 , 10-Мрт-20
          • Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,Аноним, 04:35 , 11-Мрт-20
      • Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,Рейко Каневская, 21:45 , 10-Мрт-20
        • Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,Аноним, 04:33 , 11-Мрт-20
    • Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,Аноним, 22:46 , 10-Мрт-20
• Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,user90, 13:27 , 10-Мрт-20
• Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,Аноним, 13:55 , 10-Мрт-20
  • Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,Аноним, 12:28 , 12-Мрт-20
• Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,Аноним, 14:15 , 10-Мрт-20
  • Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,АНБ, 18:39 , 10-Мрт-20
• Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,Аноним, 15:39 , 10-Мрт-20
  • Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,Аноним, 16:55 , 10-Мрт-20
• Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,териванов, 17:17 , 10-Мрт-20
• Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,name, 17:27 , 10-Мрт-20
• Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,хз.кто, 18:20 , 10-Мрт-20
  • Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,Аноним, 21:20 , 10-Мрт-20
  • Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,Аноним, 22:26 , 10-Мрт-20
    • Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,Аноним, 01:55 , 11-Мрт-20
      • Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,Аноним, 08:23 , 11-Мрт-20
  • Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,Аноним, 23:45 , 10-Мрт-20
    • Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,Аноним, 23:59 , 10-Мрт-20
      • Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,Аноним, 12:17 , 11-Мрт-20
        • Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,Аноним, 23:31 , 11-Мрт-20
          • Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,Аноним, 12:32 , 12-Мрт-20
  • Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,Аноним, 22:38 , 14-Мрт-20
• Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,bOOster, 06:11 , 11-Мрт-20
• Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,Аноним, 20:33 , 11-Мрт-20
• Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,Аноним, 21:39 , 11-Мрт-20
  • Выпуск Hobbits 0.21, визуализатора для реверс-инжиниринга би...,Аноним, 12:29 , 12-Мрт-20

Блин. Висит у меня над душой одна задачка по парсингу бинарного файла неизвестной структуры. В своё время не получилось, но необходимость никуда не делась. А тут какой-то новый инструмент. Придётся щупать чтобы потом с чистой совестью можно было сказать: "Ну, я всё перепробовал, не получается".

попробуйте пробовать криптографию;)

Да нет там никакого шифрования, просто нужно набраться терпения...

> Блин. Висит у меня над душой одна задачка по парсингу бинарного файла неизвестной структуры

А этот файл секретный? И на что вообще похож?

Туда большая сложная программа записывает своё "состояние".
Исходников программы нет.
А вот некоторые мелкие правки хотелось бы вносить без оригинальной программы.

Первое что приходит на ум - сделать по гексдампу на каждом шагу, и потом сравнивать диффом

Это случаем не база данных какая-нибудь встраиваемая?

Сабж нужен если используются структуры размером с нецелое число байтов, особая жопа - когда каждый кусок занимает разное количество БИТОВ. Тогда в хексе полная каша, выглядит как будто зашифрованный или пожатый. Если у вас структуры, каждое поле которых занимает с целое число байтов, то попробуйте Kaitai Web IDE. Там можно реверсить форматы, о которых даже ничего не знаешь, просто кучу файлов имеешь. Просто смотришь в хекс и замечаешь регулярности.

> особая жопа - когда каждый кусок занимает разное количество БИТОВ.

Так редко делают, в основном в сжатии и проч, где биты надо экономить любой ценой. Потому что кодить парсинг этого довольно канительно, а програмеры тоже люди. Как вариант может быть сжатие опосля - но тогда чаще всего оно какое-нибудь из более-менее типовых, библиотечных. Потому что кодить свое собственное сжатие опять же канительно.

Но реверс сжатия вообще отдельная тема. Если надо это - сходите на compress.su какой, чтоли. Там пара человек любит такие ребусы.

> Просто смотришь в хекс и замечаешь регулярности.

Однозначно. Если он не сжатый, конечно. И желательно чтобы их несколько было, так назначение разных структур может стать понятнее.

>Потому что кодить парсинг этого довольно канительно, а програмеры тоже люди.

Ну с Kaitai кодить парсинг такого легко и просто. Единственный недостаток - кучу памяти жрёт. А вот сериализации в Kaitai пока нет и очень долго не будет.

binwalk же

он что-то кроме прошивок openwrt понимает?

Да, много чего понимает, успешно доставал им файлы из тех же инсталляторов, например.

Может помочь 7z x

> Может помочь 7z x

Есть такое дело, тоже частенько использую, особенно в совсем простых случаях. Но иногда нужно больше возможностей, так что binwalk тоже нужен.

radare2! Им, как ни странно, не только над исполняемыми файлами орудовать можно.

IDA Pro. Искать народную версию сам знаешь где.

Варез же. И под линух вроде нету. К тому же именно анализ, именно структуры, именно неизвестного файла - это ну вообще совсем не ее.

По поводу вареза не совсем так. Версия Pro - варез, версия Free - нет. И для Linux есть и то, и другое.

Вот ссылка на версию Free (правда для задач из этой новости ее полезность неизвестна):
https://www.hex-rays.com/products/ida/support/download_freeware/

Там вроде фри версия из разряда "файлы не открывай, работу не сохраняй, и вообще давай неси нам миллионы денег"?

И если кто думает что этой чудной компании так прямо просто дать денег - хаха, сейчас. Когда я пробовал это, было проще пройти квест 80 уровня...

Ида идеально работает под вайном искаропки

Спасибо, но wine - в пень. А еще там очень милая компания и автор. Если в иде что-то пойдет не так, единственная реальная опция - застрелиться. Примерно то же самое касается идеи это чудо честно купить...

Это ту, которая на 10 лет устарела, но, в отличии от retdecа, на i686 бинарях хотя-бы hex-ray работает и прожёвывает довольно быстро и при адекватных требованиях к памяти? Кто-нибудь уже допилите этот грёбанный retdec, чтобы для его построения не требовалось строить llvm (у неё есть deb-репозиторий с "ночными" либами, а построение её с нуля занимает часы).

Картинки понравились, обобряю.

Работает ли он с блоками бит переменной длины некратной 8? Можно ли проанализировать им файл ZIP, восстановив алгоритм распаковки? Есть ли готовые примеры такого разбора?

Визуализировать блоки некратные 8 битам можно!

А ассемблеры понимает?

ассемблер objdump -D показывает.

Работает ли он с блоками бит переменной длины некратной 8? Можно ли проанализировать им файл ZIP, восстановив алгоритм распаковки? Есть ли готовые примеры такого разбора?

Этому умнику: бери да проверяй

а вот этот умник поди не знает что такое трэды.

А известно чего этой тулзой уже отреверсили?

файлы от photoshop открывает?

http://kaitai.io/ - это лучше, если нужно описывать структуру файлов

Какая-то хипстерская фигня для хомячков.

kaitai офигенная штука (доступная по https кстати), я ей сам постоянно пользуюсь. Но её недостаточно для black-box реверсинга всякой дерьмовой каши.

> доступная по https кстати

Ну, это, конечно, самое главное при реверсинге :)

Это не самое главное, но постить ссылки со схемой http, если сайт работает по https - это моветон.

Она научилась описывать GIF, PNG, ZIP, GZ и прочие форматы со сжатием дальше заголовка? Судя по примеру на главной странице — всё ещё нет. Она позволяет легко сделать парсер, который покажет оглавление архива, но для написания распаковщика не поможет. Потому что работает не с битами, а только с байтами.

По крайней мере, так было 4 года назад, и с тех пор принципиальных изменений в примерах не было.

Если размер сжатого потока известен заранее, если и на сжатый и на разжатый хватит памяти, и если есть модуль декомпрессии (из `kaitai.compress.`) для языка.

> kaitai.compress

Молодцы, развиваются.

> если и на сжатый и на разжатый хватит памяти

На диск писать не умеет?

> Если размер сжатого потока известен заранее

То есть на каждый сжатый файл нужен свой kty? Или можно брать этот размер из данных в анализируемом файле?

>Или можно брать этот размер из данных в анализируемом файле?

Да, каждое поле с `process` обязанно быть подпотоком. `process` пршсто трансформирует подпотоки. А подпотоки реализованы так: вычитываются в память, проходится processором, на расжатые данные создаётся объект потока, объект скармливается парсеру. Не нравится - шли pull requestы.

Чтобы написать пулл-реквест на документацию, нужно долго изучать код. Гораздо проще, когда документацию апдейтит автор кода.

Плагин для вызова Kaitai с самописной заменой его Web IDE уже пишут: https://github.com/Mahlet-Inc/hobbits/issues/24

33 года назад делал что-то подобное - поиск спрайтов, на Bk0010-01. С переписыванием модуля загрузки с магнитофона, грузил в видео память (хотя на бк между видео и основной разницы нету, кроме того что последняя отображается) и в небольшом окошке осуществлял манипуляции. Редактировать и записать тоже можно было. При небольшой усидчивости получалась другая игра.

Как его запускать? Какой указать параметр mode в командной строке?

Автокорреляция глючит.

Уже починили в 0.22.1.