Техническая поддержка :

Современные решения

для защиты Windows программ

и восстановления исходного кода
Автор: Сергей Чубченко. Дата публикации: 18.06.2019

Функции аналитики в VB Decompiler

Специально для криминалистов и антивирусных аналитиков мы рады представить новую лицензию для VB Decompiler. В версии с возможностями автоматической аналитики доступна генерация отчета, содержащего детальную информацию об активности декомпилируемой программы на компьютере пользователя. Аналитик получает полный отчет об участках (процедурах и функциях) программы, производящих те или иные манипуляции с файлами, реестром, окнами, процессами, а также использующие служебные функции Visual Basic для вызовов функций по имени (CallByName) и прямого доступа к адресам памяти (VarPtr).

Эта информация позволяет существенно ускорить анализ потенциально вредоносных программ на предмет их функционала, что значительно упрощает работу антивирусных аналитиков. Также описанный функционал будет полезен криминалистам для поиска скрытых, недокументированных возможностей анализируемых программ.



Как это работает

Запустив VB Decompiler, откройте анализируемый бинарный файл. Убедитесь что в настройках (Tools -> Options) включена опция "Analyze Prototypes". После окончания процесса анализа файла будет автоматически открыт отчет о функционале программы.






Отчет разделен на две части: краткий отчет и отчет со ссылками на строки. В первой части представлены адреса и функции, производящие те или иные манипуляции с файлами, реестром и так далее.





Во второй части помимо самих функций, предоставлены строки, встречающиеся в каждой из этих функций (в случае их наличия). Это позволяет без захода в каждую конкретную процедуру примерно оценить с какими файлами или ключами реестра производятся манипуляции. Естественно, строки будут представлены только в том случае, если они не зашифрованы и размещены в открытом виде.





Окно отчета позволяет быстро переходить к коду каждой функции, смотреть бинарные данные в HEX редакторе, а также переходить по адресам расположения строк. Для перехода к коду той или иной функции достаточно дважды щелкнуть по ее имени. Для перехода в HEX редактор достаточно дважды щелкнуть по виртуальному адресу, расположенному перед именем функции или строкой.





Для того чтобы вернуться обратно в отчет необходимо нажать кнопку "A" над деревом объектов. При этом курсор будет автоматически установлен на то место, где вы закончили анализ до перехода в функцию. Переход же между ранее открытыми функциями производится кнопками "<" и ">" над деревом объектов. Также кнопке "<" соответствует горячая клавиша "Esc" на клавиатуре.





В окне отчета доступны функции выделения и копирования строк. Также Вы можете сохранить отчет через меню "File" -> "Save analytics report".



Надеемся, что данный функционал значительно упростит Вашу работу по анализу файлов!



(C) Сергей Чубченко, разработчик VB Decompiler