Современные решения

для защиты Windows приложений

и восстановления исходного кода
Автор: Сергей Чубченко. Дата публикации: 18.06.2019

Функции аналитики в VB Decompiler


Специально для криминалистов и антивирусных аналитиков мы рады представить новую лицензию для VB Decompiler. В версии с возможностями автоматической аналитики доступна генерация отчета, содержащего детальную информацию об активности декомпилируемой программы на компьютере пользователя. Аналитик получает полный отчет об участках (процедурах и функциях) программы, производящих те или иные манипуляции с файлами, реестром, окнами, процессами, а также использующие служебные функции Visual Basic для вызовов функций по имени (CallByName) и прямого доступа к адресам памяти (VarPtr).

Эта информация позволяет существенно ускорить анализ потенциально вредоносных программ на предмет их функционала, что значительно упрощает работу антивирусных аналитиков. Также описанный функционал будет полезен криминалистам для поиска скрытых, недокументированных возможностей анализируемых программ.



Как это работает

Запустив VB Decompiler, откройте анализируемый бинарный файл. Убедитесь что в настройках (Tools -> Options) включена опция "Analyze Prototypes". После окончания процесса анализа файла будет автоматически открыт отчет о функционале программы.



VB Decompiler Analytic Features - Настройки


Отчет разделен на две части: краткий отчет и отчет со ссылками на строки. В первой части представлены адреса и функции, производящие те или иные манипуляции с файлами, реестром и так далее.



VB Decompiler Analytic Features на реальном примере

Во второй части помимо самих функций, предоставлены строки, встречающиеся в каждой из этих функций (в случае их наличия). Это позволяет без захода в каждую конкретную процедуру примерно оценить с какими файлами или ключами реестра производятся манипуляции. Естественно, строки будут представлены только в том случае, если они не зашифрованы и размещены в открытом виде.



VB Decompiler Analytic Features - Ссылки на строки

Окно отчета позволяет быстро переходить к коду каждой функции, смотреть бинарные данные в HEX редакторе, а также переходить по адресам расположения строк. Для перехода к коду той или иной функции достаточно дважды щелкнуть по ее имени. Для перехода в HEX редактор достаточно дважды щелкнуть по виртуальному адресу, расположенному перед именем функции или строкой.



VB Decompiler Analytic Features - Переходы между функциями

Для того чтобы вернуться обратно в отчет необходимо нажать кнопку "A" над деревом объектов. При этом курсор будет автоматически установлен на то место, где вы закончили анализ до перехода в функцию. Переход же между ранее открытыми функциями производится кнопками "<" и ">" над деревом объектов. Также кнопке "<" соответствует горячая клавиша "Esc" на клавиатуре.



VB Decompiler Analytic Features - Навигация

В окне отчета доступны функции выделения и копирования строк. Также Вы можете сохранить отчет через меню "File" -> "Save analytics report".



VB Decompiler Analytic Features - Сохранение отчетов

Надеемся, что данный функционал значительно упростит Вашу работу по анализу файлов! Коммерческая лицензия с функционалом для аналитиков уже доступна к приобретению.



(C) Сергей Чубченко, разработчик VB Decompiler