[HaBo]

05.03.04, 21:57

abend @ all

Ich bräuchte mal n paar tipps.

Ich will den Source eines fertigen Programms (EXE-Datei) haben. Mit welchen Tools kann ich den Source bekommen?

Decompiler, Disassembler oder wie??

schonmal thx

05.03.04, 22:02

@Aggress0r

Mit einem "Disassembler" bekommst Du, je nachdem ob die Datei nicht auch noch
gepackt (z.B. UPX) oder anders verschlüsselt ist, lediglich eine Disassemblat. Inwie
weit Du daraus dann "Funktionen" ableiten kannst, ist eine Frage Deines Assembler-
Wissens. Aber den Source-Code in C/C++ bekommst Du nicht. Ausnahme stellen dabei
Programme dar, die mit "Delphi" gecodet wurden. Weil hier der Disassembler "DeDe"
in der Lage ist, auch die Section wieder richtig zu rekonstruieren. Auch hier wird
nicht der "Delphi-Source-Code" angezeigt.

MfG Rushjo

06.03.04, 15:02

Wie kommen dann Hersteller von AntiViren-Software an den Quellcode von Viren?
(und die sind ja meistens EXE)

06.03.04, 17:02

@Aggress0r

Also, die nutzen immer mehrere Methoden, um möglichst viel über die Viren heraus-
zufinden. Zum Einem beobachten sie das Verhalten der Viren in einer "Test-Umgebung", zum anderen suchen sie nach "Text-Strings" in den Viren wie
Botschaften etc. und dann man bei Viren, die selber in Assembler geschrieben
wurden sich schon das Disassemblat anschauen. Denn bei Programmen, die in Assembler
geschrieben wurden, entspricht das Disassemblat dem Assembler-Code (=Source).
Dies gilt aber nur, wenn das Programm nicht noch "gepackt" wurde oder mit einem
Tool wie "safe disc" geschützt, die gerade das einfache Betrachten/Manipulieren des
Disassemblat verhindern sollen. "safe disc" ist der Kopie-Schutz bei den meisten
modernen Computerspielen.
Das Hauptproblem bei "Reverse Engineering" ist, das sich aus einer fertigen Datei
bei Sprachen wie C/C++ nicht der Source wieder ermitteln läßt. Dies basiert auf der
sich immer leicht unterscheidenen Übersetzung der Befehle der "höheren Programmier-Sprachen".
Die kommt zu Stande durch die diversen Kompiler, Kompilerversionen etc. und sonstige
Eigenarten der jeweiligen Programmiersprache. Wenn es so einfach wäre, dann wäre
ja jeder bessere Coder in der Lage, einfach mal "Windows" in den "Soource" zu
überführen und damit wäre M$ Windows dann auch "open Source".

Ich habe übrigens bisher wenig gesehen, das AV-Firmen erzählen, sie hätten den
Source eines Virus bzw. Wurms?! Hast Du dazu mal eine Quelle? Würde mich mal
interessieren.

MfG Rushjo

06.03.04, 21:19

Na ja z.B. gibt es das Virus CIH, dürfte jeder kennen.

Die verschiedenen Varianten sind allesamt EXE-Anwendungen. Ich habe den Sourcecode von CIH im Netz gefunden.

Wie kam er dahin?

)

06.03.04, 22:22

@Aggress0r

Wahrscheinlich eher vom Author als von einer AV-Firma. Und wenn Du hier liest, wie
"CIH" in die "Wildnis" gelangt ist, dann kannste sicher sein, das sein Author ge-
faßt wurde.

Zitat:

Zitat aus dem Posting hier
The original virus author released to the wild not only virus code in affected EXE
files, but virus source (assembler) code as well.

Und der Virus war in "Assembler" gecodet, wie ich in meinen letzten Posting schon
erwähnte, eröffnet dies ganz andere Möglichkeiten als wenn er in C/C++ geschrie-
ben worden wäre.

MfG Rushjo

P.S. All this interesting informations are found with a little help of my wonderful
friend google.de.

05.03.04, 21:57	#1 (permalink)
Aggress0r Guest	Sourcecode von Anwendungen extrahieren abend @ all Ich bräuchte mal n paar tipps. Ich will den Source eines fertigen Programms (EXE-Datei) haben. Mit welchen Tools kann ich den Source bekommen? Decompiler, Disassembler oder wie?? schonmal thx

06.03.04, 21:19	#5 (permalink)
Aggress0r Guest	CIH-Source Na ja z.B. gibt es das Virus CIH, dürfte jeder kennen. Die verschiedenen Varianten sind allesamt EXE-Anwendungen. Ich habe den Sourcecode von CIH im Netz gefunden. Wie kam er dahin? )

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
MySQL 4.0* Sourcecode	Gulliver	Linux/UNIX	2	14.09.07 12:51
sourcecode zu quake - serie (I - III)	_fux_	Games	0	12.12.05 21:57
Hex-Code in Sourcecode umwandeln?	Bleeding666	Code Kitchen	10	17.02.04 19:54
Windows98 Sourcecode	Sven	Fun Section	1	19.01.04 17:48

05.03.04, 22:02	#2 (permalink)
Rushjo Guest	@Aggress0r Mit einem "Disassembler" bekommst Du, je nachdem ob die Datei nicht auch noch gepackt (z.B. UPX) oder anders verschlüsselt ist, lediglich eine Disassemblat. Inwie weit Du daraus dann "Funktionen" ableiten kannst, ist eine Frage Deines Assembler- Wissens. Aber den Source-Code in C/C++ bekommst Du nicht. Ausnahme stellen dabei Programme dar, die mit "Delphi" gecodet wurden. Weil hier der Disassembler "DeDe" in der Lage ist, auch die Section wieder richtig zu rekonstruieren. Auch hier wird nicht der "Delphi-Source-Code" angezeigt. MfG Rushjo

06.03.04, 15:02	#3 (permalink)
Aggress0r Guest	Wie kommen dann Hersteller von AntiViren-Software an den Quellcode von Viren? (und die sind ja meistens EXE)

06.03.04, 17:02	#4 (permalink)
Rushjo Guest	@Aggress0r Also, die nutzen immer mehrere Methoden, um möglichst viel über die Viren heraus- zufinden. Zum Einem beobachten sie das Verhalten der Viren in einer "Test-Umgebung", zum anderen suchen sie nach "Text-Strings" in den Viren wie Botschaften etc. und dann man bei Viren, die selber in Assembler geschrieben wurden sich schon das Disassemblat anschauen. Denn bei Programmen, die in Assembler geschrieben wurden, entspricht das Disassemblat dem Assembler-Code (=Source). Dies gilt aber nur, wenn das Programm nicht noch "gepackt" wurde oder mit einem Tool wie "safe disc" geschützt, die gerade das einfache Betrachten/Manipulieren des Disassemblat verhindern sollen. "safe disc" ist der Kopie-Schutz bei den meisten modernen Computerspielen. Das Hauptproblem bei "Reverse Engineering" ist, das sich aus einer fertigen Datei bei Sprachen wie C/C++ nicht der Source wieder ermitteln läßt. Dies basiert auf der sich immer leicht unterscheidenen Übersetzung der Befehle der "höheren Programmier-Sprachen". Die kommt zu Stande durch die diversen Kompiler, Kompilerversionen etc. und sonstige Eigenarten der jeweiligen Programmiersprache. Wenn es so einfach wäre, dann wäre ja jeder bessere Coder in der Lage, einfach mal "Windows" in den "Soource" zu überführen und damit wäre M$ Windows dann auch "open Source". Ich habe übrigens bisher wenig gesehen, das AV-Firmen erzählen, sie hätten den Source eines Virus bzw. Wurms?! Hast Du dazu mal eine Quelle? Würde mich mal interessieren. MfG Rushjo

[HaBo]

Sourcecode von Anwendungen extrahieren