Hex-Rays Decompiler

VonRomanX

hex-rays, HEXX86W

Hex-Rays Decompiler

Vollständiger Decompiler für verschiedene Codes. Vom Hersteller des IDA Pro Disassemblers Hex-Rays

Der Hex-Rays Decompiler übersetzt den Binärcode beliebiger Applikationen in lesbaren High-Level Text. Im Gegensatz zum Ergebnis eines Disassemblers erhält der Benutzer aber einen Output der einem C Quellcode sehr ähnlich ist. Es ist genau diese Lesbarkeit, die dem Analysten eins Kompilierten Codes eine erhebliche Zeitersparnis beschert.

Der Decompiler ist eine unschätzbare Hilfe für Alle, die im Bereich IT Sicherheit, Anti Virus , Vulnerability Research oder Reverse Engineering tätig sind. Bei der Verifizierung und Validierung von Software bekommt der Analyst ein mächtiges Werkzeug an die Hand. Bei der Analyse von fremdem oder feindlichem Code kann der User sehr schnell und explizit die Programmstruktur inklusive von Funktionen und Parametern erkennen.

Die Geschwindigkeit der Analyse einer Applikation, die mit dem Decompiler übersetzt wurde liegt in der Kürze der Ausgabe begründet. Ein Beispiel: Eine typisches (kompiliertes) Programm hat aktuell eine Größe von etwa 400KB bis vielleicht 5MB. Hierfür entspricht die Ausgabe eines Disassemblers einem ca. 5MB – 100MB langen Text.

Die Ausgabe des Decompilers ist nur noch lediglich etwa 400KB – 10 MB lang.

Das ist Faktor 10. Auch beim anschließenden Lesen durch den Programmierer oder Analysten.

Verschiedene Platformen:

• x86
• x64
• ARM32
• ARM64
• PowerPC
• PowerPC64
• MIPS
• MIPS64
• ARC

Ein Decompiler ist ein Plug-in und benötigt zum Laufen als Basis einen Ida Pro Disassembler! Läuft unter Windows, Linux und Mac. IDA GUI und Konsole werden gleichermaßen unterstützt.

Hex-Rays Decompiler High Level Code Augabe

• Prägnant.
• Strukturiert.
• Verständlicher.
• Keine Kenntnis der Assembler Sprache notwendig.
• Erkennt und übersetzt Low Level Ausdrücke in eine High Level Notation.
• Weniger repetitiv als die Ausgabe aus dem Disassembler.
• Data Flow Analyse.
• Instant Reverse Engineering.
• Ergebnis beim Decompiler um den Faktor 10 kürzer als beim Disassembler.

Decompiler Eigenschaften

• Unterstützt Compiler generierten x86 32 Bit Code, 64 Bit Code oder wahlweise ARM Code
• Verarbeitet Code aus allen gängigen C oder C++ Compilern.
• Schnell: unter 1 Sekunde für eine typische Funktion.
• Batch Modus für die automatische Decompilierung.
• Interaktiver Modus für bessere Ergebnisse.
• Interaktiv: z.B. können Variablennamen und Typen bei der Ausgabe geändert werden.
• An tausenden von Dateien, auch an sehr großen Applikationen getestet.
• Fließkomma Instruktionen (Floating Point Instructions) und XMM/MMX/SSE Instruktionen werden in der Version 1.0 noch nicht unterstützt.
• Exception Handling wird in der Version 1.0 noch nicht unterstützt.
• Aufgrund genereller Unwägbarkeiten, kann, Ebenso wie bei allen Disassemblern, die Gültigkeit nicht 100% Garantiert werden.

Der Hex-Rays x86 Decompiler arbeitet als IDA PlugIn (ab Version 5.1). Eine beliebige, gültige Lizenz des IDA Disassemblers ab 5.1 ist Voraussetzung für die Lauffähigkeit. Updates und Herstellersupport sind 1 Jahr lang kostenlos.

Produktinfo PDF, Englisch

Was ist neu ab 2018?, PDF, Englisch

Vergleich Disassembler vs. Decompiler PDF, Englisch

Was ist neu in Version 7.4? (EN)

Hex-Rays bei German Sales Agency

Der Hex-Rays Decompiler stammt von Ilfak Guilfanov, der gleichzeitig auch der
Entwickler des IDA Pro Disassemblers ist. In dem Produkt stecken über 14 Jahre
intensive Entwicklung und unzählige neue Ansätze und Algorithmen aus dem Gebiet
Disassembler / Decompiler.