Как декомпилировать программу?

Question

[TAnonim]

Здравствуйте. Только начал пробовать участвовать в ctf, возник вопрос, как декомпилировать простую программу, написанную на С, скомпилированную для linux? Скачал IDA, открыл файл и обнаружил много раздробленного кода на ассемблере:

Так и должно быть? Как во всём этом разобраться? Мне бы хотя бы примерно понять структуру программы.
На моём линуксе эта программа еще и не запускается почему-то - просто пишет "No such file or directory.", Linux Ubuntu x86_64, программа 32 битная. В чем может быть проблема?
Сама программа, на всякий случай тут.

Answer 1

[asd111]

Нужно начинать с чего то попроще. Например посмотрите уроки по взлому crackme. Так многое прояснится
https://habrahabr.ru/post/276149/
https://habrahabr.ru/post/99549/
https://habrahabr.ru/post/135255/

Написание кейгена:
https://habrahabr.ru/post/255935/

Answer 2

[Rsa97]

Как разобраться? Для начала освоить ассемблер, хотя бы на базовом уровне, чтобы понимать смысл команд. Затем определить стандарт передачи данных в подпрограммы для варианта компиляции вашей программы. Потом изучать все эти подпрограммы sub_XXXX и пытаться понять, что они делают. По ходу изучения переименовывать подпрограммы и адреса данных в удобочитаемую форму. Когда смысл всех подпрограмм станет ясен, можно будет понять, что в целом делает программа.

Comments

[TAnonim]

Однако здесь, в разборе решения, bruce30262.logdown.com/posts/1256093-33c3-ctf-2016... приводятся прямо куски нормального кода на С. Как он мог их получить?

[Rsa97]

TAnonim: С опытом приходит понимание того, как структуры данных и команды C переводятся на ассемблер. Накопив определённый базис можно восстанавливать примерный исходный код на C, а зная, что делает программа и давать осмысленные названия переменным.

[Руслан]

TAnonim: В платной версии IDA есть плагин Hex-Rays Decompiler, внутри функции нажимаете F5, и возможно получите некий Си код с помощью этого плагина.

[TAnonim]

Руслан: Спасибо, действительно помогает!
С новым годом :)

Answer 3

[Максим Мосейчук]

На моём линуксе эта программа еще и не запускается почему-то - просто пишет "No such file or directory.",

Как вы её запускаете то? Нужно указывать полный путь, или относительный. Но начальная компонента в пути обязательно должна быть.

Comments

[TAnonim]

естественно. тот же ls показывает, что программа есть, а когда пытаюсь запустить через ./babyfengshui (находясь в каталоге с ней) выкидывает ошибку.
С наступающим :)

[Максим Мосейчук]

TAnonim: И вас с наступающим! А права на исполнение у файла есть?

[TAnonim]

fshp: Спасибо. Да, пробовал и через sudo и через chmod давать права -xu вроде. Этого достаточно?

[Максим Мосейчук]

TAnonim: это вы отобрали права.

[Максим Мосейчук]

TAnonim: поставьте 777

[TAnonim]

fshp: даже смешно немного. Ну chmod я ставил правильный до этого, это я вам не так сказал, сейчас, на всякий случай, попробовал переставить на 777, но все равно та же история - no such file.

[TAnonim]

Кстати, та же команда file выводит информацию о приложении: "ELF 32-bit LSB executable". Linux у меня, как я уже говорил, Ubuntu x86_64. Может это всё-таки из-за разрядности?

Answer 4

[Rou1997]

Вы используете только дизассемблер, а необходим еще декомпилятор C++ (например Hex-Rays - скачайте и установить его в IDA), а также отладчик как средство отслеживания и контроля программы в работе, для UNIX очевидным выбором является отладчик gdb, да и для других ОС он тоже применяется хотя порой с меньшим успехом.
К тому же у вас совсем нет опыта иначе бы вы хотя бы догадались что сперва нужно открыть функцию main в списке слева, поскольку выполнение executable начинается с этой функции.

Сама программа, на всякий случай тут.

На тот случай, если я недостаточно устал от работы, чтобы еще и вами заниматься, а то нечего мне тут бездельничать на Новый год, да? :)

Только начал пробовать участвовать в ctf

Лучше бы вы работали.
Это сложное дело, для него требуется обрести новые навыки, а то и слегка перестроить мышление, для такой перестройки нужен серьезный стимул, например заказ на фрилансе на большую сумму и с уже выплаченным большим авансом, а не спонтанно захотел и сделал, как хотели бы многие.

Comments

[TAnonim]

Кажется, немного разобрался. Декомпилятор С++ - это который в IDA вызывается через F5(Open pseudocode), верно?
Функции main в списке слева нет, и я догадался проверить это. Есть start, но main нет.
Не спонтанно захотел и сделал, а стал систематично заниматься в этой области.
С наступающим :)

[Rou1997]

TAnonim: Тогда запуск начинается со start.

[TAnonim]

Да, кстати, программу я прикрепил просто чтобы обеспечить полноту информации о своём вопросе и не просил ничего с ней делать...
А из-за чего может возникать ошибка в HexRays "Decompilation failure: positive sp value found"? Возникает при попытке декомпилировать функцию start, с другими всё нормально.

[Rou1997]

TAnonim: Я на Ильфака не работаю и поэтому не знаю из-за чего она возникает, ошибки в декомпиляторах - к сожалению обычное дело вплоть до полной неспособности декомпилировать данную функцию, создатели разных декомпиляторов не желают объединяться и это одна из причин почему нет ни одного идеального декомпилятора, если для C# и особенно Java их хотя бы много и можно на этой функции попробовать другой то для C++ если вообще не декомпилирует то остается по большому счету только дизассемблер и отладчик, или поискать какую-то другую версию программы если есть.

Answer 5

[Владимир Мартьянов]

"много раздробленного кода" - так программы и пишутся: куча функций, а не одна простыня. Нормально у вас ида отработала, все так и должно быть.