by
Anonymous Coward
on 2016年03月23日 14時20分
(#2985033)
Required Version of IDA
Since BinDiff is an add-on product to IDA, it requires a working installation of Hex-Rays IDA Pro version 6.8 or above. Please note that support for legacy versions of IDA Pro has been discontinued. http://www.zynamics.com/bindiff/manual/index.html#N201B6 [zynamics.com]
無料(ただし (スコア:2, 参考になる)
ただしIDA Proが必要。まだ気軽に手を出せるものじゃないですね。
Re:無料(ただし (スコア:1)
Re: (スコア:0)
32bitしかディスアセンブルしないなら、IDA Starterという半額ぐらいのプランもあるよ
あら、お得w
#IDA Professionalとの違いはCPUサポートぐらいだった気がするから、動くのかな……
Re: (スコア:0)
Use Casesに↓とあるので、「サポート外のアーキはIDA Proを使うよ」じゃないの?
Compare binary files for x86, MIPS, ARM, PowerPC, and other architectures supported by IDA Pro
Re:無料(ただし (スコア:1)
Required Version of IDA
Since BinDiff is an add-on product to IDA, it requires a working installation of Hex-Rays IDA Pro version 6.8 or above. Please note that support for legacy versions of IDA Pro has been discontinued.
http://www.zynamics.com/bindiff/manual/index.html#N201B6 [zynamics.com]
プラグインとして動くから、IDAの6.8以上がいるよ
とも書いてある。
Re: (スコア:0)
この文だと、
「x86…その他」の、「IDA Proがサポートするアーキテクチャ」向けのバイナリを比較
とよむべきでは。
Re: (スコア:0)
今のコンピューター事情だと、マルウェアのサイズが1MBだろうと10MBだろうと、パフォーマンスに大した差はない。とすれば、関係ないコードを10万行とかいれてdiffを汚染してから、って手法をされると手も足も出なくなると思う。
むしろ、差分の解析に役立つのはあるソフトウェアのアップデートリリースされた時に、「どう直されたか」ってところだけじゃないかな。それって、結構危険な状況のような気もする。
Re: (スコア:0)
セキュリティアップデートから自動的に攻撃コードを生成するツールとかとっくの昔に実用化されて攻撃に使われてるし何を今さらとしか
Re: (スコア:0)
マルウェアを見てると、無駄なコードを入れる難読化をしてるのはパッカー(upxみたいなやつ)部分でやってるのがほとんどで、中に入ってる本体部分に無意味なコードが入ってるのはほとんど無い。
手軽に無駄なコードを入れられる技術的ブレイクスルーでもない限り、この状況は変わらないと思う。
Re: (スコア:0)
手軽に無駄なコードを入れるのにブレイクスルーは必要かな?「無駄」ったって、何もしないわけじゃなくて、無駄な計算とかはやってもいいんだから、なんとでもできるんじゃない?
Re: (スコア:0)
いや、現状だと手軽に無意味なコードを挿入できる手法が確立してないので、実際にやってるのはほとんどないって話。
マルウェアといえど書いたらそれで終わりではなく、きちんとメンテナンスする必要があるので、元のソースのメンテナンス効率を維持しつつ手軽に無意味なコードを混入する手法が無ければ、プログラマはやりたがらないでしょ?
(理論上可能であるのと、実際に行われてるかは別の話)
#あくまでも、静的解析をしてる解析者から見た推測ですけどね。