[摘要]Relyze Desktop(交互式软件逆向工程),Relyze Desktop可以让你对x86、x64、ARM32和ARM64软件进行反向工程、反编译和差异化,提供汉化文件对软件进行汉化!功能介绍...
Relyze Desktop(交互式软件逆向工程),Relyze Desktop可以让你对x86、x64、ARM32和ARM64软件进行反向工程、反编译和差异化,提供汉化文件对软件进行汉化!
功能介绍
分析和探讨PE和ELF的二进制文件。
Relyze Desktop广泛覆盖了便携式可执行文件(PE)和可执行文件及链接格式(ELF)二进制文件,让您了解二进制文件的组成,并利用这些丰富的元数据进行分析。符号格式如PDB、嵌入式COFF、STAB、TDS和MAP文件也可以被加载,以进一步丰富拆解和分析。还支持对象文件和对象档案。支持的架构包括x86、x64、ARM32(ARMv7包括Thumb模式)和ARM64(Arch64)。
分析和探索PE文件
使用分析概述来快速了解二进制文件。显示有关文件、其相关哈希值、嵌入文件信息、可用的安全缓解措施、分析信息、熵图和任何嵌入的安全证书的信息。
初步观察
使用熵图来识别打包或加密的数据和其他异常情况。熵图覆盖了相应的文件部分,并且是交互式的,因此您可以导航到结构或代码视图,以便了解更多信息。
可视化数据的熵
深入了解一个文件的结构,以便确切地看到它是如何组成的。使用十六进制编辑器进一步探索结构,在飞行中解码和搜索数据。你也可以利用自定义解码器来操作部分数据。
探索结构
Relyze Desktop让你可以拆解和分析x86、x64、ARM32和ARM64代码,并支持最新的指令集扩展。该插件框架公开了对反汇编器的全部访问权限,因此你可以根据需要编写脚本。
分析x86、x64、ARM32和ARM64代码。
我们的反编译器可以让你快速了解一个程序的行为,为一个函数发出高级伪代码。反编译器是完全交互式的,允许您重命名和重新键入变量,导航变量引用等。
将x86、x64、ARM32和ARM64本地代码反编译为伪代码。
交互式二进制扩散 *
对两个二进制文件进行差异分析,发现它们的异同。了解哪些功能被修改、删除或添加。在验证安全修复或分析恶意软件变种时,非常适合进行补丁分析。
二进制差异分析
利用反编译器,进行伪代码衍化,通过熟悉的衍化界面,快速了解代码修改情况。
伪代码二进制差异化
Relyze Desktop可以执行并行分析,并利用所有可用的处理器内核,使您可以快速处理大型二进制文件并完成分析。
并行分析
通过每个支持的架构的内置汇编器,您可以在飞行中编辑指令并修补二进制。分析将重新处理更改后的指令,以便更新分析。插件框架公开了对汇编器的全部访问权限,因此您可以根据需要对其进行脚本编写。
编辑代码
Relyze Desktop通过交互式控制流图将函数可视化,允许你浏览函数的代码路径,并与局部变量、指令和其他属性交互。
使用多种图形布局算法生成和探索交互式调用图形。我们的基于DirectX的硬件加速图形渲染引擎可以让您以一个平滑的界面探索大型复杂的图形。
功能分析
自动分析识别函数,它们的参数和其他元数据,如调用惯例。一个函数的局部变量会被自动分析并显示在函数的控制流程图中,这样你就可以与它们进行交互,发现对局部变量的引用,更新它们的数据类型等等。
函数分析
通过自动跳转表和异常处理程序分析,获得一个函数的完整控制流图。发现原本不可见的代码路径。
查看所有的代码路径
解决间接呼叫
在可能的情况下,分析可以解析间接调用目标,以提供函数逻辑的完整情况。
寻找一切
快速搜索并识别分析中有趣的部分,或浏览所有内容。诸如段、导入、导出、函数、字符串、书签、符号线和搜索结果等项目都被整合在一个统一的位置,以便于遍历。
数据类型分析
自动分析发现数据,并通过分析或在可用的情况下通过符号的帮助识别合适的数据类型。识别基元类型、字符串、复杂结构等。
更新日志
Version 3.2.0 (29 April 2020)
错误修复/分析:解决从序号到预期符号的 PE 导入可能会失败。
错误修复/分析:在函数数据类型分析期间,可能会为内存操作数标识不正确的寄存器大小。
错误修复/分析:遵守 TDS 符号的分析选项"从错误名称生成数据类型"。
错误修复/分析:长度小于本机指针大小的 ASCII 字符串可能无法识别。
错误修复/分析:对于没有显式返回类型的混乱函数名称,请使用 FDTA 来发现潜在的返回类型。
错误修复/去编译/TCG:Phi 简化以处理多个依赖的 phi 指令。
错误修复/去编译/TCG:死店消除可能会消除别名存储。
错误修复/去编译/AST:AST 可能无法发出预期的匿名成员访问。
使用编程语言写的程序,由于每条指令都对应计算机一个特定的基本动作,所以程序占用内存少、执行效率高。