识别二进制文件中的算法

Question

你们中有人知道一种识别已编译文件中算法的技术，例如通过测试某些模式的反汇编吗？

我所掌握的罕见信息是，库中有一些（未导出的）代码可以解压缩 Byte[] 的内容，但我不知道它是如何工作的。 我有一些文件，我认为这些文件是以未知的方式压缩的，并且看起来这些文件没有任何压缩标头或预告片。 我假设没有加密，但只要我不知道如何解压缩，它对我来说毫无价值。

我的库是一个用于低容量目标的 ARM9 二进制文件。

编辑： 它是一种无损压缩，存储二进制数据或纯文本。

Answer 1

您可以采用几个方向，使用 IDA Pro 等工具进行静态分析，或者加载到 GDB 或模拟器中并按照这种方式跟踪代码。 他们可能对数据进行异或以隐藏算法，因为已经有许多好的无损压缩技术。

Answer 2

解压缩算法涉及紧密循环中的显着循环。 您可能首先开始寻找循环（递减寄存器，如果不为 0 则向后跳转）。

鉴于它是一个小目标，您很有可能手动解码它，尽管现在看起来很难，一旦您深入研究它，您会发现您可以自己识别各种编程结构。

您还可以考虑将其反编译为更高级的语言，这比汇编更容易，但如果您不知道它是如何编译的，那么仍然很困难。

http://www.google.com/search?q=arm%20decompiler -

亚当

Answer 3

执行此操作的可靠方法是反汇编该库并读取解压缩例程的结果汇编代码（可能还可以在调试器中单步执行）以准确查看它在做什么。

但是，您也许可以查看压缩后的幻数文件并找出使用了哪种压缩。 例如，如果使用 DEFLATE 进行压缩，则前两个字节将为十六进制 78  ;9c; 如果使用 bzip2, 42 5a; 如果使用 gzip，1f 8b。

Answer 4

根据我的经验，大多数情况下文件是使用普通的旧 Deflate 进行压缩的。 您可以尝试使用 zlib 打开它们，从不同的偏移量开始以补偿自定义标头。 问题是，zlib 本身添加了自己的标头。 在 python 中（我猜其他实现也具有该功能），您可以传递给 zlib.decompress -15 作为历史缓冲区大小（即 zlib.decompress(data,-15)），这会导致它解压缩原始紧缩数据，没有 zlib 的标头。

Answer 5

通过查看程序集完成的逆向工程可能存在版权问题。 特别是，从版权的角度来看，这样做来编写解压缩程序几乎与您自己使用程序集一样糟糕。 但后者要容易得多。 因此，如果您的动机只是为了能够编写自己的解压缩实用程序，那么您最好只移植您拥有的程序集。