Mellékleteink: HUP | Gamekapocs
Keres

Ingyenes kódelemzővel jelentkezett a Google

Gálffy Csaba, 2016. március 24. 14:13

Fontos eszközt tett szabadon hozzáférhetővé a Google - igaz, a BinDiff forráskódját azért nem nyitotta meg a cég. Belső használatra már komplex malware-elemző platform alapja lett ez az eszköz, amelyet más kutatók is használhatnak.

Ingyenesen letölthetővé tette egyik legértékesebb IT-biztonsági eszközét a Google. A BinDiff egy összehasonlító eszköz, amellyel a bináris állományok hasonlóságaira és különbségeire lehet fényt deríteni, nem csak a formai, hanem a működési-funkcionális szempontból is.

Az eszköz egyébként egyaránt használható a hivatalos forrásból származó biztonsági javítások elemzésére illetve a kártékony szoftverek fejlődésének vizsgálatára is. Segítségével visszafejthető például, hogy egy patch pontosan mit, hol és hogyan foltoz, így értelemszerűen kikövetkeztethető az eredeti sérülékenység is. Ugyanilyen mintára az egy családba tartozó malware esetében megfigyelhető, ha abba a készítők újabb sebezhetőség kiaknázását építik bele.

A BinDiff többféle processzorarchitektúrát és operációs rendszert támogat, így vizsgálható vele x86-os, MIPS, ARM (32 és 64 bites) és Power processzorra írt bináris is. A megoldás képes a binárisok által függvények elemzésére, és kimutatni az egybevágó vagy nagyon hasonló függvényeket, illetve elemezni a finom különbségeket a változatok között.

A Google a BinDiff technológiájára még 2011-ben tett szert, ekkor vásárolta fel ugyanis az eszközt fejlesztő Zynamics nevű szoftverkód-elemző céget. Azóta az eszköz kereskedelmi kiadása elérhető maradt, de a Google biztonsági szakemberei is széles körben kezdték használni a különböző projektek során. A cég most döntött úgy, hogy az eszközt ingyenesen elérhetővé teszi, így mindenki elkezdhet vele dolgozni - az eszköz korábban 200 dolláros listaáron volt megvásárolható.

Házon belül a Google igen aktívan használja a BinDiff képességeit, a cég komplex és nagyméretű malware-feldolgozó rendszert épített rá, amellyel a saját és más cégek felhasználóit védi. A BinDiff szolgáltatja az összehasonlítási eredményeket, amelyek alapján a rendszer családokba sorolja a különböző kártékony szoftvereket, milliárdnyi elemzés eredményeképp.

A BinDiff egyébként nem önálló szoftver, hanem a professzionális IDA Pro disassembler kiterjesztése, használatához pedig szükség van a csomag kereskedelmi licencére is. A BinDiff 4.2-es kiadása letölthető a Zynamics weboldaláról, Windows és Linux verzióban. Az eszközhöz hivatalos támogatás nem jár.