Ensimmäinen ajatukseni olisi suorittaa taajuusanalyysi kohdistetuilla tavuilla. Useimpien kokoonpanokielien kohdalla tärkeimmät tavut on kohdistettu merkittävimpiin bitteihin.

Joten voi olla melko helppoa luoda erotin, joka tunnistaa asm-tyypin. Mutta yllättäen, muutaman Googlen jälkeen en löytänyt mitään työkalua tai paperia tästä ...

Ehkä täällä on jotain tekemistä.

En tiedä tätä varten suunniteltuja työkaluja. Käytännössä sen lataaminen IDA: han (tai mihin tahansa muuhun purkimeen) eri arkkitehtuureilla, kunnes se näyttää oikealta, on luultavasti helpoin tapa tehdä se. Saatat pystyä kirjoittamaan komentosarjan tämän automatisoimiseksi.

Jos haluat rakentaa oman työkalun, suosittelen tutustumaan Christopher Domaksen puheeseen "RE-dynaamisen binaarisen visualisoinnin tulevaisuus". Siinä käsitellään useita tekniikoita, joita voidaan käyttää tuntemattomien tietojen analysointiin. Yleinen ajatus kuvaa kunkin tiedoston kahden tai kolmen tavun ryhmän taajuutta. Kaaviot eroavat selvästi eri arkkitehtuureista, ja niitä voidaan käyttää tunnistamaan tietotyypit automaattisesti. Varsinainen työkalu ja tarvitsemasi tietojoukko eivät ole julkisesti saatavilla, mutta näin menisin, jos haluan tehdä automaattisen arkkitehtuurin tunnistuksen.

Yksinkertaisempi tapa olisi etsiä funktion prologia malleja eri arkkitehtuureissa. Vaikka toteutus on yksinkertaisempaa, tietojoukon valmistelu vie enemmän ihmisaikaa (koska funktioprologien tunnistamista ei voida automatisoida). Jotkut prosessorit eivät välttämättä ole riittävän tehokkaita C-koodin suorittamiseen, ja jos koodia ei käännetä, on mahdollista, ettei toiminnoilla ole ennustettavia prologeja. Saatat löytää muita yleisiä toimintoja, joita voit etsiä.

Yritä saada käsitys siitä, minkälaisiin suorittimiin se voisi kohdistaa. Voit todennäköisesti arvata myös suorittimen bittipituuden katsomalla tätä tiedostoa (file_size% 32 == 0? Todennäköisesti 32 bittiä). Kun sinulla on yksinkertainen luettelo, suorita binaari joidenkin purkajien läpi ja katso, onko koodilla järkevää. Yritä käyttää sitä joissakin emuloiduissa suorittimissa ja katso, toimiiko se jotain.

Pidä myös mielessä, että virheelliset ohjeet eivät välttämättä tarkoita, että sinulla on väärä suoritin, se voi olla vain tietoja tai jotain. Todellakin kannattaa tarkistaa tiedosto, jos et löydä merkkijonoja tai mitään, vain saadaksesi paremman käsityksen asioiden sijainnista.