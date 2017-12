(Bild: dpa, Sebastian Kahnert)

Der Virenschutz-Hersteller Avast hat ein Werkzeug entwickelt, mit dem sich ausführbarer Maschinencode in lesbaren Quelltext zurückübersetzen lassen soll. Damit lässt sich das Verhalten von Programmen analysieren, ohne sie auszuführen.

Sieben Jahre Entwicklungsarbeit hat der AV-Hersteller Avast nach eigenen Angaben in seinen Maschinencode-Decompiler RetDec gesteckt, jetzt ist er unter einer Open-Source-Lizenz öffentlich verfügbar. Der Name steht für "Retargetable Decompiler", was darauf hindeuten soll, dass das Programm verschiedene Zielplattformen unterstützt: Der Decompiler selbst läuft unter Windows und Linux; zu den unterstützten Binärformaten gehören das unter Windows übliche PE und das unter Linux gebräuchliche ELF, allerdings bislang nur deren 32-Bit-Varianten.

RetDec dient dazu, ausführbare Programme wieder in Quelltext zu übersetzen. Hauptzweck dieser Übung ist die Malware-Analyse, denn so lässt sich das Verhalten eines Programmes studieren, ohne es auszuführen. Aber auch beim Aufspüren von Fehlern und Schwachstellen in Programmen, zu denen es keinen öffentlichen Quellcode gibt, leistet ein Decompiler gute Dienste. RetDec liefert den Quelltext zu einer Binärdatei wahlweise in C oder einer Python-ähnlichen Programmiersprache.

Der unter MIT-Lizenz stehende Quelltext von RetDec selbst ist auf Github verfügbar. Dort gibt es auch vorkompilierte Binärpakete für Windows. Auf der RetDec-Homepage kann man das Programm außerdem online ausprobieren, indem man eine maximal 10 MByte große Binärdatei hochlädt; das Ergebnis lässt sich direkt im Browser begutachten. (hos)