c't 9/2018
S. 56
Kurztest
Disassembler

IDA Pro Free goes 64 Bit

Der „Interactive Disassembler“ (IDA) ist seit vielen Jahren das Werkzeug schlechthin, wenn es um die Analyse von Programmen geht, die nur in Binärform vorliegen.

Aufmacherbild

Die Software des belgischen Herstellers Hex-Rays ist weit mehr als ein einfacher Disassembler: Sie bereitet den disassemblierten Code gut lesbar auf und stellt Bibliotheksfunktionen und Strings in separaten Fenstern dar. Zudem bietet sie verschiedene Visualisierungsmöglichkeiten von Dateistruktur und Programmfluss, Funktionsaufrufen und Querverweisen („Xrefs“) im Code. Hinzu kommen Debugging-Funktionen für die dynamische Analyse sowie vielfältige Möglichkeiten, eigene Änderungen und Ergänzungen vorzunehmen und diese in einer Datenbank zu speichern.

IDA läuft auf Windows-, Linux- und macOS-Systemen, beherrscht die Befehlssätze von mehr als 60 Prozessorfamilien und weiß mit einer Vielzahl von Dateiformaten umzugehen.

All das hat seinen Preis: Eine IDA-Pro-Lizenz kostet 1500 Euro aufwärts. Freelancer und Hobby-Analysten, die vor einem solch tiefen Griff in den Geldbeutel zurückschrecken, konnten bereits in der Vergangenheit auf eine abgespeckte Freeware-Version, nämlich 5.0, zurückgreifen. Die wurde allerdings bereits 2006 veröffentlicht und war damit völlig veraltet. Seit Anfang Februar gibt es jedoch mit IDA Pro 7.0 eine neue Gratisfassung.

Unter einer deutlich modernisierten grafischen Oberfläche stecken eine ganze Reihe nützlicher Features, die in den vergangenen Jahren hinzugekommen sind. Zu den Highlights gehört der mit Version 6.2 eingeführte Proximity-Browser, der miteinander verknüpfte Programmfunktionen grafisch veranschaulicht und dem Nutzer ermöglicht, Funktionsaufrufe via Doppelklick nachzuverfolgen. Ebenfalls praktisch ist die Snapshot-Funktion, mit der man IDAs Datenbank in frühere Zustände zurückversetzen kann.

Die bedeutendste Neuerung der aktuellen Gratis-Variante besteht darin, dass sie Nutzern endlich auch das Disassemblieren von 64-Bit-Binaries außerhalb der kostenpflichtigen Version erlaubt. Mit 16- und 32-Bit-Anwendungen kann sie natürlich auch weiterhin umgehen.

Ein recht großes Defizit gegenüber der 5.0er-Version ist es, dass in der neuen Free-Version keine Debugging-Funktionen verfügbar sind. Für eine ergänzende dynamische Analyse müsste man somit auf einen separaten Debugger zurückgreifen.

Ansonsten gelten die bereits vom Vorgänger gewohnten Einschränkungen im Vergleich zum kostenpflichtigen Produkt. Wer also auf Plug-ins, integrierten Decompiler und technischen Support verzichten kann, keine kommerzielle Nutzung plant und mit den Dateiformaten PE, ELF und Mach-O auskommt, dem bleibt mit IDA Pro Free 7.0 ein leistungsfähiger Disassembler, der weit mehr Funktionen mitbringt, als die meisten Hobbyisten benötigen. (ovw@ct.de)

Tabelle
Tabelle: IDA Pro Freeware 7.0

Leserbrief schreiben

Artikel als PDF herunterladen

Auf Facebook teilen

Auf X teilen