refir <f...@g...pl> wrote:

> czy wspolczesne disasemblery pozbawione są tej starej wady
> (jaka mily starsze jak pamietam) ze nie zawsze potrafią
> zidentyikowac poczatek kodu, albo disasembluja dana czy
> na odwrot prezentuja kod jako dane?

Deasemblerowi trzeba pomóc. Popularną techniką ukrywania kodu jest skakanie
w połowę instrukcji - wtedy wykonuje się inny kod.

> na czym polega robota polegajaca na probie rozgryzienia
> programu do ktorego nie ma zrodla i da sie tylko disasemblowac

Na analizie. Czasem na emulacji (szczególnie w przypadku niebezpiecznego
kodu). Czasem na uruchomieniu w kontrolowanym środowisku (np. VMware lub
specjalne maszyny, kontrolowane przez inną maszynę).

> czy ktos sie tym zajmuje czy tylko krakerzy grzebia w tym po
> wierzchu, a tak naprawde nikt tego nie robi do konca?

Przez 6 lat pracy w branży antywirusowej zajmowałem się tym parę razy, ale
głównie była to praca działu analiz. Ja robiłem to tylko analizując nowe
kompresory i szyfratory plików wykonywalnych, żeby dodać ich algorytmy
do silnika - no i przy pracy nad emulatorem AMD64, który miał za zadanie
robić to automatycznie.

> jak wyglada taka robota - czy to co produkuje przyzwoity
> disasembler da przerobic i zasemblowac na nowo czy tez
> disasemblery niezbyt holduja tej regule

Często się da, ale nakład pracy nie jest mały. Raczej nikt nie asembluje
takiego kodu na nowo.

--
Gof