Los seres humanos nos solemos abrumar cuando estamos ante una gran cantidad de información aparentemente caótica y desordenada; y así es como nos sentimos muchas veces cuando desensamblamos un ejecutable, o vemos cualquier otro tipo de archivo en con un editor de manera hexadecimal o binaria. No nos damos cuenta, pero a priori, antes de meternos al analisis, casi todo el mundo hacemos un rápido recorrido por el archivo moviendo la barra de scroll. ¿Qué es lo que buscamos? ¡Algo que destaque a simple vista!, y, ¿Por qué así? Pues porque el cerebro humano está preparado para procesar gran cantidad de información visual; cosa que no ocurre con información hexadecimal por ejemplo.
¿Y si pudierais ver toda esa información de esta manera?
En este sentido, en el mundo de la ingeniería inversa, se están empezando a desarrollar de manera intensa, programas que nos muestran de manera visual la información que obtendríamos de otra manera, por ejemplo con un editor hexadecimal. El presentar toda la información de manera gráfica y visual nos permite detectar patrones, llamadas, código extraño, etc, dentro de un archivo o ejecutable. Así, uno de los primeros programas desarrollados enteramente bajo este paradigma gráfico se presentó (en versión muy temprana) en la Defcon 2012; se llama "Cantor Dust". Por ahora solo es una muestra para Windows que podéis descargar de aquí; la versión está muy limitada aún, sin embargo, el autor ya tiene preparadas bastantes funciones, como muestra en esta conferencia:
Personalmente, tengo que decir que siempre he sido de mucha consola, y poco entorno gráfico; sin embargo, este programa, y, en gran medida el vídeo, me han hecho ver que el paradigma visual también puede tener sus ventajas. Tal vez no a la hora de manejar un sistema, pero sí al menos a la hora de analizar grandes cantidades de datos, por poner un ejemplo. Y tal vez, sería interesante explorar las posibilidades de este concepto aplicado a algo más que el análisis binario.
Página oficial de la herramienta: Cantor Dust
0 comentarios:
Publicar un comentario