В мире обратного проектирования и двоичного анализа Radare2 (обычно называемый Radare) выделяется как мощный и универсальный инструмент. Одной из наиболее полезных функций является возможность исправления инструкций в двоичном файле, что позволяет вам изменять поведение программы без доступа к ее исходному коду. В этой статье мы рассмотрим различные методы исправления инструкций с помощью Radare, используя простой язык и практические примеры кода, чтобы сделать процесс более понятным.

Метод 1. Непосредственное изменение инструкций ассемблера.
Самый простой метод предполагает непосредственное изменение ассемблерных инструкций в двоичном файле. Radare позволяет вам дизассемблировать двоичный файл, найти конкретную инструкцию, которую вы хотите исправить, и перезаписать ее нужной инструкцией. Вот пример:

$ r2 binary_file
[0x00401000]> pd 5
   0x00401000      55             push rbp
   0x00401001      4889e5         mov rbp, rsp
   0x00401004      c745fc000000.  mov dword [rbp - 4], 0
   0x0040100b      5d             pop rbp
   0x0040100c      c3             ret

Предположим, мы хотим исправить инструкцию по адресу 0x00401004, чтобы установить значение 42вместо 0. Мы можем добиться этого, изменив инструкцию:

[0x00401000]> wx 90909090 @ 0x00401004

Инструкция 90909090представляет собой ассемблерный код для инструкции nop. Заменяя исходную инструкцию nopинструкциями, мы фактически сводим на нет ее эффект.

Метод 2: использование команды Radare «W».
Radare предоставляет удобную команду w, которая позволяет изменять произвольные байты в двоичном файле. Эта команда особенно полезна, когда вы хотите исправить инструкции, которые невозможно легко представить в виде ассемблерного кода. Вот пример:

$ r2 binary_file
[0x00401000]> px 8 @ 0x00401004
   0x00401004  2d 01 00 00 00 00 00 00  -  -  -  -  -  -  -  -  |........|

Предположим, мы хотим исправить инструкцию по адресу 0x00401004, чтобы вычесть 1из значения по адресу [rbp-4]. Мы можем использовать команду w, чтобы перезаписать байты:

[0x00401000]> w 2d @ 0x00401004

Метод 3: применение патчей Radare
Radare позволяет создавать и применять патчи с помощью команды w. Этот метод полезен, когда вам нужно применить несколько изменений к двоичному файлу и хотите вести учет изменений. Вот пример:

$ r2 binary_file
[0x00401000]> wop patch.bin @ 0x00401004

В этом случае мы создаем файл исправления с именем patch.bin, содержащий модификацию, которую мы хотим применить. Файл патча можно редактировать извне или с помощью интерактивного режима исправления Radare. Как только файл исправления будет готов, мы сможем применить его к двоичному файлу с помощью команды wop.

Исправление инструкций в двоичном файле может быть мощным методом изменения поведения программы. Radare предлагает несколько методов для достижения этой цели: от прямого изменения инструкций по сборке до использования файлов исправлений. Используя возможности Radare, специалисты по обратному проектированию и аналитики безопасности могут получить больший контроль над двоичными файлами и адаптировать их к конкретным потребностям.