Cutter grafische interface voor radare2

Het gratis framework radare2 is een goede tip voor reverse engineering. Met de grafische interface Cutter gaat dat een stuk makkelijker.

IDA Pro is de onbetwiste koning onder de tools voor het ontleden van gecompileerde programmacode in assembler-instructies.

Professionals gebruiken deze veelal voor het reconstrueren van broncode en de analyse van schadelijke software. Daar betaal je wel viercijferige licentiekosten voor.

Maar er is een gratis alternatief dat redelijk gelijkwaardig is aan IDA: radare2, een opensource framework voor het statisch en dynamisch analyseren van code.

Net als IDA ondersteunt radare2 talrijke bestandsformaten en processorfamilies.

Als alternatief voor het klassieke debuggen emuleert het ook afzonderlijke instructiesequenties om bijvoorbeeld de versleutelingsfuncties van malware zonder gevaar uit te voeren.

De tool kan pseudocode genereren van programmafuncties en binaire vergelijkingen – IDA heeft daar extra plug-ins voor nodig zoals Hex-rays en BinDiff.

Toch hebben veel gebruikers radare2 nog niet ontdekt. De grafische interface van de commandline-tools beperkte zich namelijk tot een met het toetsenbord te bedienen Visual Mode’ in een consolevenster.

De in Qt en C++ geprogrammeerde GUI Cutter moet het bedienen van radare2 een stuk makkelijker maken, met name voor beginners.

De installatiepakketten bevatten meteen ook het radare2-framework. Cutters interface doet denken aan IDA – vooral door de weergave van de bestandsstructuur als ‘Visual Navigation Bar’ in de bovenste vensterhelft, waarmee je direct naar codedelen navigeert.

Gedisassembleerde code en hexdumps, registers, stack en dergelijke kun je als afzonderlijke vensters met drag&drop vrij neerzetten in het centrum van de GUI en groeperen.

Door meerdere instanties van een venstertype te openen kun je verschillende programmadelen parallel bekijken.

De talrijke thema’s, kleurenschema’s en fonts zijn niet alleen fraai of praktisch, maar je kunt er je ogen bij een nachtelijke analyse sessie ook behoorlijk mee ontlasten.

Aan de huidige Cutter-versie is wel te merken dat er nog veel te doen is aan het eind 2017 in het leven geroepen project.

Veel radare2-features zijn tot nu toe alleen rudimentair in de GUI geïntegreerd, terwijl andere alleen maar met de gebruikelijke radare2-toetsenbordcommando’s uit te voeren zijn.

De ontwikkelaars werken op dit moment naar eigen zeggen met voorrang aan de voor veel gebruikers onontbeerlijke debug-mode. Toch loont het om nu al eens naar Cutter te kijken.

Als er nog wat aan deze GUI bijgeslepen wordt, kan radare2 op de lange termijn wel eens een geduchte concurrent worden die IDA van de troon kan stoten.