Decompiler einrichten
Snowman ist ein C/C++ Decompiler-Plugin für IDA Pro. Mit seiner Hilfe kann man Assemblercode von x86, AMD64 und ARM CPUs in Pseudo-Code zurück verwandeln. Das Ergebnis hilft die Funktion von Routinen besser zu verstehen.
Die von HexRays gelieferten Original-Decompiler befinden sich ebenfalls im „IDA x.x/plugins/“ Ordner:
hexx64.dll⇒ x64hexrays.dll⇒ x86hexarm.dll,hexarm64.dll⇒ ARM
Download und Installation
Quellen herunterladen Snowman und compilieren. Heraus kommen zwei DLL-Files:
- snowman.dll
- snowman64.dll
Diese in den „IDA x.x/plugins Ordner kopieren. Anschließend IDA Pro neu starten. Im Konsolenfenster (Output Window) sollte man das hier lesen:
Snowman plugin v0.1.3 loaded. Press F3 to decompile the function under cursor, Ctrl-F3 to decompile the whole program. Press F3 (Ctrl-F3) again to jump to the address under cursor.
Und zudem sollte es im Plugin-Menü erscheinen:
Verwendung
Innerhalb einer Sub-Funktion (nur da klappt es) wird mittels „F3“ die gesamte Funktion in Pseudo-Code für die gewählte Prozessorarchitektur decompiliert.