Relyze - Desensam blador Interactivo y Comparación Binaria
Relyze es una plataforma comercial de desensam blador interactivo, descompilador y comparación binaria para software nativo, soportando x86, x64, ARM32 y ARM64. Analiza binarios PE/ELF en funciones y gráficos de flujo de control, proporciona un descompilador para recuperar pseudocódigo de nivel superior, e incluye un fuerte motor de comparación binaria para comparar dos versiones de un binario — invaluable para análisis de parches y seguimiento de variantes de malware. Es extensible a través de un marco de scripting/complementos Ruby. Una edición gratuita no comercial está disponible.
Instalación
| Paso | Notas |
|---|
| Descargar | Obtén el instalador del sitio oficial (Windows) |
| Ediciones | Gratuita (no comercial) y Profesional |
| Primera ejecución | Configura el descompilador y opciones de análisis |
| Complementos | Scripting Ruby disponible fuera de la caja |
Flujo de Trabajo de Análisis
| Acción | Descripción |
|---|
| Abrir un archivo | Analiza un binario PE o ELF en funciones/CFG |
| Vista de funciones | Explora funciones descubiertas |
| Vista de gráfico | Gráfico de flujo de control de la función seleccionada |
| Descompilador | Recupera pseudocódigo similar a C para una función |
| Strings | Lista strings referenciados y sus xrefs |
| Importaciones/Exportaciones | Inspecciona las tablas de importación/exportación |
| Referencias cruzadas | Salta a donde se usa una función/dato |
Conceptos Esenciales de Navegación
| Tarea | Cómo |
|---|
| Renombrar un símbolo | Selecciona y renombra (se propaga a xrefs) |
| Comentario | Anota instrucciones/funciones |
| Seguir una llamada | Doble clic en un destino de llamada |
| Ir a dirección | Cuadro de navegación de dirección |
| Cambiar vista | Alterna desensam blaje / gráfico / descompilador |
Comparación Binaria
El motor de comparación de Relyze empareja funciones entre dos binarios y las clasifica como idénticas, cambiadas, añadidas o eliminadas — el flujo de trabajo central para analizar un parche de seguridad o comparar muestras de malware.
| Tarea | Cómo |
|---|
| Iniciar una comparación | Abre binario A, luego compara contra binario B |
| Funciones emparejadas | Revisa funciones emparejadas entre los dos binarios |
| Funciones cambiadas | Enfócate en funciones cuyo código difiere |
| Añadidas/eliminadas | Ve qué introdujo o eliminó el parche |
| Portabilizar anotaciones | Lleva nombres/comentarios de un binario al siguiente |
Patrón de análisis de parches: compara binarios pre-parche y post-parche, enfócate en el pequeño conjunto de funciones cambiadas, y estudia qué corrigió el proveedor para entender la vulnerabilidad subyacente.
Scripting en Ruby
Relyze expone su modelo de análisis a Ruby para automatización.
# Conceptual: itera funciones y marca las grandes
model = Relyze::Engine.instance.active_model
model.functions.each do |func|
if func.instructions.length > 500
puts "Large function at #{func.address.to_s(16)}"
end
end
| Uso | Ejemplo |
|---|
| Renombrado en lote | Aplica heurísticas de nomenclatura entre funciones |
| Análisis personalizado | Detecta patrones (constantes de crypto, gadgets) |
| Exportar datos | Vuelca funciones/strings a un archivo |
| Automatizar comparación | Scripts de comparaciones entre muchas muestras |
Flujos de Trabajo Comunes
| Objetivo | Enfoque |
|---|
| Entender un parche de seguridad | Compara binarios pre/post → estudia funciones cambiadas |
| Evaluar una muestra nativa | Strings + importaciones → descompila funciones sospechosas |
| Seguimiento de variantes de malware | Compara nueva muestra contra un miembro familiar conocido |
| Recuperar lógica | Usa el descompilador + renombra/comenta para reconstruir intención |
Relyze vs Otros Desensam bladores
| Aspecto | Relyze | IDA Pro | Ghidra | Binary Ninja |
|---|
| Descompilador | Sí | Sí (Hex-Rays) | Sí | Sí |
| Comparación binaria | Integrada | Complemento (BinDiff) | Complementos | Complementos |
| Scripting | Ruby | Python/IDC | Java/Python | Python |
| Costo | Gratuita + Pro | Comercial | Gratuita | Comercial |
Recursos
