Disassembly vs Decompiler. Por que não usar apenas um Decompiler para conseguir o código fonte?

[Sckoofer B]

-> https://www.hex-rays.com/products/decompiler/compare/compare_vs_disassembly/

Nota: não entendo nada, só to aqui de visita.

: Eu gostaria de saber de alguns exemplos, na prática, que um Disassembler seria indispensável, ou seja, o seu uso seria de extrema importância para realizar a tarefa, sem ele não haveria como prosseguir (talvez a análise de código que se modifica sozinho, self-modifying code, talvez um malware)?

 

[Fernando Mercês]

Opa, acho que quando você quer saber exatamente o que um binário compilado faz, porque executando você só vê o que ele decidiu fazer. Por exemplo, se tiver um "se estivermos em dezembro faça algo, do contrário faça outra coisa" só veríamos com um disassembler. ?

Abraço!

[Sckoofer B]

Ah sim, então pelo o que entendi, um descompilador não seria capaz de mostrar uma representação completa de um código compilado, já um disassembler é o "pacote completo" ?.

É bom saber disso, sendo assim o pessoal do hex-rays estava apenas defendendo o uso do descompilador deles, pois está presente na versão paga do IDA (IDA Pro), e eles, como muitos comerciantes, estavam fazendo a propaganda do produto deles, tentando convencer as pessoas à pagar mais de 500 dólares pra conseguir essa opção, pois é.
E ainda vejo que é vantajoso saber interpretar o disassembler, pois não dispensa ferramentas que não dispõe de um descompilador.

[Fernando Mercês]

Ah, agora que me liguei que a comparação é com descompilador. Desculpe, li muito rápido.

Minha opinião é: os disassemblers não são perfeitos. Os decompilers menos ainda. Frequentemente não conseguem inferir o tamanho de um array ou o número de argumentos de uma função por exemplo, que você só vai ter certeza ao avaliar no disassembly (considerando a convenção de chamadas).

 O próprio IDA tem uma aba “Problems” pra você avaliar tudo o que ele inferiu ou não conseguiu decidir sobre. ?

Abraço!