تعد عملية **استعادة الشيفرة المصدرية** (Decompilation) من البرمجيات المجمعة أمرًا ضروريًا لتحليل الأمان، واختراق البرمجيات الضارة، وصيانة البرمجيات القديمة. للأسف، الأدوات الحالية في هذا المجال غالبًا ما تنتج شيفرات غير قابلة للتنفيذ، مما يحد من فائدتها العملية.
لكن، ماذا لو أخبرتك أن هناك **إطارًا جديدًا متعدد الوكلاء** يمكنه التغلب على هذه العقبة؟
كيف تعمل هذه التقنية؟
يتضمن هذا النهج الجديد **التحليل القائم على القيود** (Constraint-Guided Decompilation)، حيث يتضمن ثلاث مستويات من القيود:
1. **صحة التركيب** (Syntactic Correctness) من خلال التحليل النحوي.
2. **قابلية التجميع** (Compilability) عبر استخدام GCC.
3. **التكافؤ السلوكي** (Behavioral Equivalence) عبر توليد حالات اختبار باستخدام نموذج لغة متقدمة.
عندما تفشل عملية التحقق، يقوم وكلاء مخصصون بتنقيح الكود عن طريق تعليقات على الأخطاء بشكل متكرر.
نتائج مبهرة
قمنا بتقييم إطار العمل على 1,641 برنامج ثنائي حقيقي من ExeBench ويشمل ثلاثة أدوات فحص (RetDec، Ghidra، وAngr). وقد حقق النظام نجاحًا مذهلاً بنسبة **84-97%** من قابلية التنفيذ مجددًا، مما يزيد من نتائج أدوات التحليل الأصلية بنسبة تصل إلى **28-89 نقطة مئوية**.
علاوة على ذلك، عندما نقارنه مع تقنيات الاستعادة المستندة إلى نموذج اللغة الحديثة، يتفوق إطار العمل الجديد (84.1%) على تقنيات أخرى مثل LLM4Decompile وSK2Decompile.
مستقبل آمن للتحليل الأمني
تُظهر نتائجنا أن تحسين الكود باستخدام القيود القابلة للتحقيق يمكن أن يحقق توازنًا بين المخرجات من أدوات الاستعادة الخام والكود المصدر الفعلي القابل للاستخدام. ولقد وصل أكثر من 90% من الثنائيات إلى صحتها بعد دورتين، بتكلفة متوسطة تتراوح بين 0.03-0.05 دولار لكل ثنائي.
هل ترى أن هذه التقنية قد تغير طريقة عملنا في تحليل البرمجيات؟ شاركنا رأيك!