Ma première idée serait d'effectuer une analyse de fréquence sur les octets alignés. Pour la plupart des langages d'assemblage, les octets les plus pertinents sont alignés sur les bits les plus significatifs.

Il peut donc être assez facile de créer un séparateur capable de reconnaître le type d'ASM. Mais, étonnamment, après quelques recherches sur Google, je n'ai trouvé aucun outil ou document à ce sujet ...

Il y a peut-être quelque chose à faire ici.

Je ne connais pas d'outils conçus pour cela. En pratique, le charger dans IDA (ou dans tout autre désassembleur) avec des architectures différentes jusqu'à ce qu'il semble correct est probablement le moyen le plus simple de le faire. Vous pourrez peut-être écrire un script pour automatiser cela.

Si vous souhaitez créer votre propre outil, je vous suggère de regarder le discours de Christopher Domas "L'avenir de la visualisation binaire dynamique RE". Il aborde un certain nombre de techniques qui peuvent être utilisées pour analyser des données inconnues. L'idée générale représente la fréquence de chaque groupe de deux ou trois octets dans chaque fichier. Les graphiques sont nettement différents entre les différentes architectures et peuvent être utilisés pour identifier automatiquement les types de données. L'outil réel, et l'ensemble de données dont vous auriez besoin, ne sont pas accessibles au public, mais c'est la voie à suivre si je voulais faire une détection automatique de l'architecture.

Une approche plus simple serait de rechercher le prologue de la fonction modèles dans différentes architectures. Bien que la mise en œuvre soit plus simple, il faudrait plus de temps humain pour préparer l'ensemble de données (car l'identification des prologues de fonction ne peut pas être automatisée). Certains processeurs peuvent ne pas être assez puissants pour exécuter du code C, et si le code n'est pas compilé, il est possible de ne pas avoir de prologues de fonction prévisibles. Vous pourrez peut-être trouver d’autres opérations courantes que vous pourriez rechercher.

Essayez de vous faire une idée des types de processeurs qu'il pourrait cibler. Vous pouvez probablement aussi deviner la longueur en bits du processeur en regardant ce fichier (file_size% 32 == 0? Probablement 32 bits). Une fois que vous avez une liste simple, exécutez le binaire via des désassembleurs et voyez si le code a du sens. Essayez de l'exécuter dans des processeurs émulés et voyez s'il fait quelque chose.

De plus, gardez à l'esprit que des instructions non valides peuvent ne pas signifier que vous avez le mauvais processeur, il peut s'agir simplement de données ou de quelque chose. Cela vaut probablement la peine de consulter le fichier pour voir si vous ne trouvez pas de chaînes ou quoi que ce soit, juste pour avoir une meilleure idée de l'endroit où se trouvent les choses.