REMnux RetDec 反编译器 Docker 镜像文档

1. 镜像概述和主要用途

REMnux RetDec 镜像是 REMnux 项目提供的 Docker 化软件分析工具之一，基于 RetDec 反编译器构建。该镜像旨在为软件调查人员、***工程师提供便捷的反编译能力，无需手动安装和配置 RetDec 及其依赖环境，可直接通过 Docker 容器快速部署和使用。

2. 核心功能和特性

2.1 核心功能

RetDec 是一款开源反编译器，主要功能为将二进制文件反编译为可读性高的伪代码，辅助分析程序逻辑和行为。

2.2 关键特性

• 多文件格式支持：兼容主流可执行文件格式，包括 ELF（Linux）、PE（Windows）、Mach-O（macOS/iOS）、COFF、Intel HEX、RAW 等。
• 多架构支持：支持多种指令集架构，如 x86（32/64 位）、ARM（32/64 位）、MIPS（32/64 位）、PowerPC、SPARC 等。
• 高级分析能力：包含自动函数识别、控制流图（CFG）生成、类型推断、字符串和常量提取等功能。
• 伪代码生成：输出类 C 风格伪代码，保留原程序逻辑结构（如循环、条件分支、函数调用等）。

3. 使用场景和适用范围

3.1 适用场景

• 软件样本分析：对可疑二进制文件（如病毒、木马、勒索软件）进行，提取功能逻辑。
• 可疑文件快速评估：在隔离环境中分析未知文件的行为和目的。
• ***工程教学：在安全实验、***工程课程中作为教学工具。

3.2 适用范围

• 操作系统：支持 Docker 的 Linux、Windows、macOS 环境。
• 用户群体：***软件分析师、***工程师、安全研究人员、学生。
• 样本类型：适用于分析 ELF、PE、Mach-O 等格式的可疑可执行文件、***软件样本。

4. 使用方法和配置说明

4.1 镜像获取

从 Docker Hub 拉取***镜像：

bash
docker pull remnux/retdec

4.2 基本使用方法

4.2.1 单次反编译（本地样本挂载）

将本地样本目录挂载到容器内，对目标文件执行反编译：

bash
# 格式：docker run --rm -v <本地样本路径>:<容器内样本路径> remnux/retdec retdec-decompiler <容器内样本路径>/<目标文件>
docker run --rm -v /home/user/samples:/samples remnux/retdec retdec-decompiler /samples/malware_sample.exe

• --rm：容器退出后自动删除，避免残留。
• -v /home/user/samples:/samples：将本地 /home/user/samples 目录挂载到容器内 /samples 路径，用于读取待分析样本。
• retdec-decompiler：RetDec 反编译命令入口。

4.2.2 指定输出目录

通过 --output-dir 参数自定义反编译结果输出路径（需确保容器内路径可写，建议挂载本地目录保存结果）：

bash
docker run --rm -v /home/user/samples:/samples -v /home/user/output:/output \
  remnux/retdec retdec-decompiler --output-dir /output /samples/malware_sample.elf

反编译结果（伪代码、日志、中间文件等）将保存至本地 /home/user/output 目录。

4.2.3 指定目标架构和文件格式

若需手动指定目标文件的架构或格式（适用于 RetDec 自动识别失败的场景），可通过 --arch 和 --format 参数：

bash
# 示例：分析 ARM 架构的 ELF 文件
docker run --rm -v /home/user/samples:/samples remnux/retdec retdec-decompiler \
  --arch arm --format elf /samples/arm_malware.elf

4.3 Docker Compose 配置示例

创建 docker-compose.yml 文件，定义持久化样本和输出目录：

yaml
version: '3'
services:
  retdec:
    image: remnux/retdec
    volumes:
      - ./samples:/samples    # 本地样本目录
      - ./output:/output      # 本地输出目录
    command: retdec-decompiler --output-dir /output /samples/target.bin

启动容器：

bash
docker-compose up

5. 配置参数和环境变量

5.1 常用命令参数

RetDec 反编译命令 retdec-decompiler 支持以下常用参数（具体可通过 retdec-decompiler --help 查看容器内帮助信息）：

• --arch <arch>：指定目标架构（如 x86、arm、mips 等）。
• --format <format>：指定文件格式（如 elf、pe、macho 等）。
• --output-dir <path>：设置反编译结果输出目录（容器内路径）。
• --log-level <level>：日志级别（debug、info、warn、error，默认 info）。
• --help：查看完整参数说明。

5.2 环境变量

目前镜像未定义额外环境变量，所有配置通过 retdec-decompiler 命令参数传递。

6. 参考信息

• 镜像源码及更多工具：REMnux Dockerfiles GitHub 仓库
• RetDec ***文档：RetDec 开源项目
• REMnux 项目说明：REMnux ***文档