Software Reverse Engineering - Analyse von Software, Firmware und Malware
2025-11-24

Bei 0xda7a sind wir auf Reverse Engineering Dienstleistungen für Software, Malware, Embedded-Firmware und proprietäre Anwendungen spezialisiert - unabhängig davon, auf welcher Plattform, welchem Betriebssystem oder welcher Hardware sie ausgeführt werden.
Egal, ob Ihr Unternehmen mit Malware-Bedrohungen konfrontiert ist, ältere oder proprietäre Software verstehen muss oder die Sicherheit von Drittanbieteranwendungen bewerten möchte: Wir bieten präzise technische Analysen und maßgeschneiderte Lösungen.
Unsere Arbeit liefert tiefgehende Einblicke in interne Abläufe, deckt Schwachstellen auf und schafft die technische Grundlage, um Software auch ohne vorhandenen Quellcode sicher weiterzuentwickeln, zu warten oder abzusichern.

Was ist Software Reverse Engineering?#

Forward Engineering
Ein Entwickler schreibt den Quellcode eines Programms, dokumentiert die Funktionen und erstellt daraus mittels Compiler den maschinenlesbaren Binärcode. Alles ist klar nachvollziehbar, weil Struktur und Logik im Quellcode offenliegen.

Reverse Engineering
Beim Reverse Engineering ist die Situation umgekehrt: Es liegt nur das kompilierte Programm vor - also reiner Binärcode wie programm.exe, ohne Quellcode, ohne Dokumentation. Ziel ist es nun, die interne Funktionsweise technisch zu rekonstruieren, also herauszufinden, wie das Programm aufgebaut ist, was es tut und wie die einzelnen Komponenten miteinander interagieren.

Reverse Engineering (RE) ist der Prozess der Analyse von Software oder Firmware, um Struktur, Funktionalität und interne Logik zu verstehen - unabhängig davon, ob Quellcode vorhanden ist.
Dies ist besonders relevant bei älteren Anwendungen, proprietären Systemen, schlecht dokumentierter Firmware oder Schadsoftware.

Reverse Engineering umfasst unter anderem:

  • statische Analyse
  • dynamisches Debugging
  • Codefluss-Rekonstruktion
  • Analyse von Protokollen und Schnittstellen
  • Binäranalyse

Diese Methoden ermöglichen es, Sicherheitslücken zu identifizieren, Funktionen zu erweitern, Schnittstellen nachzuvollziehen und Systeme langfristig nutzbar zu halten.

Unsere Reverse Engineering-Dienstleistungen#

Wir bieten eine umfassende Palette an Reverse Engineering Dienstleistungen an, die Unternehmen dabei unterstützen, Software ohne Quellcode zu verstehen, zu warten, anzupassen oder abzusichern. Unsere Leistungen umfassen:

  • Informationsgewinnung über Software ohne Quellcode
    Viele Unternehmen verlassen sich auf proprietäre oder ältere Software für kritische Prozesse, aber ohne Zugriff auf den ursprünglichen Quellcode kann es schwierig sein, Fehler zu beheben, Funktionen anzupassen oder die Software sicher weiterzuentwickeln.
    Wir analysieren Anwendungen vollständig, dokumentieren interne Abläufe und schaffen so die Grundlage für Wartung, Absicherung und Modernisierung.

  • Anpassung von Software ohne Quellcode (Patching)
    Wenn nur kompilierte Binaries existieren, können wir Funktionen erweitern, Verhalten ändern oder bestehende Funktionsblöcke anpassen. Dazu gehört das Ergänzen neuer Funktionen, Entfernen problematischer Module oder die Anpassung von Schnittstellen und Arbeitsabläufen durch gezielte Modifikationen des Binärcodes.

  • Sicherheitsaudits und Schwachstellenerkennung
    Reverse Engineering ist ein zentraler Bestandteil umfassender Sicherheitsanalysen. Wir identifizieren Schwachstellen, versteckte Funktionen, Hintertüren, Fehlkonfigurationen und potenzielle Exploit-Vektoren, bevor Angreifer sie ausnutzen.

  • Firmware- und Embedded-System-Analyse
    Eingebettete Systeme laufen häufig auf proprietärer oder schlecht dokumentierter Firmware. Wir analysieren Firmware aller gängigen und historischen Plattformen wie STM32, ESP32, 8051, PIC, Renesas und viele weitere.
    Dabei identifizieren wir Schwachstellen, Funktionen, Hardcoded-Daten, proprietäre Protokolle und Optimierungsmöglichkeiten und passen die Firmware bei Bedarf direkt an.

  • Malware-Analyse und Incident Response (IR)
    Wir zerlegen und analysieren Malware-Proben vollständig - inklusive Verhalten, Angriffswegen, Persistenzmechanismen, Verschlüsselungsroutinen und interner Logik.
    Im Incident-Fall identifizieren wir Infektionswege, Schäden, Indicators of Compromise (IOC), Indicators of Attack (IOA) und Wiederherstellungsmöglichkeiten und liefern konkrete Maßnahmen zur Eindämmung und Härtung der Systeme.

  • Sicherheitsaudits für Drittanbieter-Software
    Unternehmen nutzen oft externe Anwendungen, ohne deren interne Funktionsweise oder Risiken zu kennen. Wir reverse engineeren Drittsoftware, identifizieren Schwachstellen, Fehlkonfigurationen oder absichtlich versteckte Funktionalitäten und bewerten die Risiken für Ihre Umgebung.

  • Interoperabilität und Schnittstellen-Rekonstruktion
    Wir rekonstruieren proprietäre Protokolle, Dateiformate, Application Programming Interfaces (API) oder Geräteschnittstellen, um die Kompatibilität mit modernen Systemen sicherzustellen - ideal bei Legacy-Systemen oder abgekündigter Hardware.

Anwendungsfälle für Reverse Engineering#

Unsere Reverse Engineering-Dienstleistungen lösen reale technische Herausforderungen, zum Beispiel:

  • Wiederbetrieb und Modernisierung von Legacy-Software
    Ohne Quellcode lassen sich viele ältere Systeme kaum warten oder erweitern. Wir machen interne Abläufe nachvollziehbar und ermöglichen Updates, Erweiterungen oder Migrationen.

  • Anpassung nicht mehr unterstützter Anwendungen
    Wenn Hersteller den Support eingestellt haben, helfen wir dabei, Funktionen zu erweitern oder Fehler zu beheben - auch bei historischer Software oder Firmware.

  • Sicherheitsaudits von Drittanbieter-Software
    Wir decken Schwachstellen, Fehlkonfigurationen und versteckte Funktionen auf, um Risiken zu minimieren.

  • Malware Incident Response (IR)
    Wir analysieren Schadcode technisch detailliert, extrahieren Indicators of Compromise (IOC), bewerten Schäden und unterstützen bei Wiederherstellung und Härtung.

Fälle#

  • Erweiterung der Funktionalität eines industriellen Geräts
    Ein Unternehmen benötigte neue Funktionen für spezialisierte Geräte eines Herstellers, der keine Updates mehr bereitstellte. Durch Reverse Engineering der Firmware konnten wir die gewünschten Funktionen implementieren und die bestehende Hardware weiter nutzbar machen.

  • Schwachstellenerkennung in einer Finanzanwendung
    In einer sensiblen Finanzsoftware identifizierten wir mehrere kritische Schwachstellen. Wir arbeiteten eng mit dem Entwicklungsteam zusammen, um die Probleme zu beheben und die Anwendung nachhaltig zu härten.

  • Malware-Analyse für einen Gesundheitsdienstleister
    Eine Ransomware-Variante bedrohte den Betrieb einer medizinischen Einrichtung. Wir analysierten den Schadcode vollständig, identifizierten die Verschlüsselungstechniken und halfen, eine wirksame Wiederherstellungsstrategie zu entwickeln.

  • Reverse Engineering einer Legacy-Steuerungssoftware
    Eine industrielle Steuerung basierte auf veralteter Software ohne Quellcode. Durch Reverse Engineering konnten wir die Funktionsweise rekonstruieren und eine Migration auf moderne Hardware ermöglichen - ohne Produktionsunterbrechung.

Ablauf#

  1. Geheimhaltung
    Wir behandeln alle Daten vertraulich und löschen diese nach Abschluss des Auftrags. Eine Non-Disclosure Agreement (NDA) kann bereitgestellt werden.

  2. Datenübermittlung und Zielbeschreibung
    Sie senden uns Software, Firmware oder Malware-Samples und beschreiben Ihr Ziel.

  3. Kostenlose Erstbewertung (ca. 30 Minuten)
    Wir prüfen die Samples kostenlos und geben eine Einschätzung zu Machbarkeit, Aufwand und Kosten.

  4. Ihre Entscheidung
    Sie entscheiden, ob Sie unser Angebot annehmen.

  5. Vollständige Analyse
    Wir analysieren die Samples gründlich und liefern einen strukturierten Bericht mit technischen Details, Risiken und Empfehlungen und oder die angepasste Version des Samples.

  6. Zeitliche Anpassungen
    Mehraufwand wird ausschließlich nach vorheriger Zustimmung berechnet. Weniger Aufwand senkt die Kosten entsprechend.

Preistabelle#

LeistungsdauerPreisDetails
Ersteinschätzung (ca. 30 Minuten)KostenlosErste Machbarkeitsanalyse
Erste Stunde250€Grundgebühr
Weitere Stunden200€ pro StundeReguläre Analysezeit
Zusätzlicher Aufwand150€ pro StundeNur nach Absprache

Alle Preise zzgl. Mehrwertsteuer.

Häufig gestellte Fragen#

Ist Reverse Engineering überhaupt erlaubt?

Kurz gesagt: Ja, unter bestimmten Bedingungen. Und nein, Sie müssen dafür nicht heimlich mit einer Sonnenbrille in einem abgedunkelten Keller sitzen.

In Deutschland (und generell der Europäischen Union) sind die wichtigsten Regelungen im Urheberrecht klar definiert:

§ 69a UrhG - Schutz von Computerprogrammen
Dieser Paragraph sagt im Wesentlichen: Software ist urheberrechtlich geschützt.
Allerdings gilt dieser Schutz nicht absolut - gesetzlich erlaubte Nutzungen bleiben erlaubt, selbst wenn eine Lizenz etwas anderes behauptet.

§ 69d UrhG - Beobachten, Untersuchen, Testen und Dekompilieren
Hier steht der spannende Teil für Reverse Engineering:

  • Sie dürfen ein Programm laden, anzeigen, ablaufen lassen, speichern, übertragen oder untersuchen, um zu verstehen, wie es funktioniert.
  • Das schließt auch Reverse Engineering ein, solange das Ziel ist, die Ideen, Prinzipien und Funktionsweisen zu verstehen.
  • Sie dürfen Software dekompilieren, wenn dies notwendig für Interoperabilität ist - etwa um ältere Systeme zu warten oder Schnittstellen nachzubilden.

Reverse Engineering ist in Deutschland also explizit erlaubt, wenn:

  • Sie eine rechtmäßige Nutzungslizenz besitzen
  • Sie das Programm untersuchen, um seine Funktionsweise zu verstehen
  • Sie Interoperabilität sicherstellen müssen (§ 69e UrhG)
  • Der Hersteller keinen Support mehr bietet und technische Analyse notwendig ist
  • Keine 1:1-Kopie oder ein kommerzieller Klon produziert wird

In den Vereinigten Staaten ist Reverse Engineering ebenfalls in vielen Fällen erlaubt, insbesondere wenn:

  • Interoperabilität hergestellt werden soll
  • Forschung oder Sicherheitsanalyse notwendig ist
  • Die Analyse unter Fair-Use-Gesichtspunkten steht

Mit anderen Worten: Reverse Engineering ist in der Praxis weit öfter erlaubt, als viele denken - besonders in Bereichen wie Sicherheitsforschung, Malware-Analyse, Fehlerdiagnose, Betrieb alter Systeme oder beim Fehlen von Quellcode.

Wir beraten Sie gerne, wenn Sie unsicher sind, ob Ihr konkreter Fall unter die zulässigen Ausnahmen fällt.

Welche Daten muss ich bereitstellen?

Wir benötigen lediglich die Binärdateien, Firmware oder Malware-Proben sowie eine kurze Beschreibung Ihres Ziels: Was möchten Sie herausfinden, validieren oder ändern?

Wenn vorhanden, helfen uns zusätzliche Informationen wie:

  • Bekannte Funktionen oder erwartetes Verhalten
  • Versionsnummern oder Herkunft der Software
  • Systemumgebung (z. B. Windows-Version, Mikrocontroller-Typ usw.)

Keine Sorge: Je weniger Informationen Sie geben können, desto wichtiger wird unsere Analyse - wir sind darauf vorbereitet.

Wie lange dauert das Reverse Engineering?

Das kommt ganz darauf an, welches Ziel wir uns im Projekt gesetzt haben, um welche Plattform es sich handelt und ob die Software Schutzmechanismen implementiert hat, die den Prozess erschweren.

Aus diesem Grund bieten wir Ihnen unsere 30-minütige kostenlose Triage an, damit wir Ihnen risikolos und transparent ein Angebot erstellen können und Sie den Umfang des Projekts genau kennen.

Arbeiten Sie auch mit verschleierter oder geschützter Software?

Ja - das ist sogar unser täglich Brot. Ob Packer, Code-Obfuskation, Anti-Debugging, Virtualisierung oder individuelle Loader: Wir analysieren auch komplex geschützte Software oder Malware und können in vielen Fällen Schutzmechanismen entfernen, umgehen oder rekonstruieren.

Natürlich gilt: Je stärker die Schutzmechanismen, desto höher der Aufwand. Genau dafür gibt es unsere kostenlose Erstbewertung.

Können Sie auch Funktionen hinzufügen oder bestehende Funktionen entfernen?

Ja. Wenn Sie nur noch die kompilierten Binärdateien besitzen, können wir diese durch Reverse Engineering patchen, um gewünschte Funktionen hinzuzufügen, Verhalten zu ändern oder Funktionsblöcke zu entfernen.

Beispiele:

  • Freischalten von deaktivierten Funktionen
  • Hinzufügen neuer Protokolle oder Schnittstellen
  • Anpassung von Hardware-Abhängigkeiten
  • Entfernung fehlerhafter oder unerwünschter Module

Solange es technisch möglich ist, setzen wir es um.

Was passiert, wenn sich herausstellt, dass die Analyse nicht machbar ist?

Dann zahlen Sie nichts - wirklich. Die erste Einschätzung ist kostenlos, und wenn wir feststellen, dass das Projekt technisch oder rechtlich nicht machbar ist, informieren wir Sie transparent darüber.

Keine versteckten Kosten, keine „Beratungsgebühren“.

Wie stellen Sie sicher, dass meine Daten vertraulich bleiben?

Alle Daten werden ausschließlich zur Durchführung des vereinbarten Auftrags verwendet.
Nach Abschluss werden sämtliche Dateien, die Sie uns zur Verfügung stellen, unumkehrbar gelöscht (kein „Papierkorb“, sondern echte Vernichtung).

Auf Wunsch schließen wir eine Non-Disclosure Agreement (NDA) ab.

Kann Reverse Engineering meine Software beschädigen?

Nein - wir führen keine Änderungen an Ihren Originaldateien durch.
Alle Analysen erfolgen auf isolierten Kopien in einer sicheren Laborumgebung.

Das einzige Risiko besteht höchstens darin, dass wir beim Analysieren ein paar gut versteckte Altlasten der damaligen Entwickler finden.

Welche Informationen erhalten wir nach Abschluss der Analyse?

Der genaue Inhalt hängt vom Projektziel ab, aber typischerweise erhalten Sie:

  • Eine verständliche Zusammenfassung der Ergebnisse
  • Technische Details zur Funktionsweise der Software oder Malware
  • Identifizierte Schwachstellen, Risiken und Angriffsflächen
  • Indicators of Compromise (IOC) und Indicators of Attack (IOA)
  • Optionale Empfehlungen für Patches, Migration oder Absicherung

Auf Wunsch erstellen wir auch einen Bericht, der speziell für Management, Auditoren oder Entwickler aufbereitet ist.

Analysieren Sie auch Industriesoftware oder Spezialhardware?

Ja. Von Industriesteuerungen über proprietäre Protokolle bis hin zu älteren oder schlecht dokumentierten Mikrocontroller-Familien wie 8051, STM32, PIC oder Renesas analysieren wir auch Systeme, die Jahrzehnte alt oder nur unzureichend dokumentiert sind.

Können Sie auch Proof of Concepts oder Implementierungen analysierter Protokolle erstellen?

Ja. Nachdem wir ein proprietäres Protokoll, Datenformat oder eine interne Schnittstelle analysiert haben, können wir daraus auch funktionsfähige Proof of Concepts (PoC) oder vollständige Implementierungen erstellen - je nach Anforderung in Rust, C oder Python.

Typische Ergebnisse umfassen:

  • Parser und Encoder für proprietäre Datenformate
  • Implementierungen von Kommunikationsprotokollen (seriell, binär oder netzwerkbasiert)
  • Proof of Concepts zur Demonstration von Funktionen, Angriffsszenarien oder Schwachstellen
  • Tools für Analyse, Automatisierung oder Interoperabilität
  • Bibliotheken oder Utilities zur Integration in bestehende Systeme

Diese PoC-Implementierungen können zur Migration, Absicherung, Weiterentwicklung oder zur technischen Dokumentation eingesetzt werden - und liefern Ihnen sofort nutzbare praktische Ergebnisse aus der Analyse.

Welche Dateiformate oder Systeme können Sie analysieren?

Wir arbeiten plattform- und formatunabhängig. Dazu gehören unter anderem:

  • Binärdateien aller gängigen Betriebssysteme (Windows, Linux, macOS)
  • Firmware-Images von Mikrocontrollern und eingebetteten Systemen
  • Dateiformate wie Executable and Linkable Format (ELF), Portable Executable (PE) und Mach Object File Format (Mach-O)
  • Virtuelle Maschinen, Images oder Container
  • Proprietäre Formate, die erst rekonstruiert werden müssen

Wenn ein exotisches Format vorliegt, finden wir in der Regel trotzdem einen Zugang.

Können Sie auch proprietäre Protokolle oder Dateiformate rekonstruieren?

Ja, das ist ein häufiger Anwendungsfall. Wir analysieren Kommunikationsabläufe, Binärstrukturen und Datenflüsse, um vollständig dokumentierte Spezifikationen zu erstellen.

Typische Ergebnisse umfassen:

  • Nachvollziehbare Beschreibung des Protokollaufbaus
  • Dokumentierte Nachrichtenformate und Felder
  • Rekonstruierte Zustandsmaschinen und Ablaufdiagramme
  • Kompatibilitäts- oder Implementierungsempfehlungen

Damit können Sie eigene Implementierungen entwickeln, Systeme migrieren oder Interoperabilität sicherstellen.

Wie gehen Sie bei Firmware vor, die nicht dokumentiert oder verschlüsselt ist?

Bei nicht dokumentierter oder verschlüsselter Firmware arbeiten wir schrittweise:

  • Extraktion über Hardwarezugänge (z. B. Joint Test Action Group (JTAG), Serial Wire Debug (SWD), Universal Asynchronous Receiver and Transmitter (UART))
  • Analyse der Struktur und Segmentierung der Firmware
  • Reverse Engineering des Maschinen- und Funktionscodes
  • Identifikation von Protokollen, Hardwarezugriffen und Konfigurationsdaten
  • Bei Bedarf: Firmware-Patching oder Rekonstruktion bestimmter Funktionen

Auch ältere oder unbekannte Mikrocontroller können analysiert werden.

Können Sie auch rechtliche Gutachten oder Dokumentation für Audits erstellen?

Ja, wir können technische Analysen so aufbereiten, dass sie für Prüfungen, Zertifizierungen oder rechtliche Bewertungen genutzt werden können.

Dazu gehören:

  • Nachvollziehbare technische Dokumentation
  • Risikoanalysen und technische Stellungnahmen
  • Bewertungen von Sicherheitsmaßnahmen
  • Berichte zur Softwarequalität oder Codeintegrität

Wir ersetzen natürlich keine juristische Beratung, liefern aber die technische Grundlage dafür.

Wie groß dürfen die Dateien sein, die wir senden?

Die Dateigröße spielt in der Regel keine Rolle. Wir können sehr große Images, virtuelle Maschinen oder Firmware-Container verarbeiten.

Falls die Größe ein Problem bei der Übermittlung darstellt, bieten wir alternative Upload- oder Transfermöglichkeiten an.

Bieten Sie auch langfristige Unterstützung oder Wartung an?

Ja. Gerade bei proprietärer oder nicht dokumentierter Software ist langfristige Unterstützung sinnvoll.

Wir bieten unter anderem:

  • Regelmäßige Sicherheitsüberprüfungen
  • Begleitung bei Migration oder Modernisierung
  • Unterstützung bei Patches oder Funktionsanpassungen
  • Monitoring von Schwachstellen in Abhängigkeiten

Damit vermeiden Sie Abhängigkeit von nicht mehr existierenden oder inaktiven Herstellern.

Interessiert?
Kontaktieren Sie uns!