В ассоциативный дизассемблер нового поколения ADAxx добавлена возможность дизассемблирования модулей, обработанных компрессорами, упаковщиками и протекторами.
С уважением,
Новиков Илья

| Сообщение посчитали полезным:

Novikov
А поподробнее? Как именно происходит дизассемблирование протекченных прог?

| Сообщение посчитали полезным:

по подробней пожалста... чем это отличается от дизассемблинга обычного модуля?

| Сообщение посчитали полезным:

сайт в студию

| Сообщение посчитали полезным:

было уже
http://www.exelab.ru/f/action=vthread&topic=92&forum=1&pag e=-1

| Сообщение посчитали полезным:

test
Да знаемс, вот и спросили... Может, дизасм действительно существует и совсем даже неплохой, только кота в мешке никто покупать не будет (это вам, господин Новиков). Хотя бы демо-версию выложить надо бы...
Я к примеру тоже могу создать топик, что написал СуперМегаДизАсмм2005, подправить и выложить листинги от ИДЫ и получить за это несколько сотен баксов от товарищей, называемых в просторечье лохами....

| Сообщение посчитали полезным:

Там вроде на сайте демка лежит. Вот новая или старая - хз
adaxx.narod.ru/Demo/Demo_pe.exe

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

GPcH
аа, а то сайты указанные в старом топике в дауне...

| Сообщение посчитали полезным:

БАРАДА!

| Сообщение посчитали полезным:

GPcH пишет:
Там вроде на сайте демка лежит.
Товарищ Новиков, фулл версию в студию. А то знаете крэк-командам уже как-то поднадоело кардить...

-----
Всем не угодишь

| Сообщение посчитали полезным:

Novikov пишет:
дизассемблирования модулей, обработанных компрессорами, упаковщиками и протекторами.
это клёво, только зачем? =) или он xprot, armadillo, aspr и т.д. анпакит?

-----
once you have tried it, you will never want anything else

| Сообщение посчитали полезным:

Novikov пишет:
дизассемблирования модулей, обработанных компрессорами, упаковщиками и протекторами

Видимо, лажа все это...

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

ValdiS пишет:
Видимо, лажа все это...

ну если перед процессом дизасма он каким нить своим плюгом для распаковки/раскриптовки шурует аспр 2 и арму 4, то можт и не лажа.....
хотя.....

к тому же
Novikov пишет:
обработанных компрессорами, упаковщиками и.......
а разве это не одно и то же

| Сообщение посчитали полезным:

Может я вконец ослеп, но я в упор не вижу "новое поколение". Пока наблюдается только посредственный пакетный дизасемблер. Где определения run-time функций? Где определение структур? Где, блин, типизация и все такое? ADP как и следовало ожидать работает исключительно с ДОСовым крэпом (может еще до Z80 додуматься в третьем тысячелетии?), т.е. практического интереса не представляет. Печально.

| Сообщение посчитали полезным:

Надо признаться что по поводу ДОСа я погорячился - РЕ там хватает. Но запуск исследуемых програмных продуктов это полный ахтунг и неприемлимо.

| Сообщение посчитали полезным:

На этой стадии я даже смотреть не хочу. НО если автор не преследует исключительно меркантильные цели - Господи, благослови этот проект.

Novikov
- Задумка не имеет шансов, если будит закрыта. Ведь вы не пойдёте в Банк за кредитом и не соберёте команду программистов пару менеджеров секретаршу и уборщицу? Не нужно рассчитывать на прибыль в ближайшие годы! Есть более простые способы заработать денег. Возможно, лучше написать какую-нибудь игрушку, а если в данной области, то плагин для ID'Ы.

- С другими целями это дело исключительно полезно и, в конце концов, ОБЯЗАТЕЛЬНО принесёт свои полезные плоды для автора. Может быть не в том виде, в каком ожидаете вы.
Я всей душой буду болеть за вас.

-----
Всем привет, я вернулся

| Сообщение посчитали полезным:

Поскольку часть ответов в марте пропала, хотелось бы ответить на один задававшийся вопрос, которого здесь, к сожалению, нет.
А именно: касательно исследования вирусов в ADAxx.
Насколько я понимаю (я не специалист по вирусам), никакой вирус не умеет самоактивизироваться, для его активизации нужно запустить исполняемый код. При запуске этого кода на исполнение начинается активизация вируса, и он постепенно перехватывает управление на себя. Иными словами, если код с внедренным вирусом не запускать на исполнение, то вирус беспомощен (даже если он и страшный).
Этого и не происходит в системе ADAxx. Как известно, модуль Windows невозможно запустить на исполнение в среде DOS. Препроцессор ADА все же исполняет модуль физически, т. е. на процессоре, но не как OS - напрямую, а гибко - через Virtual Machine. Поэтому здесь все под контролем.
А дизассемблер ADAхх вообще не исполняет модуль, а эмулирует режим исполнения.

| Сообщение посчитали полезным:

Novikov
существуют однако досовские вирусы, которые пишут себя в dos-stub виндовых программ

| Сообщение посчитали полезным:

Novikov
А цена дизасма какая? Я на сайте не нашёл, а узнать охота.

| Сообщение посчитали полезным:

Прочитал топик на васме.
> многокарманный текстовый редактор типа Multi-Edit,
>компиляторы MASM 6.x (ML) и TASM 4.0 (5.0)."
>Без этого ADAxx работать не будет.
ml.exe у меня есть а остального нет.
А вобще раз без этого работать не будет то это должно входить в комплект полюбому.
Выложите у себя насайте.

| Сообщение посчитали полезным:

Проект интенсивно развивается по принципу: 'Сначала нянька, затем Ванька'.
О методах распространения продукта мы еще не думали всерьез (система не
доведена до проектной мощности), да и опыта в этой сфере у нас не густо.
На функционально-ограниченную DEMO-версию пока не хватает времени, а
выложенная DEMO-версия примеров лишь для того, чтобы убедиться - туда ли
мы топаем.

Bit-hack
Цитата:
"А цена дизасма какая? Я на сайте не нашёл, а узнать охота."

Пока никакая. Пока только примеры. В ближайшее время мы их обновим
и существенно расширим ассортимент протекторов. Если у Вас есть пробле-
мы с реальным модулем, присылайте, постараемся помочь.

Ruller
Цитата:
"ml.exe у меня есть а остального нет.
А вобще раз без этого работать не будет то это должно входить в комплект полюбому.
Выложите у себя насайте."

Сделаем.

| Сообщение посчитали полезным:

Novikov
Раз программа пока бесплатна - можешь приватно хотя бы кинуть посмотреть?

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

GPcH пишет:
Раз программа пока бесплатна - можешь приватно хотя бы кинуть посмотреть?
Поддерживаю. Надо дать заценить пиплам прогу, может действительно крутая штука, а может лажа

| Сообщение посчитали полезным:

мде... странная штука этот ADAxx... из описания ничего непонятно %) вопросов куча, особенно по этому дизпротектору (что он такое ? набор статических распаковщиков ?) Вообщем хотелось бы увидеть какой-нить реальный пример работы с этим дизасмом - где там что нажимать чтобы оно распаковало/заработало, а не только итоги его "работы" =)

| Сообщение посчитали полезным:

Mario555 пишет:
набор статических распаковщиков ?
Хм, как писал DrGolova, я понял, что этот дизасм запускает прогу, брякается на ОЕР и затем дизасмит.

| Сообщение посчитали полезным:

dMNt пишет:
существуют однако досовские вирусы, которые пишут себя в dos-stub виндовых программ

Насколько я понимаю, для того, чтобы DOS-вирус активизировался из 'dos-stub', необходимо в DOS "наступить" на сей модуль и нажать Enter, т.е. запустить модуль на исполнение (чтобы процедура из dos-stub отработала). Но в ADAxx для загрузки модуля в память иной механизм.

Ruller пишет:
Прочитал топик на васме.
> многокарманный текстовый редактор типа Multi-Edit,
>компиляторы MASM 6.x (ML) и TASM 4.0 (5.0)."
>Без этого ADAxx работать не будет.

Приношу свои извинения, второпях допущена некорректность.
Но Вы должны понимать, что любому дизассемблеру текстовый редактор и тем более компилятор - как "козе баян". Просто такие инструменты желательно иметь под рукой при работе с продуктами системы ADAxx.


Mario555 пишет:
мде... странная штука этот ADAxx... из описания ничего непонятно %) вопросов куча, особенно по этому дизпротектору (что он такое ? набор статических распаковщиков ?) Вообщем хотелось бы увидеть какой-нить реальный пример работы с этим дизасмом - где там что нажимать чтобы оно распаковало/заработало, а не только итоги его "работы" =)

ADAxx полностью автоматизированная система. Никаких кнопок в ней нет, только графический интерфейс для наблюдения за процессом и строка текущего состояния. Живьем можете попробовать только ADAMZ. Но ADANE, ADALE и ADAPE внешне и по принципу функционирования точно такие же. Запустите ADAMZ и получите полное представление о том, как пользоваться системой.
Касательно дизПротектора. Его разработка не самоцель, а лишь попытка удержать систему ADAxx на плаву. Кому нужен дизАссемблер, который отказывается дизассемблировать модуль? ДизПротектор не есть деПротектор, т.е. аналогия 'кодер-деКодер' неприемлема.
По нашему дилетантскому представлению все продукты, предназначенные для защиты модулей, можно подразделить на три класса: компрессоры, паковщики и протекторы. Это не совсем одно и то же. Компрессоры сжимают тело модуля и добавляют к нему движок, который при запуске работает как экспандер. При этом совокупный модуль по размеру намного меньше оригинала. Кроме как защиты от дизассемблирования в лоб компрессор ничего больше не дает. Паковщик по принципу действия равносилен компрессору, но его движок имеет примитивные элементы защиты самого себя на программном уровне. Какие - Вы все хорошо знаете. Размер совокупного модуля всегда превышает размер оригинала. Протекторы уродуют тело модуля, порой даже так, что они не запускаются или разваливают систему. Движки таких монстров как правило намного превышают размер оригинала модуля. Средства защиты самые изощренные - от мелких подлянок до тредов и исключений.
В системе ADAxx любой модуль, обработанный компрессором, паковщиком или протектором перед дизассемблированием запускается на исполнение. Механизм весьма простой. Встроенный в модуль движок сам восстанавливает тело модуля до состояния оригинала под управлением трассировщика и контролем семантического анализатора. Никакого набора "статических распаковщиков" в системе ADAxx нет и быть не может. Это порочный подход к решению задачи и мы бы погрязли в рутине. Трассировщик и семантический анализатор - ядро дизПротектора. Физическое же исполнение кода движка осуществляется через подобие 'Virtual Machine' на процессоре. Заканчивается трассировка на OEP и далее процесс дизассемблирования проходит как обычно.
ДизПротектор, как и дизАссемблер, создан по принципу обучаемой системы. При трассировке модулей, обработанных компрессорами и паковщиками, доучивать как правило нечему. Если же модуль обработан протектором, то нет-нет, да и встретятся приемы защиты, которые семантическому анализатору пока не знакомы. Процесс обучения новым приемам весьма трудоемкий - нам необходимо самим разобраться в технологии защиты и отработать антиприем, которым и будут руководствоваться анализатор и трассировщик.

Ara пишет:
Хм, как писал DrGolova, я понял, что этот дизасм запускает прогу, брякается на ОЕР и затем дизасмит.

В общих чертах Вы правильно поняли.

| Сообщение посчитали полезным:

мне нравится =) жду с нетерпением выхода ADAxx. Можно узнать хотя бы примерные сроки выхода?

-----
once you have tried it, you will never want anything else

| Сообщение посчитали полезным:

звучит неплохо, но очень хочется посмотреть его в работе с протекторами

| Сообщение посчитали полезным:

Novikov пишет:
Трассировщик и семантический анализатор - ядро дизПротектора. Физическое же исполнение кода движка осуществляется через подобие 'Virtual Machine' на процессоре.

Для простоты думаю можно будет назвать это эмулятором. Так вот вопрос, если эмулятор встретит инструкции sysenter или int 2Eh, он что будет делать?

| Сообщение посчитали полезным:

S_T_A_S_ пишет:
Для простоты думаю можно будет назвать это эмулятором. Так вот вопрос, если эмулятор встретит инструкции sysenter или int 2Eh, он что будет делать?
Ну тут только три варианта:
- реализовать все kernel mode calls
- использовать файлы из windows
- использовать работающую систему

Ну или этот распаковщик просто работать не будет.....

| Сообщение посчитали полезным: