| Сейчас на форуме: subword, rtsgreg1989, zds (+8 невидимых) |
 |
eXeL@B —› Основной форум —› Анализатор |
| . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 19 . 20 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 07 декабря 2005 20:29 · Личное сообщение · #1 Привет всем =) надеюсь кто-нибудь ещё помнит The Ultimate Hellspawn's EXE Analyzer 0.6 гы... проект не загнулся... Просто у меня давно слетела разметка на харде и восстановитт удалось не всё.. Исходники остались от самой первой версии.. Так вот.. =) решил переписать проект... Я настырный... Вот новая тулза Detect it Easy 0.1b (DiE 0.1b) пока она ещё зелёная... Вот хочу выслушать ваши пожелания, чтобы вы хотели увидеть, обнаружение каких пакеров, протекторов вас интересует... Как вам скорость работы? мне почему не нравиться... TFileStream медленный класс хочу всё сделать через MapViewOfFile, когда разберусь переделаю... Набеюсь на вашу помощь... =) з.ы. сильно не пинать %) детектит он пока мало... но всё измениться.. первая часть пошла =)  9c10_Project1.zip.001.zip
----- [nice coder and reverser]  |
|
|
Создано: 07 декабря 2005 20:29 · Личное сообщение · #2 |
|
|
Создано: 07 декабря 2005 20:33 · Личное сообщение · #3 я тебе ооочень давно писал , что было бы неплохо увидеть.. =) сейчас скачаю гляну. |
|
|
Создано: 07 декабря 2005 20:36 · Личное сообщение · #4 Grim Fandango пишет: я тебе ооочень давно писал , что было бы неплохо увидеть.. =) сейчас скачаю гляну. гы честно забыл... я полность переделал движок и дизайн... но блин возникла бяка... в дельфи вся структура PE описана... Я научился использовать, но вот выдрать импорт не получается =( а юзать чужие модули я не хочу... ----- [nice coder and reverser] |
|
|
Создано: 07 декабря 2005 20:39 · Личное сообщение · #5 хорошо, посмотрю попозже и напишу либо тут либо на имейл. |
|
|
Создано: 08 декабря 2005 12:37 · Личное сообщение · #6 Мне лично понравилась только одна особенность - распознование компилятора, без распаковки самого екзешника. Объясните мне умному, что такое энтропия? И зачем она нужна в анализаторе? Что не понравилось: 1. То, что она написана на Делфи, а следовательно размер её. 2. Отсутствие собсно объекта тестирования. Т.е. что в этой бете тестировать? 3. свободное "растягивание" окна, тобишь его ресайз. А вот, что можно сделать: 1. показывать имена секций и их размер. В другой закладке. 2. можно расширить поле filename и указывать не только имя, но и путь, а если путь не вмещается, то убирать всё, кроме последней папки, а до этого ставить "...". Надеюсь понятно. 3. Рас уж поле размера тоже большое, то можно ради прикола указывать размер не только в байтах, но и в килобайтах, мегабайтах, гигабайтах. =) 4. обязательно changelog вести (мож у темя паранойя?) 5. было бы супер, если бы не на делфях. 6. базу из пеид + нарыть еще сигнатур, чтобы уж "наверняка" 7. регистрация в контекстном меню проводника 8. драг энд дроп, чтоб его 9. ну и следовательно олвейс он топ 10. может не только ЕХЕ, но и DLL, OCX, SCR будет поддерживаться? 
11. внедрить прямо в анализатор делалку сигнатур вроде SingMan из PE Tools 12. менеджер сигнатур??? а это вообще возможно? 13. показ первый байт штук 5-7 14. показ... как это назыается, товарищи крякеры... ну, win32 GUI, Console... 15. показ CRC 16. показ импорта. дерево dll'ок, жмём "+" и получаем список импорта. а можно и экспорта 17. показ ресурсов: bitmap, rcdata, icon и т.д. \ язык \ идентификарор(mainicon, dlgtemplate, dvclal) 18. групповой скан папки
19. крипто-анализ? 20. в отдельный таб можно выводить инфу из секции Version Info. надеюсь понятно. 21. можно дату создания и модификации 22. можно чтуь подробнее расписать о Компиляторе. Например Делфи - это компилятор а язык - Object Pascal. Можно так и написать. Мол, язык: object pascal, компилятор: Borland Delphi, site: Borland.com, developer: Borland International. на этом фантазия иссякла нафиг... да, еще гляньте на приаттаченый скриншот и посмотрите на размеры файлов, я ничег оен редактировал, просто распаковал во временную папку и очень удивился. прикольно, блин. =) d95f_size.rar.zip
|
|
|
Создано: 08 декабря 2005 12:43 · Поправил: Hellspawn · Личное сообщение · #7 гы куул +) спасиб... стока работы, думаю на выходных управлюсь, если колоквиум сдам... всё что ты сказал будет... единственное 19. крипто-анализ? (гы может но не скоро) 16. показ импорта. дерево dll'ок, жмём "+" и получаем список импорта. а можно и экспорта (с импортом проблемы) 5. было бы супер, если бы не на делфях. (дельфи люблю) 4. обязательно changelog вести (мож у темя паранойя?) ну дык за ошибками слежу =) 12. менеджер сигнатур??? а это вообще возможно? возможно, но будет ещё DiE Scan - вот там и бужет менеджер =) может кто сечёт в дельфях хорошо? у меня некоторые вопросы... и хотелось бы примерчик с извлеканием инфы о секциях из ехе без использ. сторонних модулей, ведь в дельфи всё описно... кто хочет помочь стичите в асю =) как там на счёт лого (нарисуешь)??? =) ----- [nice coder and reverser] |
|
|
Создано: 08 декабря 2005 12:46 · Личное сообщение · #8 на след неделе. ибо праздник. =) |
|
|
Создано: 08 декабря 2005 12:47 · Личное сообщение · #9 Grim Fandango пишет: на след неделе. ибо праздник. а чё за праздник???? =) я что то не в курсах.. ----- [nice coder and reverser] |
|
|
Создано: 08 декабря 2005 12:50 · Личное сообщение · #10 2 Hellspawn: Ты бы хоть асю включил ... |
|
|
Создано: 08 декабря 2005 19:29 · Личное сообщение · #11 Grim Fandango пишет: Объясните мне умному, что такое энтропия? И зачем она нужна в анализаторе? детектит файл на предмет запакованности. почитай "об упаковщиках в последний раз......." часть вторая ----- Ни одно доброе дело не должно остаться безнаказанным !!! |
|
|
Создано: 08 декабря 2005 23:46 · Личное сообщение · #12 [EXE]_cutor пишет: детектит файл на предмет запакованности. Я бы сказал, позволяет "предположить"... Grim Fandango пишет: Например Делфи - это компилятор а язык - Object Pascal. Не хочу уходить далеко от темы, но я совершенно не согласен с предыдущмм оратором. Object Pascal != Delphi. Если на то пошло, то как минимум, Delphi - это IDE. Хотя я предпочитаю понятие "язык" для Delphi. Слишком там много отличий от Object Pascal, в т.ч. идеологических (которые кстати и лежат в основе неравенства Object Pascal != Delphi). Grim Fandango пишет: Что не понравилось: 1. То, что она написана на Делфи, а следовательно размер её. ... а следовательно... скорость! даешь рабочему классу маппинг файла и качественные алгоритмы поиска сигнатур!  )
3. свободное "растягивание" окна, тобишь его ресайз. Мелочи все это. Над этим можно думать после того, как окончательно выбрана идеология и вылизан код. показ CRC зачем? если надо посчитать контрольную сумму или хеш, то лучше воспользоваться отдельной утилиткой. крипто-анализ? не думаю, что из этого что-то выйдет. для того, чтобы искать сигнатуры, надо бы написать соответствующие функции (БЫСТРЫЕ!) так что составить хотя бы какую-то конкуренцию СС, KANAL или CryptoSearcher нет шансов. тут рулит CC с его отличными функциями поиска сигнатур! Можно так и написать. Мол, язык: object pascal, компилятор: Borland Delphi, site: Borland.com, developer: Borland International. Глупости все это, ИМХО. Как тогда быть, например, с C или C++? Или определять, написана ли программа на чистом Си (что вообще-то не имеет особого смысла), или писать C/C++, но тогда не имеет смысла сам пункт "язык". драг энд дроп, чтоб его Да, стоит сделать, но это опять же не то, на что стоит обратить внимание в первую очередь. показ первый байт штук 5-7 Лучше тогда потом прикрутить какой-нибудь дизасм (благо их сейчас достаточно открытых) и показывать это так, как в PEiD. Но опять же, это потом. ----- crypto.freak |
|
|
Создано: 10 декабря 2005 18:07 · Личное сообщение · #13 кому что нужно, тот о том и просит. =) |
|
|
Создано: 10 декабря 2005 20:13 · Личное сообщение · #14 cbs пишет: Лучше тогда потом прикрутить какой-нибудь дизасм (благо их сейчас достаточно открытых) и показывать это так, как в PEiD. Но опять же, это потом. дельный совет, уже прикручиваю... cbs пишет: ... а следовательно... скорость! даешь рабочему классу маппинг файла и качественные алгоритмы поиска сигнатур! ) гы... уже переписал прогу на файл маппинг +) вроде как самый быстрый способ чтения данных по крайнеё мере быстрее чем TFileStream всё остальное учёл... и вопрос, нужен ли процесс вьювер, с возможность анализа запущенного приложения (выбирая из вьювера)? ----- [nice coder and reverser] |
|
|
Создано: 11 декабря 2005 00:25 · Личное сообщение · #15 быть может и нужен... хотя думаю редко. |
|
|
Создано: 09 марта 2006 12:19 · Поправил: Hellspawn · Личное сообщение · #16 эх, совсем я обленился...  столько идей, столько задумок, но нет не времени, ни желания...
собственно вот новая версия DiE 0.3b. Ценим, смотрим, говорим чтобы вы хотели увидеть нового... детект каких пакеров/протекторов вас интересует =) о всех нововведениях читаем в реадми.... hxxp://hellspawn.nm.ru/works/die_03b.zip ----- [nice coder and reverser] |
|
|
Создано: 09 марта 2006 13:02 · Личное сообщение · #17 Ешё бы ExeCryptor палил :/ ----- Yann Tiersen best and do not fuck |
|
|
Создано: 09 марта 2006 13:06 · Личное сообщение · #18 PE_Kill пишет: Ешё бы ExeCryptor палил : будет... правда у меня в наличии только версия EXECryptor 2.2.6 
а для нормального исследования, мне нужен сам пакер/прот 
----- [nice coder and reverser] |
|
|
Создано: 14 марта 2006 15:31 · Личное сообщение · #19 PE_Kill пишет: Ешё бы ExeCryptor палил :/ а зачем? те кто в нас ковырялся и так узнают
|
|
|
Создано: 14 марта 2006 15:34 · Личное сообщение · #20 А те, кто ковырялся в ASProtect - знают его, а те кто в Арме - тоже, а те... Корче Relayer пишет: а зачем? А просто так, чтобы было. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 15 марта 2006 15:54 · Личное сообщение · #21 hxxp://hellspawn.nm.ru/works/die_03b.zip Network Access Message: The page cannot be displayed - 
|
|
|
Создано: 15 марта 2006 16:01 · Личное сообщение · #22 Angelex жми сюды 
hellspawn.nm.ru/works/die_03b.zip ----- StarForce и Themida ацтой! |
|
|
Создано: 15 марта 2006 16:20 · Личное сообщение · #23 Angelex пишет: hxxp://hellspawn.nm.ru/works/die_03b.zip Network Access Message: The page cannot be displayed - гы ппц... лан новая версия почти на подходе...
детект ехекруптора, почти всех весий армы, + некоторые версии acpr... ну и несколько небольших изменений
p.s. тулза то хоть нужна? кто-нить хоть пользуется?
что то пожеланий почти нету 
----- [nice coder and reverser] |
|
|
Создано: 15 марта 2006 16:22 · Личное сообщение · #24 Hellspawn Выкладывай новую версию, посмотрим и пожелания сразу появятся... 
----- Сколько ни наталкивали на мысль – все равно сумел увернуться |
|
|
Создано: 15 марта 2006 18:02 · Личное сообщение · #25 Hellspawn пишет: p.s. тулза то хоть нужна? кто-нить хоть пользуется? что то пожеланий почти нету Конечно пользуються!
|
|
|
Создано: 15 марта 2006 18:31 · Личное сообщение · #26 То Hellspawn - а как на счёт спуферов? пробивается через них, или некоторые изменения файла сбивают прогу с толку? (Сорри, но пока просто не качал)........ ----- The blood swap.... |
|
|
Создано: 15 марта 2006 19:21 · Поправил: MrZIyukers · Личное сообщение · #27 Hellspawn пишет: почти всех весий армы А в твоей проге версии армы тоже чтоли по сигнатурам определяются? 
Если память не изменяет, то в .exe должна быть -точная- версия армы. ARMADILLO_VERSION или как-то так. Лучше определять по этой самой метке. Хотя это давно так было, может сейчас уже все поменялось. |
|
|
Создано: 15 марта 2006 20:10 · Личное сообщение · #28 Фиг знает.Натравил на прогу.Точно знаю,что Делфи и пакована иксикриптом.А пишет, что не пакована и Си++. Натравил на ассесдайвер,тоже пишет, что Си++, хотя там тоже Делфи. |
|
|
Создано: 15 марта 2006 20:27 · Личное сообщение · #29 Hellspawn Отличная прога! Так держать! ----- Подписи - ЗЛО! Нужно убирать! |
|
|
Создано: 16 марта 2006 00:58 · Личное сообщение · #30 MrZIyukers Начиная с армы версии 4х строка с версией помоему не пишется =\ Если не прав, то пускай более опытные бойцы поправят меня. ----- Computer Security Laboratory |
| . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 19 . 20 . >> |
|
eXeL@B —› Основной форум —› Анализатор |
Для печати