Сейчас на форуме: subword, rtsgreg1989, zds (+8 невидимых)

 eXeL@B —› Основной форум —› Анализатор
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 19 . 20 . >>
Посл.ответ Сообщение


Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

Создано: 07 декабря 2005 20:29
· Личное сообщение · #1

Привет всем =) надеюсь кто-нибудь ещё помнит The Ultimate Hellspawn's EXE Analyzer 0.6
гы... проект не загнулся... Просто у меня давно слетела разметка на харде и восстановитт
удалось не всё.. Исходники остались от самой первой версии.. Так вот.. =) решил переписать
проект... Я настырный... Вот новая тулза Detect it Easy 0.1b (DiE 0.1b) пока она ещё зелёная...
Вот хочу выслушать ваши пожелания, чтобы вы хотели увидеть, обнаружение каких пакеров,
протекторов вас интересует... Как вам скорость работы? мне почему не нравиться... TFileStream
медленный класс хочу всё сделать через MapViewOfFile, когда разберусь переделаю... Набеюсь на вашу помощь... =)
з.ы. сильно не пинать %) детектит он пока мало... но всё измениться..

первая часть пошла =)

9c10_Project1.zip.001.zip

-----
[nice coder and reverser]





Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

Создано: 16 марта 2006 09:07 · Поправил: Hellspawn
· Личное сообщение · #2

stahh пишет:
Фиг знает.Натравил на прогу.Точно знаю,что Делфи и пакована иксикриптом.А пишет, что не пакована и Си++. Натравил на ассесдайвер,тоже пишет, что Си++, хотя там тоже Делфи.


поддержка этого криптора будеттолько в 0.4, Си++, хотя там тоже Делфи - хм... этого просто не может
быть.... выложи где нибудь файл...

MrZIyukers пишет:
в твоей проге версии армы тоже чтоли по сигнатурам определяются?
Если память не изменяет, то в .exe должна быть -точная- версия армы. ARMADILLO_VERSION или как-то так. Лучше определять по этой самой метке. Хотя это давно так было, может сейчас уже все поменялось.


спасибо, посмотрю.... один поиск ищет по сигнам, другой нет

Johnson Finger пишет:
То Hellspawn - а как на счёт спуферов? пробивается через них, или некоторые изменения файла сбивают прогу с толку?
(Сорри, но пока просто не качал)........


нет, не сбивают, скачай попробуй...

-----
[nice coder and reverser]





Ранг: 251.8 (наставник), 17thx
Активность: 0.120
Статус: Участник
Seeker

Создано: 16 марта 2006 09:48
· Личное сообщение · #3

Посмотрел -- интерфейс ничего так.
Как уже говорил Grim Fernando нужно бы:

2. можно расширить поле filename и указывать не только имя, но и путь, а если путь не вмещается, то убирать всё, кроме последней папки, а до этого ставить "...". Надеюсь понятно.
6. базу из пеид + нарыть еще сигнатур, чтобы уж "наверняка"
10. может не только ЕХЕ, но и DLL, OCX, SCR будет поддерживаться?
14. показ... как это назыается, товарищи крякеры... ну, win32 GUI, Console...
15. показ CRC
20. в отдельный таб можно выводить инфу из секции Version Info. надеюсь понятно.
21. можно дату создания и модификации
22. можно чтуь подробнее расписать о Компиляторе. Например Делфи - это компилятор а язык - Object Pascal. Можно так и написать. Мол, язык: object pascal, компилятор: Borland Delphi, site: Borland.com, developer: Borland International.


Кроме этого очень не помешало бы:

1. По клику по секции показывать ее HexView (очень было бы прикольно, чтобы был интерфейс наподобие уже прикрученого дизасма, а не такой как в PEiD)
2. Можно бы выводить Linker Info
3. Если такое будет возможно, прикрутить таблицы соответствия ординалов именам функций для импорта (хотя бы в формате Hiew) и показывать [имя_функции] вместо <by ordinal>
4. Список строк, опционально также русских (возможно открытие по клику смещения в встроенном хекс-вьювере)

Пока все, если что-то еще придумаю -- добавлю. А вообще класс, может стать покруче PEiD, интерфейс уж точно поудобней...

-----
DREAMS CALL US





Ранг: 251.8 (наставник), 17thx
Активность: 0.120
Статус: Участник
Seeker

Создано: 16 марта 2006 09:58 · Поправил: =TS=
· Личное сообщение · #4

cbs
cbs пишет:
показ CRC
зачем? если надо посчитать контрольную сумму или хеш, то лучше воспользоваться отдельной утилиткой.


Затем что такая инфа достаточно часто нужна, а отдельные утилы... Неудобно как-то...

cbs пишет:
Можно так и написать. Мол, язык: object pascal, компилятор: Borland Delphi, site: Borland.com, developer: Borland International.
Глупости все это, ИМХО. Как тогда быть, например, с C или C++? Или определять, написана ли программа на чистом Си (что вообще-то не имеет особого смысла), или писать C/C++, но тогда не имеет смысла сам пункт "язык".


Начинающим будет как раз

-----
DREAMS CALL US




Ранг: 18.0 (новичок)
Активность: 0.010
Статус: Участник

Создано: 16 марта 2006 14:28
· Личное сообщение · #5

Network Access Message: The page cannot be displayed -

гы ппц... лан новая версия почти на подходе...


Ненадо гы-гы - ыксы на Т заменял - не олень. Кста, сейчас качнулось нормально.




Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

Создано: 16 марта 2006 14:44 · Поправил: Hellspawn
· Личное сообщение · #6

=TS=

спасибо, всё сделаю, по мере возможности....
только не понял на счёт пункта

=TS= пишет:
3. Если такое будет возможно, прикрутить таблицы соответствия ординалов именам функций для импорта (хотя бы в формате Hiew) и показывать [имя_функции] вместо <by ordinal>


эм... что то я не у одной подобной проге, такого не видел....
хотя можно попробовать...

-----
[nice coder and reverser]




Ранг: 4.6 (гость)
Активность: 0=0
Статус: Участник

Создано: 16 марта 2006 18:17
· Личное сообщение · #7

Hellspawn
у тебя первым будет




Ранг: 251.8 (наставник), 17thx
Активность: 0.120
Статус: Участник
Seeker

Создано: 23 марта 2006 09:30
· Личное сообщение · #8

Hellspawn
Как там дела?

-----
DREAMS CALL US





Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

Создано: 23 марта 2006 09:51 · Поправил: Hellspawn
· Личное сообщение · #9

=TS= пишет:
Как там дела?


шас с мелочами разберусь, сёдня релиз будет...

-----
[nice coder and reverser]





Ранг: 264.0 (наставник), 5thx
Активность: 0.210
Статус: Участник
Vanilla Sky

Создано: 23 марта 2006 10:17
· Личное сообщение · #10

От блин, а я только собрался писать своё мнение по этой версии. =)
Ладно, жду нового релиза. =)




Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

Создано: 23 марта 2006 18:46
· Личное сообщение · #11

ну собственно вот, вроде собрал релиз - hellspawn.nm.ru/works/die_04b.zip (648 kb)
добавил очень много, почти всё что просили.... вроде ничё получилось
о всех нововведенияз читайте в реадми
в след. версии расставлю благодарности всем помогавшим
жду отзывов...

-----
[nice coder and reverser]





Ранг: 108.4 (ветеран)
Активность: 0.060
Статус: Участник

Создано: 23 марта 2006 19:01
· Личное сообщение · #12

DiE 0.4b.exe - на него ругается антивирь каспера, что возможно заражен вирусом Packed.Win32.CryptExe

-----
Есть вопросы ко мне? В личку!





Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

Создано: 23 марта 2006 19:08 · Поправил: Hellspawn
· Личное сообщение · #13

каспер в топку! просто сверху файла EXECryptor (не хочу чтобы что-то рипнули)
всё там чисто, каспер фигнёй страдает...

-----
[nice coder and reverser]




Ранг: 45.5 (посетитель)
Активность: 0.050
Статус: Участник

Создано: 23 марта 2006 19:17
· Личное сообщение · #14

Hellspawn
Сейчас качнул наконец, правда только версию 0,3. Анализатор в некотором отношении даже удобнее PEiD. Потестил - есть ошибки при анализе. Но не значительные. Единственное, надели его русским языком. Жду 0,5.




Ранг: 108.4 (ветеран)
Активность: 0.060
Статус: Участник

Создано: 23 марта 2006 19:24
· Личное сообщение · #15

Hellspawn
Интересный вариант. То что сверху EXECryptor он показал
Однако не определяет некоторые пакеры, например Themida, WinUpack ...
не различает версии Armadillio. EXECryptor определяет, по крайней мере, что было под рукой.

-----
Есть вопросы ко мне? В личку!





Ранг: 207.4 (наставник)
Активность: 0.210
Статус: Участник
Jeefo Recovery

Создано: 23 марта 2006 20:27
· Личное сообщение · #16

То Hellspawn - БРАВО! Молодец, отлично проделанная работа.......
Учень удобный интрефейс, хороший функционал проги..... Порой даже детектит что не видит PEID......
походу, что только Каспер его "видит", у меня стоит F-Prot (как временная мера), он нормально отреагировал на него........
То GAMe ovER - а смысл делать его на русском? Вроде и так все понятно.......
Ещё раз молодец, достойная прога, будет незаменима как и PEID.... Вот только вопрос, как часто будешь обновлять сигнатуры?
P.S. может на досуге попробую его запрятать от каспера, пофиксю некоторые его сигнатуры..... Если будет успешно, то......

-----
The blood swap....





Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

Создано: 23 марта 2006 20:37 · Поправил: Hellspawn
· Личное сообщение · #17

YoriCH пишет:
не различает версии Armadillio


различает только те, которые были у меня...
скоро добавлю 4.x

GAMe ovER пишет:
есть ошибки при анализе


ошибки в плане определения протектора/пакера?
если определение компилера, то это норм... я ещё не очень даработал агоритм...
просто некотые проты/пакеры, так уродуют файлы, что определить компилер
(не снимая дамп) очень трудно...

Johnson Finger пишет:
Вот только вопрос, как часто будешь обновлять сигнатуры?


значит, доработаю интерфейс, добавлю все необходимые функции
и тогда буду только добавлять сигны (как время будет позвалять)...

кстати о сигнах, детект чего вы бы хотели увидеть?

-----
[nice coder and reverser]





Ранг: 127.3 (ветеран)
Активность: 0.070
Статус: Участник

Создано: 23 марта 2006 20:38
· Личное сообщение · #18

Hellspawn
Выложить - не выложу могу линк дать.
http://www.accessdiver.com/downloads.htm?fromAD3
Хотя у меня Ресторатор может не то показывает. Но DeDe ее тоже хавает.
Кажется там и то, и то. Такое может быть?
Так что - пардон.



Ранг: 45.5 (посетитель)
Активность: 0.050
Статус: Участник

Создано: 23 марта 2006 20:40
· Личное сообщение · #19

Johnson Finger пишет:
То GAMe ovER - а смысл делать его на русском

Мнето тоже все понятно. Но на русском языке лучше смотрится.
Johnson Finger пишет:
Ещё раз молодец, достойная прога, будет незаменима как и PEID....

Согласен




Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

Создано: 23 марта 2006 20:41
· Личное сообщение · #20

stahh пишет:
Выложить - не выложу могу линк дать.
www.accessdiver.com/downloads.htm?fromAD3
Хотя у меня Ресторатор может не то показывает. Но DeDe ее тоже хавает.
Кажется там и то, и то. Такое может быть?
Так что - пардон.


эээ.... это к чему вообще?

-----
[nice coder and reverser]




Ранг: 45.5 (посетитель)
Активность: 0.050
Статус: Участник

Создано: 23 марта 2006 20:44
· Личное сообщение · #21

Hellspawn пишет:
если определение компилера

Ага, какой-то там компилятор, типа gcc, только под винду. И какие-то по мелочам.
Мне больше понравилась опция Compiler. Очень удобно когда прога запакована.Hellspawn, так держать



Ранг: 39.3 (посетитель)
Активность: 0.020
Статус: Участник

Создано: 23 марта 2006 21:30 · Поправил: Mordred
· Личное сообщение · #22

Hellspawn
Respect in every aspect, анализатор - на загляденье
Только вот у меня он почему-то не хочет определять язык и тип компилера для прог, компиленных в визуальнике (причем разных версий).
Не распознает пока просто, или баги?..




Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

Создано: 23 марта 2006 21:34 · Поправил: Hellspawn
· Личное сообщение · #23

Mordred

пока стабильно распознаются только дельфи и борланд си
остальное с трудом...

Mordred пишет:
компиленных в визуальнике (причем разных версий).


если не трудно выложи где-нить пару небольших прог, посмотрю...

-----
[nice coder and reverser]




Ранг: 39.3 (посетитель)
Активность: 0.020
Статус: Участник

Создано: 23 марта 2006 21:55 · Поправил: Mordred
· Личное сообщение · #24

Hellspawn
Я выложил сюда http://disk.tom.ru/76787?pw=npvMgUYo&up=1
Там размеры файлов указаны. Надеюсь, пригодятся
ЗЫ Сорри, что один из файлов великоват - около 2Мб - но я у себя другого образца VS C++ 5.0 не нашел




Ранг: 116.6 (ветеран), 8thx
Активность: 0.050
Статус: Участник

Создано: 23 марта 2006 22:05
· Личное сообщение · #25

Readme.txt:
--- DiE 0.4b [Дата: 23.03.2006 Время: 14:20]
...
[+] Добавлена настройка "Deep Scan" бля более гибкого сканирования.
...

Вот уж действительно бля )




Ранг: 127.3 (ветеран)
Активность: 0.070
Статус: Участник

Создано: 23 марта 2006 22:25
· Личное сообщение · #26

Hellspawn
На верх страницы глянь.




Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

Создано: 23 марта 2006 22:41 · Поправил: Hellspawn
· Личное сообщение · #27

dermatolog пишет:
[+] Добавлена настройка "Deep Scan" бля более гибкого сканирования.


исправлено... ( бывает )

stahh пишет:
На верх страницы глянь.


ок, ща посмотрю...

Mordred пишет:
Я выложил сюда
Там размеры файлов указаны. Надеюсь, пригодятся
ЗЫ Сорри, что один из файлов великоват - около 2Мб - но я у себя другого образца VS C++ 5.0 не нашел


скачал, ща буду смотреть.. (можно было пожать чем-нибудь)

-----
[nice coder and reverser]





Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

Создано: 23 марта 2006 23:03
· Личное сообщение · #28

Mordred

те файлы теперь детектятся, всё вроде добавил...

stahh

всё правильно определяется, там не Microsoft Visual C++, а Borland C++ (никакой дельфи там нет)

-----
[nice coder and reverser]




Ранг: 39.3 (посетитель)
Активность: 0.020
Статус: Участник

Создано: 23 марта 2006 23:04
· Личное сообщение · #29

Hellspawn
Выложи обновление плиз Где детектятся, на других прогах с седьмым визуальником потестю




Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

Создано: 23 марта 2006 23:23
· Личное сообщение · #30

Mordred пишет:
Выложи обновление плиз Где детектятся, на других прогах с седьмым визуальником потестю


исправленная версия перезалита, ссылка таже...

-----
[nice coder and reverser]




Ранг: 39.3 (посетитель)
Активность: 0.020
Статус: Участник

Создано: 23 марта 2006 23:53
· Личное сообщение · #31

затестил - у меня вроде всё теперь определяет Еще раз - молодец, классная прога!


<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 19 . 20 . >>
 eXeL@B —› Основной форум —› Анализатор
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати