Привет всем =) надеюсь кто-нибудь ещё помнит The Ultimate Hellspawn's EXE Analyzer 0.6
гы... проект не загнулся... Просто у меня давно слетела разметка на харде и восстановитт
удалось не всё.. Исходники остались от самой первой версии.. Так вот.. =) решил переписать
проект... Я настырный... Вот новая тулза Detect it Easy 0.1b (DiE 0.1b) пока она ещё зелёная...
Вот хочу выслушать ваши пожелания, чтобы вы хотели увидеть, обнаружение каких пакеров,
протекторов вас интересует... Как вам скорость работы? мне почему не нравиться... TFileStream
медленный класс хочу всё сделать через MapViewOfFile, когда разберусь переделаю... Набеюсь на вашу помощь... =)
з.ы. сильно не пинать %) детектит он пока мало... но всё измениться..

первая часть пошла =)

9c10_Project1.zip.001.zip

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Вот вариант API:

int WINAPI DiePlugStatus (const char *file_name, char **plug_status)

Параметры:
const char *file_name -- указатель на файл для поиска сигнатур
char **plug_status -- указатель на указатель, в который возвратится адрес строки статуса

Возвращает:
статусное число, в данном случае количество сигнатур в базе

А вот и плаг:
3e8a_25.12.2006_CRACKLAB.rU.tgz - PEiD signatures plugin 0.15.rar


PS. Жду обещанного на завтра релиза!

-----
DREAMS CALL US

| Сообщение посчитали полезным:

объясните человеку, кот. почти все делает руками, для чего нужны эти peid plugins.dll & peid signatures.dll ?
прочитал весь топик так и не вкурил

| Сообщение посчитали полезным:

Hellspawn
Вызывай DiePlugPe перед DiePlugStatus!

gegter
Это плаги первого уровня к DiE, позволяющие работать с плагами и базой usrdb.txt от PEiD!

-----
DREAMS CALL US

| Сообщение посчитали полезным:

Может вторую и третью закладки поменять местами?

-----
DREAMS CALL US

| Сообщение посчитали полезным:

2Grim Fandango вай валидолу.. ну и что что мощь.. я смотрю ему вон некогда это раз,
Делфи любит из-за этого она большая и неповоротливая это два, сигнатуры опять же некогда будет вставлять три!
2Hellspawn ну че где 0.6
Кстати посорел на 0.59 ну круто, ток сигнатур маловато... а еще чего это прога при анализе die.exe не нашла ExeCriptor ??? ты там не сравниваешь имя файла для анализа случаем???

-----
Researcher

| Сообщение посчитали полезным:

overwriter пишет:
Делфи любит из-за этого она большая и неповоротливая это два

нифига подобного... а потому что у меня нет кучи свобдного времени на кодинг
пишу на том, что люблю это раз)

overwriter пишет:
die.exe не нашла ExeCriptor

попробуй вкл. дееп скан это два

overwriter пишет:
ну че где 0.6

сёдня будет.. просто енкогда было, сдавал жабий язык ыы)

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Кхм, гипперактивный человек. =)) Либо ребёнок. =)

Вишь ли, Хелл не хочет ЛЮБЫЕ сиги в анализатор вставлять и я его понимаю. В противном случае я ему наделал бы сиг от пакеров и протов, которые и в природе то встречаются в 1-2 экзеплярах. =))

Так шта нефик!
"Всё будет!"

| Сообщение посчитали полезным:

ну наконец, свершилось ёпт... я разродился на релиз, хотя версия 0.60 была в принципе готова давно,
возможны некоторые баги, т.к. много чего поменял в коде. Вообще фтыкаем в *.тхт

мой подарок к н.г.

hччp://hellspawn.nm.ru/works/die_060.zip

з.ы. ну жду отзывов, предложения, и т.д. и т.п.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Наконец-то! Бооольшое спасибо!

Всех читающих это -- с наступающим Новым Годом!

-----
DREAMS CALL US

| Сообщение посчитали полезным:

Обновил PEiD Plugins support до версии 0.16

---v0.16 [2006-12-27]-------------------------------------------------------
* Changed interface
* Advanced code for closing procedure

e12d_27.12.2006_CRACKLAB.rU.tgz - Peid Plugins 0.16.rar

-----
DREAMS CALL US

| Сообщение посчитали полезным:

=TS=

Непонятный баг у мну вылез, только не пойму, это только у меня или нет.
Открываю с помощью PEiD Plugins support (как 0.16, так и 0.15, в 0.13 проблемы нет) плагин PEiD String viewer v0.03 by dila нормально, затем закрываю его, он закрываеться, но DiE 0.60 зависает и дальше приходиться процесс снимать. В PEiD с этим плагином у меня проблем нету.

-----
Есть вопросы ко мне? В личку!

| Сообщение посчитали полезным:

Както незаметно релиз прошел... : Всех с празднеком тоже, долго ждали эту версию. Хелл, спасибо за подарочег.

guru-exe.ripgames.org/die/
- скачай... поддержи проект

-----
may all your PUSHes be POPed!

| Сообщение посчитали полезным:

YoriCH пишет:
Непонятный баг у мну вылез

посмотрел на версии 0.02, плаг не возвращает управдление DiE, т.е. окно остаётся не активно...
=TS= ты бы уж посмотрел чё за

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Уже готовы новые идеи и мысли/фиксы к следующей версии.
Так что на этом история не оканчивается. =))

| Сообщение посчитали полезным:

Насчет плагина строки я тоже сегодня такое заметил. Проверить смогу только когда доберусь до компа на работе. Так что не раньше обеда.

-----
DREAMS CALL US

| Сообщение посчитали полезным:

симпатичный проектик. спасибо. занял свое место.

зы. некоторые кнопки / иные элементы управления не привычно работают, но привык быстро.

| Сообщение посчитали полезным:

Заметил одну багу - когда подсчет CRC закончен, появляется строка:
CRC-32 Hashing done... <- вот это многоточие меня ужасно сбивает.
То же самое в окне скан.

| Сообщение посчитали полезным:

В history написано 2 раза "Изменено PDK", видимо очень много изменений, только вот где взять PDK?

-----
may all your PUSHes be POPed!

| Сообщение посчитали полезным:

исправлен крупный баг ( надеюсь последний )

hччp://hellspawn.nm.ru/works/die_061.zip

Guru_eXe пишет:
только вот где взять PDK?

hччp://hellspawn.nm.ru/works/pdk.zip

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Ыц, плагины вообще слетели
С этим думаю разберусь но:
Теперь все что паковано EXECryptor - ом говорит что компилер Borland C++ | Language C++.
Раньше было Delphi

| Сообщение посчитали полезным:

Hellspawn, потестил я вчера немного новый дие и пока такие вот косяки:
1. ASProtect 1.33 build 03.07 детектится как ASProtect 1.33 - 2.1 даже на харде
2. ASProtect 1.35 build 04.25 детектится на хеуристике как ASPack/ASProtect а на харде пишит Nothing found
3. ASpack на одном файле тоже не задетектился даже на харде, хотя пейд на харде сказал что это ASPack 2.x
4. ASProtect 2.3 SKE build 05.14 детектится на хеуристике как ASPack/ASProtect а на харде пишит Nothing found
5. ASProtect 2.2 SKE build 04.15 детектится на хеуристике как ASPack/ASProtect а на харде пишит Nothing found
Всех с наступающим

| Сообщение посчитали полезным:

Rouse_ пишет:
Теперь все что паковано EXECryptor - ом говорит что компилер Borland C++ | Language C++.
Раньше было Delphi

включи Deep Scan всё руки не дойдут до этого криптора)

VAD87те аспры которые у мну есть, поправил...

Rouse_ пишет:
плагины вообще слетели

странно как-то, у всех вроде пашед...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
странно как-то, у всех вроде пашед...
значит плохо тестеры работали, раз так работает :\

-----
may all your PUSHes be POPed!

| Сообщение посчитали полезным:

Rouse_ пишет:
плагины вообще слетели
Поконкретней! Плаги работают!

Как запускаешь и на какой каталог смотрит ярлык...

-----
DREAMS CALL US

| Сообщение посчитали полезным:

У меня с плагинами тоже проблема, не находит ни один, но Хелл исправил терь пашед

-----
may all your PUSHes be POPed!

| Сообщение посчитали полезным:

Ф топку еще твоему анализатору.. в третьем паке от Т53 был крякмикс-конвертер...
написан на васике стопудово, а ДАЙ заявил, что си два креста... ай-ай....
исправляй! вот..

// edit by lord_Phoenix
// поменьше флейма в постах..
// и учись выражаться так, чтобы другие понимали

-----
Researcher

| Сообщение посчитали полезным:

Не определяет:
Themida
Yoda Protector

uPolyX 0.5 определяет как upx 1.25

| Сообщение посчитали полезным:

с плагами разобрался, скоро будет фикс!

HoBleen пишет:
uPolyX 0.5 определяет как upx 1.25

а ты чё хотел? он определяет пакер, а uPolyX - это скремблер, причём бестолковый...
многие не знают, что это такое даже, я думаю упх, нагляднее будет, разве нет?

HoBleen пишет:
Themida

знаю, пока думаю как детектить

HoBleen пишет:
Yoda Protector

конкретнее! какая версия? выложи файл посмотрю...

overwriter пишет:
исправляй! вот..

исправил, там 5-ый васик)

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Все фаилы с tuts4you.

Yoda Protector 1.03.2 - nothing found
Armadillo x.xx - странновато выглядит без версии
NsPack 2.4 2.9 3.0 3.3 3.4 3.6 3.7 - nothing found
PeCompact 1.30 1.50 1.84 - nothing found (а версии 2.х определяются - непорядок!)
SimplePack 1.21 1.2 - как версия 1.12
1.0 - nothing found
UPX 1.25 как 1.20

Все проверялось на Deep'e.

| Сообщение посчитали полезным:

так ну во первых)
HoBleen пишет:
UPX 1.25 как 1.20 - ну дык там в заголовке 1.20, так что всё норм

во вторых, ты тулзой то пользовался? вторую вкладку видед? а кнопочу Hard на ней?
объясняю в сотый раз, хеуристик скан (который на первой вкладке) работает не по сигнам!
поэтому всё задетектить не получиться, а вот хард скан, по сигнам (вторая вкладка)!

это было сделано для удобства! т.к. алгоритмы у них совершенно разные!

-----
[nice coder and reverser]

| Сообщение посчитали полезным: