Привет всем =) надеюсь кто-нибудь ещё помнит The Ultimate Hellspawn's EXE Analyzer 0.6
гы... проект не загнулся... Просто у меня давно слетела разметка на харде и восстановитт
удалось не всё.. Исходники остались от самой первой версии.. Так вот.. =) решил переписать
проект... Я настырный... Вот новая тулза Detect it Easy 0.1b (DiE 0.1b) пока она ещё зелёная...
Вот хочу выслушать ваши пожелания, чтобы вы хотели увидеть, обнаружение каких пакеров,
протекторов вас интересует... Как вам скорость работы? мне почему не нравиться... TFileStream
медленный класс хочу всё сделать через MapViewOfFile, когда разберусь переделаю... Набеюсь на вашу помощь... =)
з.ы. сильно не пинать %) детектит он пока мало... но всё измениться..

первая часть пошла =)

9c10_Project1.zip.001.zip

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Ну да, накосячил, извини, буду читать внимательнее

Но все равно из списка уходит только NsPack.

| Сообщение посчитали полезным:

Hellspawn
Вот маленький файлик ! В принципе на глаз видно чем упакован! Посмотри че пишет
Энтропия не упакован! По сигнам PECompact 2.0beta/student version ->Jeremy Collake хотя им там и не пахнет
Нард ни чего не находит!

f786_29.12.2006_CRACKLAB.rU.tgz - dEFEAT.mE.rar

| Сообщение посчитали полезным:

HoBleen yoda's Protector 1.03.2 тоже уходит.. а арма какая не определилась (версию)?

pavka пишет:
Энтропия не упакован!

вот я думаю, как улучшить энтропию... ведь на маленьких файлах выдаёт маленькое значение...
может там как-то с размером файла соотносить? есть идеи?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Я кажется криво выразился - я имел ввиду что версия армы никогда не определяется.

Еще нашел косяк - все ACProtect определяются верно на scan (кроме 1.09 - nothing found), а на entro - (все) как aspack 2.11c

| Сообщение посчитали полезным:

фикс:
hччp://hellspawn.nm.ru/works/die_0.62.zip

исправлена проблема с плагами + ещё кое-что...

HoBleen пишет:
что версия армы никогда не определяется.

проверяй, добавил все четвёрки, что там были...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Забыл номера версии поправить - в about 0.61, в трее 0.60, ерунда конечно но всёж

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Что я нарыл:

1)OllyDbg - Borland C++ определяет как ASProtect 1.31

2)ReloX на Scan определяет как UPX 1.08, а по Hard scan - UPX 1.2х - ReloX

3)Не определился UPX 1.24 - TotalCmd

4)Очень часто Boralnd C++ опеределяет как Borland Delphi

5)VC 7.x практически всегда определяет как VC x.x

6)Хотелось бы определение .NET

7)Если очевидно, что фаил не запакован (например, по сигнам на ЕР), вместо Nothing Found хотелось бы видеть Not Packed

8)DOS exe определяет как "not a PE", хотелось бы опознавание хотя бы как "Probably a dos file", если как дос ехе он валиден

9)Сомневаюсь, что нужно, но все-таки было бы не плохо определять популярные инсталляторы вроде InnoSetup или Wise Installer

Радует опознавание ранних версий Дельфи.

У тебя инет халявный? Много прог VC 6-7 определяемых как х.х, но они все большие(( (и Borland C++ опр. как Delphi).


5710_31.12.2006_CRACKLAB.rU.tgz - Новая папка.part1.rar

| Сообщение посчитали полезным:

Часть 2-я пошла

8415_31.12.2006_CRACKLAB.rU.tgz - Новая папка.part2.rar

| Сообщение посчитали полезным:

HoBleen пишет:
ReloX на Scan определяет как UPX 1.08, а по Hard scan - UPX 1.2х - ReloX

дык там упх) какой ещё релокс? ну нету у мну почти 7.xx VC++ а их там куча всяких видов...

всё остальное учёл, с борландом разберусь... попробуй поигратся с опцией "Deep"

з.ы. инет намальный)

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Хех) я имел ввиду прогу ReloX - я ее в архив бросил (см. выше)

Просто странно - разными опциями находятся разные версии.

| Сообщение посчитали полезным:

я выше объяснял почему так происходит))) ничего странного! в принципе чтоб не смущало,
поправлю... на 1.хх

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Еще пара багов:
1)Если выбрать опцию "Always On Top" и свернуть программу, то окно плагина (открытого) останется видимым.

=TS=
2)При выходе из String Viewer плагина PEid plugins в главном окне пишется "Finished", хотя оно остается неактивным - приходится убивать процесс.

3)Для более нормального отображения Hex View надо либо открывать новое окно, либо дать возможность изменять размер главного (хотя бы по вертикали).

4)На закладку [Scan] надо добавить кнопку "View PE Header" - слева от кнопки "DisAsm"

5)Пора начинать писать хелп


У тулзы огромный потенциал. Так держать!

| Сообщение посчитали полезным:

Вот инфа о неправильном определении компилятора:
http://slil.ru/23670140 http://slil.ru/23670140

| Сообщение посчитали полезным:

Удачная пора для релизов

| Сообщение посчитали полезным:

TretS пишет:
Удачная пора для релизов

а чего такого? т.к. следующий релиз будет только после сессии

HoBleen пишет:
3)Для более нормального отображения Hex View надо либо открывать новое окно, либо дать возможность изменять размер главного (хотя бы по вертикали).

это не выход, менять раазмер не буду.. надо думать

HoBleen пишет:
Если выбрать опцию "Always On Top" и свернуть программу, то окно плагина (открытого) останется видимым.

это не ко мне))))

з.ы. спасибо за отмзывы

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Еще подумал и решил

1)Когда файл не загружен, в окне hex не должно быть строки 0000 0000, только хидер

2)Как уже сказал Smon, разброс версий прикольно смотрится (см. аттач)

3)ACProtect по сигнам все ещё aspack

Хотелось бы определение VMProtect, Morphine, Themida - по сигнам это несложно сделать.

Пфф.. На сегодня я иссяк. Пойду отмечать

| Сообщение посчитали полезным:

А можно сделать возможность редактировать файлик, как в режиме hex-editor'а, так и в режиме редактирования секций ? (ну типа для продвинутых пользователей) А то в PEiD'е немного бесит отсутствие такой возможности. Чтобы пару байт подправить нужно открывать PE Tools ....

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным:

Правка - работает супер, десятый раз не приаттачивается(

ef9f_31.12.2006_CRACKLAB.rU.tgz - DiE_Version_Chaos.JPG

| Сообщение посчитали полезным:

У мну avast на последний Die ругнулся что это Win32:Prorat-BY [Trj]. Хоть я и понимаю что там нету ничего, но всё равно антивирь не даёт с ним работать... А жалко, я его даже в конт. меню встроил... Точно знаю что косяк из за PE Compact'a, но сделать ничего не могу. Попробовал распаковать с обрезанием секций, дык эта сволочь всё равно начала кричать что вирь. так что жду следующих релизов

-----
Я ещё не волшебник, я только учусь...

| Сообщение посчитали полезным:

Работа с такими плагинами будет поправлена как только я доберусь до компа, а это не раньше 3го

-----
DREAMS CALL US

| Сообщение посчитали полезным:

Держись за голову, Хелл, и чекай почту...

| Сообщение посчитали полезным:

HoBleen пишет:
Хотелось бы определение VMProtect, Morphine, Themida - по сигнам это несложно сделать.
Не знаю как насчет Morphine, Themida, но зарегистрированная версия VMProtect начиная с версии 1.25 не содержит постоянных сигнатур.

| Сообщение посчитали полезным:

dermatolog
Выложи с десяток запротекченых файлов, задетектим вмпрот без проблем

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

dermatolog пишет:
но зарегистрированная версия VMProtect начиная с версии 1.25 не содержит постоянных сигнатур.

Хмм.. не знаю как зареганная версия, но демо точно содержит. Может ключиком поделишься?)
ps Сорри за офтоп.

| Сообщение посчитали полезным:

HoBleen пишет:
Хмм.. не знаю как зареганная версия, но демо точно содержит.
Это как раз одно из ограничений демо версии.

| Сообщение посчитали полезным:

dermatolog пишет:
арегистрированная версия VMProtect начиная с версии 1.25 не содержит постоянных сигнатур.
Идеально динамических сигнатур не бывает... если она не с ОЕР'a, то где-нибудь внутри файла все равно будет...

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Spirit пишет:
Идеально динамических сигнатур не бывает...
Могу привести простой пример, когда после каждой команды будет идти JMP на следующую команду. Затем такие блоки по 2 команды (одна оригинальная+JMP) перемешиваются. Считать сигнатурой всего одну команду - бессмысленно, поэтому такой код простым сигнатурным анализатором задетектить невозможно, необходимо писать более продвинутые инструменты, заточенные под конкретный случай.
В более сложных вариантах мутации кода оригинальные команды также могут видоизменяться (mov eax,ebx = push ebx, pop eax) и все это дело разбавляется не только JMP но различными "мусорными" командами, которые не будут влиять на результат выполнения кода.

| Сообщение посчитали полезным:

К вопросу о сигнатурах...

Уж не знаю почему но на некоторых НЕ ПАКОВАННЫХ файлах показывается Armadillo. Не знаю, что там в сигнатуре, но вылетает это где-то в 15% файлов. Это внешняя сигнатура.

| Сообщение посчитали полезным:

dermatolog
Выкладывай запротекченые файлики, и посмотрим через сколько минут будет готов его детект.

Могу предложить несколько вариантов детекта:
1) Проходим по коду дизасмом, с игнорированием определенных команд, либо отбором команд по маске.
2) Приводим команды имеющие разные опкоды, но одинаковое значение к одному виду.
3) Ищем сигнатуру в полученом буфере.
Это детект по уму, исключающий ложные срабатывания. Но есть метод проще:
1) Берем блок кода и считаем статистику распределения команд
2) Считаем статистику распределение пар команд
3) Ищем характерные участки кода (в 2-3 команды длиной)
Сравниваем статистику и число найденых участков с сигнатурой, и готово.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Grim Fandango пишет:
НЕ ПАКОВАННЫХ файлах показывается Armadillo
Только на прогах, написанных как и арма на С++, это косяк сигны, а не сканера

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным: