Привет всем =) надеюсь кто-нибудь ещё помнит The Ultimate Hellspawn's EXE Analyzer 0.6
гы... проект не загнулся... Просто у меня давно слетела разметка на харде и восстановитт
удалось не всё.. Исходники остались от самой первой версии.. Так вот.. =) решил переписать
проект... Я настырный... Вот новая тулза Detect it Easy 0.1b (DiE 0.1b) пока она ещё зелёная...
Вот хочу выслушать ваши пожелания, чтобы вы хотели увидеть, обнаружение каких пакеров,
протекторов вас интересует... Как вам скорость работы? мне почему не нравиться... TFileStream
медленный класс хочу всё сделать через MapViewOfFile, когда разберусь переделаю... Набеюсь на вашу помощь... =)
з.ы. сильно не пинать %) детектит он пока мало... но всё измениться..

первая часть пошла =)

9c10_Project1.zip.001.zip

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

overwriter пишет:
тоесть скармливаешь ей разные экзешники
запакованные одним и тем же пакером, а она ищет общие байты.. вот и сигнатура
Такая сигнатура будет совсем не точная. РУками по-любому надо обрабатывать.

| Сообщение посчитали полезным:

Все сигнатуры, да сигнатуры... не надоело еще? Имхо вот что должно быть в анализаторе, чтобы он был лучше peid

1) Естественно сигнатуры (куда же без них)
2) Обновление сигнатур с сайта программы.
3) Возможность закачки своих сигнатур на сайт программы, чтобы после модерирования они были добавлены в базу.
4) Статистический анализ и движок поиска участков кода. С его помощью можно будет детектить практически любой пакер не содержащий сигнатур.
5) Кодоэмулятор и движок детекта построеный на основе графа потока исполнения.

Основной упор надо делать на то, что не детектиться сигнатурами, ну а делать клон peid смысла нет.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

overwriter пишет:
тоесть скармливаешь ей разные экзешники
запакованные одним и тем же пакером, а она ищет общие байты.. вот и сигнатура
Ага, и эта сигнатура будет встречаться еще у нескольких тысяч программ не запакованых этим пакером

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Ms-Rem
ээх лоханулся..
5) очень интересный пунктик это что?
дайте пожалуйста что0небудь почитать

-----
Researcher

| Сообщение посчитали полезным:

эх, когдаж этим заниматься? как клон пе-ид он и не планировался, а планировался
как удобный инструмент в помошь крекеру

по поводу сигн, на добавления одного пакера/прота иногда уходит несколько часов
(это вам не тупо байты с ЕР напихать в базу) поэтому я физически не успеваю добавлять, но
стараюсь оперативно реагировать на замечания.

делаю всё что могу, а на счёт клона обидно, совсем же разные тулзы...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Да че ты так разобиделся.. Классная весчь.. просто знаешь как то некомфортно держать две тулзы
для детекта пакеров вот.. поэтому я твердо решил помочь тебе довести до ума твое творение
и удалить нахрен PEid.
А раз добавлять сигнатуры трудно я ж и говорю надо хранить их не в экзешнике.. а в отдельном
файле.. тада можно будет обмениваться сигнатурами.. удобнее будет.. и тебе и всем

-----
Researcher

| Сообщение посчитали полезным:

Hellspawn пишет:
а на счёт клона обидно, совсем же разные тулзы...

Уже сейчас DiE намного удобней и это еще не конец...

Ms-Rem пишет:
5) Кодоэмулятор и движок детекта построеный на основе графа потока исполнения.

Я тебя насчет этого тебя сегодня и спрашивал %). Вот где CADT и нужен... Эх, был бы он 64 битовый еще...

-----
DREAMS CALL US

| Сообщение посчитали полезным:

overwriter
насчет сиг -- добавляй или в userdb.txt для плага PEiD Signatures (поддержка на фронтальной форме в виде кнопки [ << ]) или в Signs.txt для PE Tools Signatures. А прог для создания сиг после тупого сравнения двух файлов -- море, в том числе есть и плаг к PEiD (который ты также можешь запустить в DiE )

PS. Хватит оффтопить

-----
DREAMS CALL US

| Сообщение посчитали полезным:

overwriter пишет:
5) очень интересный пунктик это что?
Очень просто. Эмулиться код от точки входа (или из какого-либо другого места), после чего строиться граф его исполнения, статистика выполненых команд, набор вызваных апи и их параметров. Это позволяет идентифицировать то, что по сигнатурам в принципе не ловиться.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Ms-Rem спасибо! Где-нить можно прочитать про это желательно с исходниками.. на С++?
Hellspawn
Еще хочу чтобы в опциях была кнопочка добавить в контекстное меню..
Тоесть чтобы я правой кнопкой на ехзешник тискал и там был пунктик
->Oen with DiE

-----
Researcher

| Сообщение посчитали полезным:

overwriter пишет:
Где-нить можно прочитать про это желательно с исходниками.. на С++?
В интернете (если конечно удатсться что нибудь найти). А лучше не почитать, а самому написать реализацию.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Hellspawn, сегодня решил потестить немного DiE 0.62 на крипторе разных версий и нашел 9 файлов с разными версиями криптора, которые не определяются даже на харде, пейд обламался на всех, RDG задетектил половину, гапи задетектил тоже половину. Больше пока не тестил

| Сообщение посчитали полезным:

overwriter, ночами надо спать. Options - Register Shell Extensions

| Сообщение посчитали полезным:

VAD87

хех я ж говорил тебе на эту тему... сёдня может займусь криптором, хотя ещё дел куча
HoBleen обещал помочь с сигнами, майби скора релизну..

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Хеллл, сегодня смарел одну прогу из основного топика (один чел не мог там найти как код генерится) и
посмотрел прогу через Die хард выдал, что прога упакована Аспаком 2.12, но на самом то деле она не пакована.. предлагаю сделать, чтобы кроме упаковщика, выводился процент вероятности того, что это именно это

-----
Researcher

| Сообщение посчитали полезным:

это был баг движка анализатора... я переписал всё, теперь ложных срабатываний на харде не будет!
скоро релиз... с процентом будет трудно, т.к. на чём основывать его подсчёт?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

ну например сколько байт из сигнатуры совпало.. (хотя это тоже тормозно будет.. таких сигнатур наполовину совпавших в файле дохрена может быть)
Хард как я понимаю определяет версию пакера по диапазону так? тогда можно сделать несколько уровней харда.. с сужением диапазона ну и повышением точности..
Может фигню говорю.. ну хотя бы там совпал ли пакер определенный сигнатурой и хардом..

-----
Researcher

| Сообщение посчитали полезным:

Кста заметил в 0.61 фичу на панели задач стоит не та версия, а именно там 0.6

-----
Researcher

| Сообщение посчитали полезным:

наконец-то нашёл немного времени, релизю как есть... (уж очень настойчиво просят)
о новом читаем в ридми, отписываемся о багах и т.д.

hellspawn.nm.ru/works/die_0.63.zip

началась работа над эулятором, не знаю на сколько меня хватит
и ещё много идей, но что-то всё меньше и меньше кодю

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
hellspawn.nm.ru/works/die_0.63.zip
нифига не запускается((

-----
in search of sunrise

| Сообщение посчитали полезным:

bloom пишет:
нифига не запускается((
Угу

| Сообщение посчитали полезным:

bloom пишет:
нифига не запускается((

аналогично, Hellspawn перестарался!
p.s. без обид, шучу я так.

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

Пиз...ц, карячился, карячился, и в итоге не работает не хера.

| Сообщение посчитали полезным:

Да нехрен всякое гавно кривое навешивать, тогда и работать будет нормально

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon пишет:
Да нехрен всякое гавно кривое навешивать, тогда и работать будет нормально
RLPack тут ни при чем, распакованный у меня тоже не работает

| Сообщение посчитали полезным:

мля проверял же на двух виндах, всё воркало...
запаковал первым что подруку попалось
у кого не запускается, скачайте ещё раз по ссылке

hellspawn.nm.ru/works/die_0.63.zip

или только ехе
hellspawn.nm.ru/works/die_0.63fix.zip

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Теперь воркает, упх рулит )))
Если не хочешь чтобы что-то рипали, вешай вмпротект и упикса

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

да я ковырялся в RLPack'е поэтому им и запаковал....
фиг с ним с рипом, главное скорость работы

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Круто а что за коэффициент [k] ?Екстернал сигн - это сразу же и Пейдовыми сигнами сканит?

-----
Researcher

| Сообщение посчитали полезным:

Hellspawn пишет:
мля проверял же на двух виндах, всё воркало...
плохо проверял
Hellspawn пишет:
у кого не запускается, скачайте ещё раз по ссылке

hellspawn.nm.ru/works/die_0.63.zip
Вот теперь воркает.

-----
Ламер - не профессия :))

| Сообщение посчитали полезным: