Привет всем =) надеюсь кто-нибудь ещё помнит The Ultimate Hellspawn's EXE Analyzer 0.6
гы... проект не загнулся... Просто у меня давно слетела разметка на харде и восстановитт
удалось не всё.. Исходники остались от самой первой версии.. Так вот.. =) решил переписать
проект... Я настырный... Вот новая тулза Detect it Easy 0.1b (DiE 0.1b) пока она ещё зелёная...
Вот хочу выслушать ваши пожелания, чтобы вы хотели увидеть, обнаружение каких пакеров,
протекторов вас интересует... Как вам скорость работы? мне почему не нравиться... TFileStream
медленный класс хочу всё сделать через MapViewOfFile, когда разберусь переделаю... Набеюсь на вашу помощь... =)
з.ы. сильно не пинать %) детектит он пока мало... но всё измениться..

первая часть пошла =)

9c10_Project1.zip.001.zip

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

просто сверху файла EXECryptor (не хочу чтобы что-то рипнули)

2.2.6?

| Сообщение посчитали полезным:

У меня каспер сразу exe грохает после извлечения из архива. (Отключить это не могу, ибо нет прав)

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Очень интересная версия получилась! Правда не все что хотелось -- но будем ждать!
Несколько замечаний!
1. При открытии нового файла надо бы чистить текст в закладке дизасм
2. При некоторых фалах там не хватает ширины полей опкодов (см. на примере аттача...)
3. А где же просмотр секций в Hex?
4. (Не главное) -- можно ли опцию, делающую все выпуклые ("Size:", "File name:" etc.) лейбелы плоскими?

6f2f_Cmp.exe.zip

-----
DREAMS CALL US

| Сообщение посчитали полезным:

Прога отличная!

| Сообщение посчитали полезным:

Уже почти все проты грохают названия секций. Так вот, можно во вкладку с секциями добавить шестую колонку и там на основе анализа таких полей, как:BaseOfCode,BaseOfData,Import Directory RVA,Export Directory RVA, Resource Directory RVA, TLS Directory RVA и анализе характеристики секции проставлять наиболее подходящее имя. Ну и сделать опцию, позволяющюю обзывать секции в соответствии со стандартами Borland или MS. Конечно, это будет очень неточно, но все же лучше, чем пустые имена.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Может добавить правку секций? Ато тыкнул, по привычке - не работает =)))
и options, имхо, удобней был бы перед about поставить

GAMe ovER пишет:
Но на русском языке лучше смотрится.
бред

хорошая программа, удобная. все под рукой. спасибо.

-----
TBR

| Сообщение посчитали полезным:

PE_Kill
Неплохая идея

Но по-любому прийдется немного расширить диалог...

Кстати, планируется ли поддержка Dll и появится ли секция Export?
(Просто прога довольно удобная и претендует на культовость в будущем, если будет развиваться такими темпами...)

ЗЫ. Я так и не понял, что делает опция "Return to [Scan] tab"
ЗЗЫ. Закладку Options сместить за закладку DisAsm ?

-----
DREAMS CALL US

| Сообщение посчитали полезным:

Grey пишет:
Может добавить правку секций? Ато тыкнул, по привычке - не работает =)))

PE_Kill пишет:
Ну и сделать опцию, позволяющюю обзывать секции в соответствии со стандартами Borland или MS. Конечно, это будет очень неточно, но все же лучше, чем пустые имена.

Как я погляжу, многие хотят смесь анализатора и PeTools , а есть ли смысл ?

=TS= пишет:
4. (Не главное) -- можно ли опцию, делающую все выпуклые ("Size:", "File name:" etc.) лейбелы плоскими?

Согласен, а то и кнопа disasm выпуклая, и эти лейблы тоже

ЗЫ:
Надо бы добавить поддержку WinUpack, Pecompact, eXPressor, Punisher, Krypton
И желательно - чтобы можно было добавлять свои сигнатуры, скажем внешний файл юзать типа userdb.txt, сигнатуры в который можно заносить petools'овским сигнатурщиком или свой сделать.
А вообще анализатор - рулезный, эт факт, респект

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon пишет:
Как я погляжу, многие хотят смесь анализатора и PeTools
Насчет правки - это действительно перебор, а вот чтобы ПРОАНАЛИЗИРОВАТЬ поля и характеристики секций и назвать как нибудь секции (не исправить, а отобразить на время просмотра) - было бы неплохо...

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

А можно ли в следующие билды вкладывать файлик "Detected.txt" -- с перечислением компиляторов / пакеров / протекторов
Кстати, как-то можно точно детектить версию Delphi / C++ Builder ?

-----
DREAMS CALL US

| Сообщение посчитали полезным:

Убил свой пост, ошибся топиком.......

-----
The blood swap....

| Сообщение посчитали полезным:

Блин, топиком ошибься
Мой пост убейте кто-нибудь......
К теме.....
Хм, странно, а у меня Каспер ничего не говорит.......
Хотель замаскировать его от него, поставил (4.5), а он молчит сволочь.....

-----
The blood swap....

| Сообщение посчитали полезным:

Hellspawn
Программа нормуль. Так держать, развивать не забывать...
Кстати, поддержку внешних сигнатур не добавлял? Да и поменяй местами закладки: опции к эбауту, чтобы не мешали (а то прямо в центре находятся).

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

Осталось иконку нарисовать под логотип. =)

А вот свои комменты как-ньть в понедельник сюда запощу. =)

| Сообщение посчитали полезным:

Hellspawn

Нашел такие функции:
GetDelphiVersion
и
GetDelphiVersion
в исходниках DeDe, что позволит узнать версию делфи и билдера...

-----
DREAMS CALL US

| Сообщение посчитали полезным:

ну понеслась

Gideon Vi пишет:
2.2.6?

да он самый,

=TS= пишет:
Очень интересная версия получилась! Правда не все что хотелось -- но будем ждать!
Несколько замечаний!
1. При открытии нового файла надо бы чистить текст в закладке дизасм
2. При некоторых фалах там не хватает ширины полей опкодов (см. на примере аттача...)
3. А где же просмотр секций в Hex?
4. (Не главное) -- можно ли опцию, делающую все выпуклые ("Size:", "File name:" etc.) лейбелы плоскими?


про дизасм знаю, но проблема в том, что я не хочу делать для него отдельную форму, может намутить горизонтальный скролбар?
Hex, будет, про чистку дизасма забыл.. сорри =\
плоские, хм... ок сделаю

PE_Kill пишет:
Уже почти все проты грохают названия секций. Так вот, можно во вкладку с секциями добавить шестую колонку и там на основе анализа таких полей, как:BaseOfCode,BaseOfData,Import Directory RVA,Export Directory RVA, Resource Directory RVA, TLS Directory RVA и анализе характеристики секции проставлять наиболее подходящее имя. Ну и сделать опцию, позволяющюю обзывать секции в соответствии со стандартами Borland или MS. Конечно, это будет очень неточно, но все же лучше, чем пустые имена.

можешь поподробнее (где почитать)? это типа как в олли? (там секция кода и т.д.)

=TS= пишет:

ЗЫ. Я так и не понял, что делает опция "Return to [Scan] tab"

ты попробуй перетащить файл на форму с вкл. опцией!

Grim Fandango пишет:

Осталось иконку нарисовать под логотип. =)

ну тык я не против собственно

=TS= пишет:
Нашел такие функции:
GetDelphiVersion
и
GetDelphiVersion
в исходниках DeDe, что позволит узнать версию делфи и билдера...

ок, щас посмотрю....

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
про дизасм знаю, но проблема в том, что я не хочу делать для него отдельную форму, может намутить горизонтальный скролбар?

Просто можно было бы увеличить ширину сканера до 500 пикселей и на измененный размер увеличить ширину поля опкодов

А горизонтальный скролл врят ли после этого понадобится

Да, кстати, так как строки в листбоксе выделяются, может сделаешь копирование в буффер по двойному клику или контекстному меню?

-----
DREAMS CALL US

| Сообщение посчитали полезным:

Hellspawn
Юзеры очень не любят когда каспер по любой причине орёт на что-то. Так что лучше уж заасприть что ли. А вообще не парься - надо быть выше рипперов.

-----
Всем не угодишь

| Сообщение посчитали полезным:

Bad_guy пишет:
А вообще не парься - надо быть выше рипперов.

А добрый дохтур Веб молчит и все тут...

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

=TS= пишет:
Просто можно было бы увеличить ширину сканера до 500 пикселей и на измененный размер увеличить ширину поля опкодов

500 млин, все контролы придётся перемешать (не большевато ли будет как думаете?).... лан посмотрим, что можно сделать...

=TS= пишет:
Да, кстати, так как строки в листбоксе выделяются, может сделаешь копирование в буффер по двойному клику или контекстному меню?

пока в буферобмена копируются только хеши, всё остально будет копироваться в 0.5, жди...

Bad_guy пишет:
А вообще не парься - надо быть выше рипперов.

просто жалко алго, я над ним долго парился... обидно будет если рипнут...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Да забей ты на то, что матерится касперский, те , кто будет юзать анализатор, монитор на машину не ставят...

-----
DREAMS CALL US

| Сообщение посчитали полезным:

Smon пишет:
Как я погляжу, многие хотят смесь анализатора и PeTools , а есть ли смысл ?
имелось - Edit Section Header

-----
TBR

| Сообщение посчитали полезным:

Grey
А зачем, если не секрет? Анализатор по определению предназначен для быстрого получения максимально полной инфы об интересующей проге / либе, а дальше в дело идут другие специализированные инстркменты, те же PeTools (кстати они очередной многообещающий, но умерший проект?)

-----
DREAMS CALL US

| Сообщение посчитали полезным:

=TS= пишет:
PeTools (кстати они очередной многообещающий, но умерший проект?)
По крайней мере в интервью NEOx писал, что скоро увидим новый релиз.

| Сообщение посчитали полезным:

=TS=
кстати о той функции из ДеДе
если с функцией GetDelphiVersionFromImports в принципе всё понятно, то
GetDelphiVersion я чёт запутался... а так понял там вся фишка в строке TControl
если она есть и "какой то дворд" равен определённому числу, то определям версию
как же лениво разбираться в чужих исходниках...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Ну не я их писал, но оно точно работает, я проверял
Я попробую потрейсить в делфях...

-----
DREAMS CALL US

| Сообщение посчитали полезным:

вот этот код работает, осталось протрейсить в делфях и посмотреть что используется:

Program Test;
uses SysUtils,DeDeClasses;
{$APPTYPE CONSOLE}
Var s: string;
Begin
if ParamCount>0 then
begin
PEFile := ThePEFile.Create(ParamStr(1));
PEHeader := TPEHeader.Create;
PEHeader.Dump(PEFile);
Writeln(GetDelphiVersion(PEFile));
PEHeader.Destroy;
PEFile.Destroy;
end;
End.

-----
DREAMS CALL US

| Сообщение посчитали полезным:

=TS= пишет:
те , кто будет юзать анализатор, монитор на машину не ставят...
В корне неверное и безответственное суждение =)
Пока релиз лежит здесь на форуме ещё всё терпимо, но никто из админов (например я) не будет держать его в разделе, потому как толпа качальщиков будет забрасывать тупыми письмами, что "у вас на сайте вирусы и мы больше сюда не вернемся".
В общем, многие не узнают даже об этой проге, а жаль.
Hellspawn пишет:
просто жалко алго, я над ним долго парился... обидно будет если рипнут...
Не думаю, что кто-то мечтает его рипать.
Ну а если и рипнет, то такого умника мы вычислим и закидаем гнилыми помидорами.

-----
Всем не угодишь

| Сообщение посчитали полезным:

Bad_guy пишет:
Не думаю, что кто-то мечтает его рипать.
Ну а если и рипнет, то такого умника мы вычислим и закидаем гнилыми помидорами.


следующую версию перепакую, чем-нить не столь заметным только чем, пока не решил

PE_Kill

по поводу секций , всё реализовал, только не знаю, куда прилипить полученные
в результате анализа секций данные, ведь в одной секции могут быть и импорт
и экспорт и т.д. я и так ширину увеличил из-за дизасма....

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Ну если что то одно, то обзывай сразу, а если много чего - можно обозвать типа mix1 и при наведении мыши на нее появлялся хинт (или окно) и там все расписывалось.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным: