Привет всем =) надеюсь кто-нибудь ещё помнит The Ultimate Hellspawn's EXE Analyzer 0.6
гы... проект не загнулся... Просто у меня давно слетела разметка на харде и восстановитт
удалось не всё.. Исходники остались от самой первой версии.. Так вот.. =) решил переписать
проект... Я настырный... Вот новая тулза Detect it Easy 0.1b (DiE 0.1b) пока она ещё зелёная...
Вот хочу выслушать ваши пожелания, чтобы вы хотели увидеть, обнаружение каких пакеров,
протекторов вас интересует... Как вам скорость работы? мне почему не нравиться... TFileStream
медленный класс хочу всё сделать через MapViewOfFile, когда разберусь переделаю... Набеюсь на вашу помощь... =)
з.ы. сильно не пинать %) детектит он пока мало... но всё измениться..

первая часть пошла =)

9c10_Project1.zip.001.zip

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
да поддержку сделать не трудно, НО там только сканирование EP, а это не очень хорошо...
А я-то думал почему Unopix не палится по его сигнатуре...
дельфя (объектный паскаль) + асм вставки
А ты какие-то особенные компоненты используешь, или просто на Win32API писать лень?

| Сообщение посчитали полезным:

Gideon Vi пишет:
Это надо на геймерские форумы

гы лан попробую нагуглить че-нить

nice пишет:
Попробую тебе состряпать несколько детектов для разных ключей, а ты потом сам смотри как их включать

ок, посмотрю...

NullSession пишет:
на Win32API писать лень?

угу... + мало свободного времени... и так кода уже на 2k строчек...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
может всё таки кто выложит в доступном месте пару ехе с SafeDisk-ом
а тебе можно куда нить кинуть
ато на вебфайле 43 мин, а на рапиде - 20
5 м

-----
TBR

| Сообщение посчитали полезным:

for.hellspawn[собачка]gmail[точка]com
кидай сюда...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
nice
Не знаю возможен ли вариант, но как бы в детекте различать ключи не только по фирме (к примеру у Guardant есть Stealth, Stealth II, Fidus... ), т.е. я имею ввиду, чтобы более детальную выдавать информацию, чем просто, что это ключ Sentinel или Hasp, Guardant...

Спасибо за внимание.

-----
Есть вопросы ко мне? В личку!

| Сообщение посчитали полезным:

Hellspawn
ушло =))

-----
TBR

| Сообщение посчитали полезным:

Когда многоуважаемый автор изволит порадовать нас новым релизом?

-----
DREAMS CALL US

| Сообщение посчитали полезным:

Hellspawn Почему только *.exe в типе файлов? Бывают исполняемый файлы без расширения... или вот такое, вирь использует (Borland Defphi DLL)
Pass: virus

fe47_03.04.2006_CRACKLAB.rU.tgz

-----
Research is my purpose

| Сообщение посчитали полезным:

для длл... некоторые методы детекта, уже не прокатят, надо будет переписать половину движка...
а времени нету для этого... может потом реализую...

=TS= пишет:
Когда многоуважаемый автор изволит порадовать нас новым релизом?

релиз пока затягивается, возникли трудности с реализацией плагинов
я пока в тупике...

кое-что из нововведений (на сладкое):
-изменён дизайн (как просили)
-добален анализ секций (Выводится расположение Impotr, Export и т.д.)
-распознование (Win)Upack + Obsidium + Различаются версии PeSpin
-добавлен файл со списком пакеров/протов, которые распознаются
-детект SafeDisc

+может всё таки реализую алгоритм Бойера-Мура...
+прикручу базу от пе-ид...
ну и ещё много приятных мелочей...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

То Hellspawn - из фич можешь добавить проверку на детект некоторых дебаггеров...... Т.е. полсе применения ими некоторых трюков по сокрытию, видно их, или нет?
Как это делают некоторые проты...... И если дальше развить, то можно добавить детект, только такой, чтобы он старался увидеть дебаггер как раз после применения этих трюков....... Что-то вроде "Debugger advanced scanning....."
Это было небольшое предложение, не более того......

-----
The blood swap....

| Сообщение посчитали полезным:

Прога конечно перспективная, но признаться Касперский меня порядком "запарил" ещё при закачке начал меня донимать "Вирус(модификация):Packed.Win32.CryptExe", хорошо бы было это дело пофиксить... И ещё, что мешает сделать поддержку плагинов от того же PeID? По-моему было бы полезно... И ещё неплохо бы экспорт показывать... И какой-нибудь простенький вьювер ресурсов тоже можно бы прикрутить... А так-штука хорошая, если вырубить Касперского на время работы с сабжем...

-----
Nothing just happens. You choose it to happen.

| Сообщение посчитали полезным:

Johnson Finger а вот это надо уже в плагины переносить IMHO.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

так объясните мне не образованному
че за фигня....
файл упакованный WinUpack 0.39:

No | Name | VSize | VOffset | RSize | ROffset | Charact. |
01 | PSяХ«лзГ | 00003000 | 00001000 | 000001F0 | 00000010 | E0000060 |
02 | | 00008000 | 00004000 | 00000234 | 00000200 | E0000060 |
03 | P0@ | 00001000 | 0000C000 | 000001F0 | 00000010 | E0000060 |
вот так считам FieOffset (RVA=$1018):

пробегаем по всем секциям и смотрим на принадлежность:
if ((Rva >= Section.rva) and (Rva < Section.rva+Section.virtual_size)) then
z:=Section.physical_offs+RVA-Section.rva

ну и не правильно выходит вместо $18 получается $28 бр...
я конечно сделал поправку на WinUpack и теперь всё правильно, но хотелось бы
знать норм. решение...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Странная логика. Как раз $28 и должно получиться. Смотри, RVA = 1018. Получается 1018-1000 = 18, ну а RAW соответственно 10+18 = 28. Так, что это у тебя в олго косяк.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

нет нифига подобного! должно быть 18 и вот хоть ты тресни....
щас объяню...
вот байты с EP:
смещение $18

BE B0 11 40 00 AD 50 FF 76 34 (стандартное начало винупак)

а вот байты с $28

0B 01 4C 6F F0 01 00 00 F0 01

чуешь где тайд?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Хе хе. Тебе помоему выспаться надо, мне помогало . Смещение 18 - это от начала файла, а не от RAW офсета секции.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Я так понял тебе нужен RVA = 1008, а не 1018.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

подожди хотя может ты и прав...
смотри, берём ехе, читаем поле EntryPoint оно равно $1018 (RVA)
дальше мне нужно перевести это в FileOffset... перевожу, получается $28
(у Pe Editor'а столько же получается - File Location Calculator) y Pe-id получается $18...\
вот такая арифметика ( пойду высплюсь )

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn прошу прощения, это я был не прав, хотя и не совсем не прав. Он как то заставляет лоадер грузить секцию не с офсета 10, а с 0. Т.е. прямо с начала файла. Это легко проверить, если прокрутить секцию в отладчике вверх, то увидим сигнатуру "MZ", тогда, как в хекс редакторе там "PE".

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Походу это из-за File Aligment =200, т.е. минимальный RAW Offset =200, а первая секция = 10. И лоадер грузит её с ближайшего, выравненого на 200h байт офсета

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

хм... я сам когда первый раз увидел долго въезжал в это...
надеюсь такое только в винупак, ещё там с импортом какие-то странности творятся
т.е. из некоторых ехе пожатых им, импорт не извлекает ниодна тулза

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

И все же надо разобраться, а то PE_Tools тоже неправильно считает, а вот PEiD правильно. Если я прав, то придется просто проверять RAW Offset и корректировать вычисления

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

стандартный метод подсчёта не катит
offset:=Section.physical_offs+RVA-Section.rva...

PE_Kill
хочешь сказать, что если RAW Offset =200
то будем вычислять оффсет примерно так offset:=RVA-Section.rva (смещение секции не учитывается)

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Тебе помочь с плагиновым движком?

-----
DREAMS CALL US

| Сообщение посчитали полезным:

=TS= пишет:
Тебе помочь с плагиновым движком?

да, если можно, а то времени совсем нету... пиши в асю... (в инфе)

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Пробегал, на www.team-x.ru увидел анализатор SCANiT!
мне даже интересно, что решили его многие написать?
В принципе это может и к лучшему. Если хотите, можете посмотреть и сравнить с известными.
darkguru.pisem.net/scanit.1.74.app-tmx.zip

P.S. Сорри, если не понравиться. Просто увидел, решил сообщить (только не сочтите за рекламу - там хозяин действительно просил показать на CRACKL@B )

-----
Есть вопросы ко мне? В личку!

| Сообщение посчитали полезным:

Hellspawn
Смотри заголовочный файл в мыле...

-----
DREAMS CALL US

| Сообщение посчитали полезным:

YoriCH пишет:
Пробегал, на www.team-x.ru увидел анализатор SCANiT!
мне даже интересно, что решили его многие написать?
В принципе это может и к лучшему. Если хотите, можете посмотреть и сравнить с известными.
SCANiT! 1.74

P.S. Сорри, если не понравиться. Просто увидел, решил сообщить (только не сочтите за рекламу - там хозяин действительно просил показать на CRACKL@B )

ну я не решил, уже год назад начал писать... всё времени нету до ума до вести..
посмотрил я.. ну сканит сигны с ЕР, похож на пе-сниффер, не понравилось..
хотя с автором надо пообщаться... кое-что спросить хочу...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
для длл... некоторые методы детекта, уже не прокатят, надо будет переписать половину движка...
Означает ли это, что во время детекта файл запускается???

| Сообщение посчитали полезным:

slip пишет:
Означает ли это, что во время детекта файл запускается???

нет, ничего не запускается!

-----
[nice coder and reverser]

| Сообщение посчитали полезным: