Привет всем =) надеюсь кто-нибудь ещё помнит The Ultimate Hellspawn's EXE Analyzer 0.6
гы... проект не загнулся... Просто у меня давно слетела разметка на харде и восстановитт
удалось не всё.. Исходники остались от самой первой версии.. Так вот.. =) решил переписать
проект... Я настырный... Вот новая тулза Detect it Easy 0.1b (DiE 0.1b) пока она ещё зелёная...
Вот хочу выслушать ваши пожелания, чтобы вы хотели увидеть, обнаружение каких пакеров,
протекторов вас интересует... Как вам скорость работы? мне почему не нравиться... TFileStream
медленный класс хочу всё сделать через MapViewOfFile, когда разберусь переделаю... Набеюсь на вашу помощь... =)
з.ы. сильно не пинать %) детектит он пока мало... но всё измениться..

первая часть пошла =)

9c10_Project1.zip.001.zip

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

1. Перетащил файл в анализатор, пошёл в секции, нажал на первую строку, правый клик, копировать... и хрен что скопировалось...

2. Есть недочёт опять же связанный с копированием. Например при клике по имени файла в статусе пишется ...[_name]..., а есть на закладке энтропии кликнуть по Detected, то пишется [_hard], а вот с полей Bytes, Bits, Entro Bits у меня вообще ничегоне скопировалось.

3. Мини-Баг. =) Закладка Sections, жмём два раза на имя секции, чтобы у нас появилась надпись Turn On Hex...(но в опциях он не включён). Теперь перейдём на любую другую закладку... а теперь снова назад... надпись Turn On Hex... всё еще висит. =)

4. Баг-2. Включаем Хекс-Вьювер(в опциях). На закладку секций, два клика, окей, переходим во Вьювер... а теперь снова зайдите в закладку Опций... Опа, негу галки... идём в секции... и действительно, хрен переходится. =) Та же гадость и с другими опциями, хоть все их включи... а потом снова зайти на закладку и фиг они сохраняются во время сеанса.

5. Собственно опцию Hex Viewer можно переименовать в "Enable Hex-Viewer".

6. Хм, только сейчас заметил, что файл всё время держится. Т.е. его нельзя удалить. Целесообразно сделать кнопку Close File... или что-то такое.

7. UPX 0.61 не распознался. // UPX 1.07(чистый) распознался, как Modified, Два раза проверял на само UPX и проге им упакованной(не этим же файлом).

8. Если я не ошибаюсь, то правильно будет API Function, а не Api Name. Могу ошибаться. Более профессионально, что ли. =)

9. В ту же степь. Пускай меня поправят, но мне кажется, что по-научному =) будет не DLL Name, а Source DLL. И лучше писать DLL, а не Dll, так пользователями воспринимается лучше.

10. Я слабо разбираюсь в чём ращница между NRV и UPX, но файл, где написано NRV, определяется, как UPX Modified.

11. Вместо SPLayer 0.08 показал UPX Modified... это один пакер?

12. PEiD распознал UPX-Scrambler RC1.x -> ©OnT®oL, DiE показал Nothing Found. Кому верить?

13. Неплохо бы указывать авторов пакеров и протекторов, как в PEiD. Всяк еще больше информации. =)

14. Нужно улучшить распознавание АСПака/Протекта, а то некрасиво. =)

15. Пришла мысль, но потом появилась втроая. Вторая мысль: табов много, перегруженно, нужно что-то делать. Мысль первая: делаем еще один таб, делим его на два ListView в верхнем отображаются все строки Unicode в нижнем все строки ASСII. Может глупо?

16. Совсем брелдовая мысль: Может кроме импортов еще и Экспорты показывать? =)

17. Time/Date Stamp, доп. инфо всё-таки.

18. Magic Number?

19. Header Size?

20. CPU Type?

21. You selected not a vali PE file... Слишком длинно, пользователи валятся на слове "selected", убираем. Просто "Not valid PE file".

22. В Дизасемблере(да и вьювере) делаем мелкий едитбокс и кнопочку "GO". Понятно для чего? ;)

23. В HEX вьювере должна быть возможность копировать свободно выделаемые участки.

24. Можно сделать поиск(в Хекс Вьювере), клик правой кнопкой, выбираем пунктик Search, вылазит окошко, там выбираем что искать, последовательность байт или строку.

25. Вьювер ресурсов. Ну т.е. не самих ресурсов, а лишь их имён.

26. Много мелких ошибок в Readme. + Благодарности(да и вообще Thanks и т.п.) обычно пишутся внизу, как и "связь", собсно.

27. В том же РидМи опиши немного анализатор и его основные отличия (и features) от других анализаторов. Есть много людей, заглядывающих в readme.txt ;)

28. А плагины лучше хранить в отдельной папке Plugins.

+

Всё то, что я писал в прошлом тестовом отчёте, но что не было реализовано.

Конечно, как мне кажется, это всё отразится на размере анализатора, а этого очень бы не хотелось. Нужно думать, как его уменьшить и Реально задуматься над GUI, т.к. перегруз некоторых табов чувствуется с первых миллисекунд.



Ну вот, рабочий отчёт о тестировании программы, в свободной форме и с уклоном в пожелания. Баги скорее всего есть, но у меня и так ушло 45 минут, чтобы всё это написать. Так что как-нибудь в другой раз проверю.

Сейчас нету времени читать, что тут написали до меня, так что, если что-то уже было предложено, то извините.

| Сообщение посчитали полезным:

о боже мой отписыватся лень, но больше половины из того, что ты сказал сделано
прикольно, много здравых мыслей... а на счёт багов, с этим Hex Viewer достали уже...

на счёт упх, я там забыл одну проверку изменить.. (ну не могу всё упомнить) и поэтому возможно
неточности в определении..

12. PEiD распознал UPX-Scrambler RC1.x -> ©OnT®oL, DiE показал Nothing Found. Кому верить?
вот на этот файл хотелось бы посмотреть.. нав. там версия упх старая..

з.ы. когда изменяешь настройи, есть такая кнопочка save =) вот её и надо нажать!

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Grim Fandango пишет:
16 . Совсем брелдовая мысль: Может кроме импортов еще и Экспорты показывать? =)

вот этого дожаться бы хотелось

Hellspawn пишет:
видно у него парсер строк получше... и ещё убери "v" в варсии

Уберу, заоптимизирую размер и пришлю тебе. Парсер там дейтвительно абсолютно не такой как у тя, но я боялся что будет медленее, так как я подсчитываю количество секций. Если интересно посмотреть на исходники -- пришлю тоже.

-----
DREAMS CALL US

| Сообщение посчитали полезным:

Новая версия (0.12) PEiD signatures plugin

---v0.12 [2006.04.17]-------------------------------------------------------
* Optimized size
* base (userdb.txt) must be in plugin's directory
+ Documentation
+ Resource Version Info

f2fd_17.04.2006_CRACKLAB.rU.tgz - PEiD signatures plugin 0_12.rar

-----
DREAMS CALL US

| Сообщение посчитали полезным:

Сделано, в смысле до моего поста? =)

Файл поищу и вышлю... я уже и забыл, что это файл был.

Ну я надеюсь, что мой "отчёт" был полезным

| Сообщение посчитали полезным:

Grim Fandango пишет:
Ну я надеюсь, что мой "отчёт" был полезным

более чем...
как там дела с иконкой обстоят? а то как то старая не очень смотриться...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Ну и слава Богу, что полезен.

Насчёт иконки я не знаю, действительно не знаю, что можно сделать.
Тут же есть люди, которые занимаются графикой... пущай кто поможет.

| Сообщение посчитали полезным:

Grim Fandango пишет:
Тут же есть люди, которые занимаются графикой... пущай кто поможет.
. Вот например ты

-----
Я фантомас, а ты гавно

| Сообщение посчитали полезным:

Ну, мы тут не про меня говорим, а про анаизатор. =)

Hellspawn пишет:
з.ы. когда изменяешь настройи, есть такая кнопочка save =) вот её и надо нажать!

Опции должны сохраняться во время сеанса, иначе -> маразм

| Сообщение посчитали полезным:

Grim Fandango пишет:
иначе -> маразм
Ну да, или спрашивать "Сохранить опции?" при переходе на другую вкладку.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Еще несколько советов, приколов, пожеланий точки зрения пользователя и человека не одну программу протестившего и задизайнившего (упаси Боже хвастаться).


29. PDK не нужо класть в стандартную поставку анализатора, это хоть и немного, но отражается на размере архива + не всем это нужно. Просто вывеси его на сайте и упомяни в readme.txt (там, в папке с PDK, кста, есть левый темповый файл)

30. Прикол. =) PEiD на хардкоре показал, что в DiE 0.52.exe -> Microsoft Visual C++ 6.0

31. Еще прикол. =) Просмотрел екзешник листером... нашёл много дур... бедные-бедные дуры... аттач. =)

32. Не стоит в имени файла отражать его версию. Всего-навсего DiE.exe и ничего больше.

33. Немного сбивают с толку точки тут: <.Language: C/C++.>

34. В About укажи свой имейл + кол-во сигнатур. Я что-то не сильно понял к чему там фраза NEW exe analyzer... Лого по центру, над: имя, версия, сигнатуры, под: сайт, имейл...

всё.

когда новая версия? =)

8506_18.04.2006_CRACKLAB.rU.tgz - Dura.rar

| Сообщение посчитали полезным:

И еще вопрос - будет ли добавлен рекурсивный поиск ?

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon пишет:
И еще вопрос - будет ли добавлен рекурсивный поиск ?
Чего рекусивный поиск?

-----
DREAMS CALL US

| Сообщение посчитали полезным:

=TS=
есть такая фишка - скажем прога с большим кол-вом файлов в папке. Скажем чтобы папку сразу поглядеть и сразу видеть, есть ли какой прот или нет.... например если .dll в папке отвечает за регистрацию, то сразу видно, что она защищена (запакована). Естессно без всяких приблуд, а просто - имя файла - /пакер(прот)

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon
Такое врят ли будет, так как инфай выдается тольео для одного файла, тем более с DLL анализатор щас работает не совсем корректно, так что ...

-----
DREAMS CALL US

| Сообщение посчитали полезным:

можно будет прикрутить.... это не сложно, так как сканирует файл 1 процедура
а вот с длл у меня нет времени разбираться... может потом всё будет ок

Grim Fandango пишет:
31. Еще прикол. =) Просмотрел екзешник листером... нашёл много дур... бедные-бедные дуры... аттач. =)

че это за дуры то? (новая версия, ну когда иконку намутишь)

Grim Fandango пишет:
34. В About укажи свой имейл + кол-во сигнатур. Я что-то не сильно понял к чему там фраза NEW exe analyzer... Лого по центру, над: имя, версия, сигнатуры, под: сайт, имейл...

ну я не дизайнер всё сделаю... ща дорабатываю hex-viewer и disasm
ещё не долго осталось + пару протов добавлю...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Иконку от меня не жди, я серьёзно, я не знаю, что там рисовать...

А вот дуры... это просто набор символов. =) Я так думаю... но прикольно =)

| Сообщение посчитали полезным:

PEiD plugins support (0.10)

Позволяет запускать плаги PEiD, которые должны лежать в подпапке "PEiD", находящейся рядом с плагином (плагины в этой папке можно разсовать по каталогам -- их все равно найдут ).

Первый релиз, просьба оружием пролетариата не бросаться ...

4b7f_19.04.2006_CRACKLAB.rU.tgz - PEiD plugins 0_10.rar

-----
DREAMS CALL US

| Сообщение посчитали полезным:

=TS=
всё таки решил написать
ща потестил - всё куул, вроде пашет...
респект тебе...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Неправилно определяется характеристика секции DATA. Для нее DiE пишет none. А секцию импорта обзывает Base of Data. Это у любого файла на делфи. Далее, я думаю секцию кода надо обзывать что то типа CODE,.code, executeble но никак не Base of Code, тоже и для DATA.

Далее Hellspawn ты опять перемутил с защитой. Я вчера парился не мог адрес LoadLibraryA получить из плагина, смотри:

hModule:=GetModuleHandleA('kernel32.dll');

GetProcAddress(hModule,'LoadLibraryA')
Return: 0053615D

GetProcAddress(hModule,'LoadLibraryW')
Return: 0053622D

GetProcAddress(hModule,'LoadLibraryExA')
Return: 00536170

GetProcAddress(hModule,'LoadLibraryExW')
Return: 0053615D

GetProcAddress(hModule,'GetProcAddress')
Return: 0053633E

0053xxxx - это адрес секции прота.

Пришлось по технологии вируса с экспортом работать, но это не дело.

PS Добью сигны, и может сегодня плагин зарелизю.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill
что то я не врублися
я просто смотрю, какой адресс, какой секции принадлежит и на основании этого
пишу характеристики...
а назвал так по значениям
BaseOfCode и BaseOfData

да молебох там и опять глюки...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Вот в этом он секцию BSS датой обзывает

e47d_19.04.2006_CRACKLAB.rU.tgz - Project1.rar

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

А вот здесь .reloc

c0a9_19.04.2006_CRACKLAB.rU.tgz - StripReloc.rar

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Тулза где то 1 из 10 правильно определяет. Хотя BaseOfData правильно показывает

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

понял, всё исправил...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

В общем вот он. ASProtect detector. Детектит до билда, по другому не умеет. Поэтому на многие файлы говорит Unknown! Ну а я это дело исправляю. Присылайте сигны (от плагина) с указанием версии, хотя бы примерной. Будем делать базу вместе.

Внимания!!!! Исследуемый файл будет запущен!
Warning!!! File will be executed!


34e0_19.04.2006_CRACKLAB.rU.tgz - VerA.rar

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Hellspawn Что надумал с детектом версии SafeDisk? Может закинуть екзешников? где-то есть у меня

-----
Research is my purpose

| Сообщение посчитали полезным:

Error_Log пишет:
Hellspawn Что надумал с детектом версии SafeDisk? Может закинуть екзешников? где-то есть у меня

шли, если они не очеь большие =)
просто у меня всего 2 ехе, один из них крекнутый, как я понял, так сигны не много будут
отличаться... обязательно сделаю...

PE_Kill молоток =) тока чувствую плаг пашет только на НТ
у меня нет пока возможности проверить...
одно пожелание, можно будет прикруть защиту от IsDebuggerPresent

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

PE_Kill
а как его установить в Die

-----
in search of sunrise

| Сообщение посчитали полезным:

bloom
Копируешь в корень к екзешнику (пока еще не в Plugins) и все
выше по форуму еще два плага
Запускаешь кнопчкой над "Open PE"

-----
DREAMS CALL US

| Сообщение посчитали полезным: