Сейчас на форуме: (+5 невидимых)

 eXeL@B —› Дневники и блоги —› engines
<< . 1 . 2 . 3 . 4 . >>
Посл.ответ Сообщение

Ранг: 222.2 (наставник), 115thx
Активность: 0.140.01
Статус: Участник

Создано: 19 марта 2010 15:55 · Поправил: HandMill
· Личное сообщение · #1

Добро пожаловать.

Здесь будут выкладываться различные движки/библиотеки для программирования (в основном с тематическим уклоном), кратким описанием и ссылками.

Формат описаний для движков:

0. Группа(Указываем в квадратных скобках жирным шрифтом).

1. Название.(Указываем жирным шрифтом)
2. Краткое описание/возможности/фичи.
3. Язык программирования/языки программирования, поддерживаемые SDK данной библиотеки/движка(или на чём он написан).
4. Лицензия. (Если не знаете на верняка - не указывайте)
5. Ссылки на официальные сайты / неофициальные сайты / документацию / закачку.
6. Какая-либо информация о проекте, дата последнего обновления / жив ли вообще проект.

1.
2.
3.
...

Пунктов (цифер) не ставим, поскольку это на мой взгляд затрудняет чтение, пункты просто отделяем новыми абзацами. Группа - это обобщённое название анонсируемых вами движков, например "Дизассемблерные движки" или "Движки для работы с РЕ файлами". Краткое описание начинать со слов "%n движок" / "Движок для работы с %n" (например "Движок для работы с PE-файлами").

Предлагаю здесь не только сообщать о новых движках, но и обсуждать их работу (с).

-----
все багрепорты - в личные сообщения




Ранг: 488.1 (мудрец), 272thx
Активность: 0.350
Статус: Участник

Создано: 11 апреля 2011 15:58 · Поправил: VodoleY
· Личное сообщение · #2

bochs2delphi Last Update 2009-07-16
Bochs переписанный под делфи,Собственно виртуальная машина, аля VMWare (но до нее далеко естественно).
Виртуализирован проц, память, биос, работа с винтом и PCI девайсами.
В коде просматриваюца поддержка работы проца в режиме трассировки.
Оригинал написан на си, и проэкт вроде жив. В оригинале есть поддержка 64 разрядных инструкций, чего не скажешь об bochs2delphi, который видимо загнулся.
НО базовая работа уже выполнена, хоть и кишит багами.
http://sourceforge.net/projects/bochs2delphi/
много интересного может кому сгодится.
З.Ы. Готов тестовый пример шагающий по кусочку СodeVirtulazera. Если комуто интересно стучитесь...

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....




Ранг: 57.1 (постоянный), 3thx
Активность: 0.040
Статус: Участник

Создано: 08 августа 2011 12:05 · Поправил: sys_dev
· Личное сообщение · #3

Господа, кто и под какой версией питона это(не знаю как этот TitanEngine еще назвать )))) запускал? Я вот пытаюсь запустить так:
c:\python27\python.exe deUpx.py
появляется окошко, жму "Browse" и xy... !!! Лезть в сорцы в лом, может кто на вскидку подскажет?

ЗЫ:
А что нить подобное питоно-образное, не считая OllyDbg+Python есть?




Ранг: 533.6 (!), 232thx
Активность: 0.450
Статус: Uploader
retired

Создано: 08 августа 2011 12:29
· Личное сообщение · #4

sys_dev пишет:
А что нить подобное питоно-образное, не считая OllyDbg+Python есть?

IDA+Python ?!

-----
Лучше быть одиноким, но свободным © $me




Ранг: 57.1 (постоянный), 3thx
Активность: 0.040
Статус: Участник

Создано: 10 августа 2011 14:49 · Поправил: sys_dev
· Личное сообщение · #5

>>IDA+Python ?!
Монстрообразная хрень, которая нужна в особотяжелых случаях, когда уже вообще нихрена непонятно.

Кто-нить юзал PeDram к примеру?



Ранг: 30.5 (посетитель), 5thx
Активность: 0.010
Статус: Участник

Создано: 10 августа 2011 19:04
· Личное сообщение · #6

sys_dev пишет:
Монстрообразная хрень


Плуг к хиеву посмотри
http://code.google.com/p/pyhiew/downloads/list



Ранг: 57.1 (постоянный), 3thx
Активность: 0.040
Статус: Участник

Создано: 12 августа 2011 12:29
· Личное сообщение · #7

>>Плуг к хиеву посмотри
>>http://code.google.com/p/pyhiew/downloads/list
Смотрел и нашел баги, известил о них Элиаса, а ему пох! ;) Смысл юзать глюкавое гуано?




Ранг: 533.6 (!), 232thx
Активность: 0.450
Статус: Uploader
retired

Создано: 18 августа 2011 10:02
· Личное сообщение · #8

sys_dev вот нашел питон+виндбг
http://pykd.codeplex.com/wikipage?title=Russian&referringTitle=Home

-----
Лучше быть одиноким, но свободным © $me




Ранг: 57.1 (постоянный), 3thx
Активность: 0.040
Статус: Участник

Создано: 21 августа 2011 01:38
· Личное сообщение · #9

BoRoV
Видел! Но не подходит, т.к. для тяжелых и серьезных решений лучше все-таки IDA-Pro, а для средних задач все равно что из пушки по воробьям. Походу придется писать свое или искать какой-нить проект ядра-отладчика dll-ки чтобы можно было написать питон-модуль с юзанием ctypes библиотеки.



Ранг: 191.8 (ветеран), 46thx
Активность: 0.170
Статус: Участник

Создано: 21 октября 2011 03:18
· Личное сообщение · #10

На любителя
http://apimon.codeplex.com/releases



Ранг: 47.7 (посетитель), 17thx
Активность: 0.090
Статус: Участник

Создано: 30 октября 2011 13:33
· Личное сообщение · #11

Дизасм реальных длин. Определяет длину любых инструкций(даже тек, коих нет в таблицах).

7dd0_30.10.2011_EXELAB.rU.tgz - LDE.zip




Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 14 ноября 2011 03:51
· Личное сообщение · #12

толстый какойто двиг у инде, да еще и к венде привязан
определяет длины которых нет в таблицах - угадывает что ли?)



Ранг: -0.8 (гость), 1thx
Активность: 0.010
Статус: Участник

Создано: 15 ноября 2011 22:28 · Поправил: nepwk
· Личное сообщение · #13

reversecode
Не толстый, а к винде конечно привязан - там на фолты всё запилено.

> определяет длины которых нет в таблицах - угадывает что ли?

Типо того
Вы ведь не знали что 0F FF содержит ModR/M

Единственный кстате годный вариант потестить любой другой двигатель. Вот тест:
P4/XP
Rand - REAL: ~28850 Ip/s, VirXasm32: ~551250 Ip/s
Nop's - REAL: ~591450 Ip/s, VirXasm32: ~8.4M Ip/s.
Olly - 20 Ip/s.
dIp_VirXasm32/dIp_Real ~ 19.




Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 16 ноября 2011 00:37 · Поправил: reversecode
· Личное сообщение · #14

где в этом тесте функция детекта длин например от x64 ?
для реального использования что делать с твоим asm?
перепиши его хотя бы на C



Ранг: -0.8 (гость), 1thx
Активность: 0.010
Статус: Участник

Создано: 16 ноября 2011 02:07 · Поправил: nepwk
· Личное сообщение · #15

reversecode
Вы ребята помешались. x64 это совершенно иная архитектура, чем x32. Этот двиг работает с IA32. Если нужно портировать под линуксы, под другую платформу NT или есчо куда - реализуйте. Мне на данный момент это не нужно. В принципе этот механизм не портабельный, универсальным его не сделать даже для IA32 и IA64, ибо там разный набор инструкций. Один и тотже ваш бинарный код не будет работать на разных платформах, также и у меня. Но в отличие от меня, за вас код собирает компилятор. Это тут у всех по мойму единственный аргумент.




Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 16 ноября 2011 02:22
· Личное сообщение · #16

под x64 я имел ввиду человека а не архитектуру
http://exelab.ru/f/action=vthread&forum=6&topic=16899
портеибл это когда как минимум его можно включить в какойто проект
включать в проект obj файл который скомпилен в asm, не кошерно



Ранг: -0.8 (гость), 1thx
Активность: 0.010
Статус: Участник

Создано: 16 ноября 2011 03:35 · Поправил: nepwk
· Личное сообщение · #17

reversecode

Во первых этот код годен для пермутации. Это такой специальный формат, который позволяет легко перестраивать код, так как он не содержит статических данных, а только код. Не имеет значения база код и расстояние между инструкциями. Только код в таком формате я считаю кошерным как вы говорите. На си такое не собрать без асм вставок, вдобавок нельзя собрать более оптимально. Это совершенно не нужно - код линкуется в виде дампа(может быть проблема с сех, но она устраняется надстройкой универсальной). Так обычно с движками делается. Вот по вашей ссылке двиг не может юзаться как самодостаточный код - он содержит условно безусловные ветвления(switch), это статические данные в коде и требуют они фиксапов. А последние только в модулях в виде релоков. Так что не рулит скрипт.

> где в этом тесте функция детекта длин например от x64 ?

Лучший лде статический это Малума. Ну можно и этот потестить, вот первые три инструкции(попался сискол(интересно что для IA32 инструкция определена, но замаскирована) и 3 скорее всего инвалидные, реальная длина: тестируемого движка):
0F 05 ; 2: -1
F6 4A E5 17 ; 4: 3
F7 08 54 4F 99 A8 ; 6: 2
0F 0D ; 2: 3

Можно их стопяцот сгенерить и отсеять замаскированные. Тест основан на забивании в буфер рандомных данных и скармливания его дизасму. Пришлось кстати править модуль, ибо студии нет, а это рипается изза релоков с трудом.

add:
Можно загрузить как либу, странно что я сразу не додумался

57f4_16.11.2011_EXELAB.rU.tgz - Test.zip




Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 17 ноября 2011 10:47
· Личное сообщение · #18

релоков боятся только малвари
софт не боится релоков, открой любую программу и удостоверся)
да и твой lde можно на 'С' переписать и тоже без релоков
и код x64 тоже можно без релоков переписать
ото единственное что с обфусцированым(пермутирующим как ты назваешь) кодом твой двиг работает(хотя не проверял, с твоих слов)



Ранг: 47.7 (посетитель), 17thx
Активность: 0.090
Статус: Участник

Создано: 17 ноября 2011 11:03
· Личное сообщение · #19

reversecode

Знаете, я внезапно понял одну простую истину. Вам мешают мелкие детали, вы рассматриваете их и из за этого не видите общую идею и смысл. Тут у всех такое




Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 17 ноября 2011 11:18
· Личное сообщение · #20

ничего подобного, я на код смотрю глобально
а вот ты только с позиции малвари, т.е. ты кроме малвари ничего не писал
не хочешь деобфускатор написать, напиши протектор by Clerk
аль боишься что его аверы стырят и он появится в ядре веба и ты не сможешь больше скрывать свои вирусы?



Ранг: 47.7 (посетитель), 17thx
Активность: 0.090
Статус: Участник

Создано: 17 ноября 2011 11:29
· Личное сообщение · #21

reversecode

Немного не в тему, но мне вот интересно как бы вы реализовали на си загрузку ссылки на процедуру. Штатными средствами не годится, тоесть в результате push offset Ip или lea reg,[offset Ip + Delta]. В первом случае фиксап, во втором расстояние между инструкциями фиксировано.



Ранг: 47.7 (посетитель), 17thx
Активность: 0.090
Статус: Участник

Создано: 17 ноября 2011 20:04
· Личное сообщение · #22

reversecode

Понятно. Нет ответа. Вот вся сила вас и вашего скрипта



Ранг: 255.8 (наставник), 19thx
Активность: 0.150.01
Статус: Участник
vx

Создано: 23 ноября 2011 22:22
· Личное сообщение · #23

Микод - код годный для описания базовым графом. Системный код, не содержащий релоков не может быть описан таким конструктором, изза содержащихся данных, требующих фиксапов. В общем случает код оформленный в виде движка(дамп) и не в стиле микода это потенциальная сигнатура, ибо case-ветвления могут быть разобраны только анализом релоков, которых конечно же нет. Скрипт, в частности си такой код не может генерить. Вот и весь ответ.




Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 24 ноября 2011 10:08
· Личное сообщение · #24

остынте юноша, азам программирования я вас обучать не хочу
купите книгу и сами чему нибудь обучитесь кроме бейсика
есть жизнь за пределами ассемблера - поверте (с)



Ранг: 255.8 (наставник), 19thx
Активность: 0.150.01
Статус: Участник
vx

Создано: 24 ноября 2011 18:44
· Личное сообщение · #25

reversecode

Кроме васика также и другие скрипты не помогут вам реализовать 2.17, и без разницы как я остыну



Ранг: 191.8 (ветеран), 46thx
Активность: 0.170
Статус: Участник

Создано: 28 ноября 2011 07:49
· Личное сообщение · #26

Было - не было
мож пригодится (2008г) в папочках исходники попадаются
http://www.infoprocess.com.au/downloads/
http://www.infoprocess.com.au/documents/



Ранг: 255.8 (наставник), 19thx
Активность: 0.150.01
Статус: Участник
vx

Создано: 28 ноября 2011 20:26
· Личное сообщение · #27

Ratinsh

> http://www.infoprocess.com.au/downloads/AntiHook26/AntiHookProSetup26.msi

Это типо мне это запустить нужно ??




Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 28 ноября 2011 21:41
· Личное сообщение · #28

клерк ты форумом ошибся, все что тебе - у тебя на форуме
а здесь - тема engines
каждый постит что нашел и считает что пригодится другим



Ранг: 191.8 (ветеран), 46thx
Активность: 0.170
Статус: Участник

Создано: 29 ноября 2011 21:31
· Личное сообщение · #29

Мне чаще интересно как это сделано..
Я использую UniExtract.. А тут ещё и исходнички сервиса, плагина..
Посчитал - не помешает глянуть



Ранг: 255.8 (наставник), 19thx
Активность: 0.150.01
Статус: Участник
vx

Создано: 30 ноября 2011 19:29 · Поправил: Clerk
· Личное сообщение · #30

reversecode

Если ты так школьник думаешь, то дай линк на архив вредоносов, например на нетлюкс. Чтоже же вы так уныло обсуждаете движки

Кроме моего лде тут ни один двиг не пригоден для использования. В паблике на данный момент только беа достоин рассмотрения. Но это также такое кривое дерьмо как и всё остальное, цирк да и только.

Да и вообще тут половина не понимает ничего, другая половина понимает самые азы. У меня ребята пузо болит уже от смеха..

А вам лично reversecode могу сказать что как вы лохом были, так им и остались. Вам на руткитсах не дано зарегаться и читать кошерные коды, это карма - очевидно если человек еблан, то это следствие прежних действий. Такова реальность.




Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 30 ноября 2011 19:44
· Личное сообщение · #31

клерк ну просто детский сад чес слово))
вудман ответил на твои поделия ВАУ! и ЧСВ подпрыгнуло выше плинтуса?
ну выговорись уже что ли, а то тебе и нескем поговорить


<< . 1 . 2 . 3 . 4 . >>
 eXeL@B —› Дневники и блоги —› engines
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати