Добро пожаловать.

Здесь будут выкладываться различные движки/библиотеки для программирования (в основном с тематическим уклоном), кратким описанием и ссылками.

Формат описаний для движков:

0. Группа(Указываем в квадратных скобках жирным шрифтом).

1. Название.(Указываем жирным шрифтом)
2. Краткое описание/возможности/фичи.
3. Язык программирования/языки программирования, поддерживаемые SDK данной библиотеки/движка(или на чём он написан).
4. Лицензия. (Если не знаете на верняка - не указывайте)
5. Ссылки на официальные сайты / неофициальные сайты / документацию / закачку.
6. Какая-либо информация о проекте, дата последнего обновления / жив ли вообще проект.

1.
2.
3.
...

Пунктов (цифер) не ставим, поскольку это на мой взгляд затрудняет чтение, пункты просто отделяем новыми абзацами. Группа - это обобщённое название анонсируемых вами движков, например "Дизассемблерные движки" или "Движки для работы с РЕ файлами". Краткое описание начинать со слов "%n движок" / "Движок для работы с %n" (например "Движок для работы с PE-файлами").

Предлагаю здесь не только сообщать о новых движках, но и обсуждать их работу (с).

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным:

reversecode

У меня товарищ вопросы последовательные. Я не злопамятный, тоесть завтра я забуду то, что вы сейчас мне ответите. Но мне важен и я помню уровень знаний человека. Вы не смогли на си описать пермутирующий код, причём утверждали что можите. Это в моём понимании значит две вещи. Какие понятно.
Вудман аля кряклатинос - порченый форум, сборище школоты за исключением нескольких человек. Вы считаете его чемто особенным ?

| Сообщение посчитали полезным:

Это..харэ собачиться. Ставь цели и решай, и не морочь людям голову, кому интересно - твоими
задумками займутся, тебя найдут и обсудят тему...

Вот исходничек попался - ну нравятся мне такие, от чего не знаю
Rainbow_SandBox_20100315.rar
http://forum.eviloctal.com/attachment.php?aid=14486

| Сообщение посчитали полезным:

Подскажите двиг эмулятора IA-32

-----
Следуй за белым кроликом

| Сообщение посчитали полезным:

в сети посмотрел - вобщем напочитать

http://av-school.ru/article/a-62.html
http://av-school.ru/up/article/file/cpp/x86imul.rar

http://www.eros-os.org/design-notes/IA32-Emulation.html
http://www.eros-os.org/project/build.html

http://cateee.net/lkddb/web-lkddb/IA32_EMULATION.html

а по этому вопросы к тем кто конкретно занимался
http://bochs.sourceforge.net/

| Сообщение посчитали полезным:

Напосмотреть

http://www.rohitab.com/discuss/topic/22609-memory-editor/
memedit_tools.zip 69.33K
http://www.rohitab.com/discuss/app=core&module=attach&section=attach&attach_id=953
• MemEdit2.zip 47.37K
http://www.rohitab.com/discuss/app=core&module=attach&section=attach&attach_id=1015

http://www.brandonfa.lk/ulpm/index.html
http://www.brandonfa.lk/ulpm/ulpm.zip

| Сообщение посчитали полезным:

http://www.autosectools.com/IAT-Hooking-Revisited.pdf
http://code.google.com/p/iat-hooking-revisited/
http://iat-hooking-revisited.googlecode.com/files/IATHookingRevisited.zip

http://www.autosectools.com/Process-Hollowing.pdf
http://code.google.com/p/process-hollowing/downloads/list
http://process-hollowing.googlecode.com/files/ProcessHollowing.zip

и это не помешает
http://sandsprite.com/CodeStuff/Understanding_imports.html
http://sandsprite.com/CodeStuff/impreb.zip
http://sandsprite.com/CodeStuff/IAT_Hooking.html
http://sandsprite.com/CodeStuff/iat_hook.zip

https://github.com/dzzie
http://sandsprite.com/blogs/uid=7&pid=185

https://github.com/dzzie/SysAnalyzer
https://github.com/dzzie/SysAnalyzer/zipball/master

https://github.com/dzzie/HookExplorer
https://github.com/dzzie/HookExplorer/zipball/master

https://github.com/dzzie/MAP
https://github.com/dzzie/MAP/zipball/master

| Сообщение посчитали полезным: SReg

на вудмане углядел
http://www.woodmann.com/collaborative/tools/index.php/KernelSpy
http://www.woodmann.com/collaborative/tools./images/Bin_KernelSpy_2007-10-20_17.23_kernelspyfiles.zip

http://www.codeproject.com/system/kernelspying.asp

| Сообщение посчитали полезным:

[Библиотека для чтения образов Portable Executable]

PE Image For Delphi

Delphi XE2+ library to parse 32/64-bit Portable Executable Images.
Image can be loaded from stream, file or from mapped image. Image can be patched and written back to file.

* 32/64 образы
* образы можно читать из файла, потока, или спроецированного образа в памяти
* проецирование DLL в текущий процесс
* парсит импорт
* парсит экпорт
* парсит релокации
* парсит ресурсы
* читает длинные имена секций COFF
* данные в секциях можно изменять и сохранять обратно в файл
* ребилдинг некоторых таблиц

оверлей
* дамп
* удаление
* приклеивание к другому файлу

портируемость

на данном этапе может быть использована для
* изучения формата
* написания пакеров/протекторов
* написания анпакеров
* написания линкера для вашего компилятора
* создания прокси длл
* ...

Delphi XE2 and higher.

http://code.google.com/p/pe-image-for-delphi/wiki/Overview

http://code.google.com/p/pe-image-for-delphi/

| Сообщение посчитали полезным: HandMill, SReg

Попросили продублировать

Библиотека для работы с Portable Executable (C++)

Основные фичи библиотеки:
[+] Чтение 32-разрядных и 64-разрядных PE-файлов (PE, PE+) для Windows, возможность единообразной работы с обоими форматами
[+] Пересборка 32-разрядных и 64-разрядных PE-файлов
[+] Работа с директориями и заголовками
[+] Конвертирование адресов
[+] Чтение и редактирование секций PE-файла
[+] Чтение и редактирование таблицы импортов
[+] Чтение и редактирование таблицы экспортов
[+] Чтение и редактирование таблиц релокаций
[+] Чтение и редактирование ресурсов
[+] Чтение и редактирование TLS
[+] Чтение конфигурации образа (image config)
[+] Чтение базовой информации .NET
[+] Чтение информации о привязанном импорте
[+] Чтение директории исключений (только PE+)
[+] Чтение отладочной директории с расширенной информацией
[+] Вычисление энтропии
[+] Изменение файлового выравнивания
[+] Изменение базового адреса загрузки
[+] Работа с DOS Stub'ом и Rich overlay
[+] Высокоуровневое чтение ресурсов: картинки, иконки, курсоры, информация о версии, строковые таблицы, таблицы сообщений
[+] Высокоуровневое редактирование ресурсов: картинки, иконки, курсоры, информация о версии

Словом, все, что вы хотели сделать с PE, но боялись спросить, как. Весь код библиотеки снабжен обильными комментариями на английском языке. В проект включено 25 примеров работы с библиотекой, которые показывают, как работать с той или иной частью библиотеки (комментарии на русском языке). Имеются солюшены для MSVC++ 2008 и 2010. Справочной информации пока нет, возможно, соберусь ее как-нибудь написать.

Библиотека не использует WinAPI или другие библиотеки, только STL. Возможно, я когда-нибудь сделаю ее кроссплатформенной, но пока до этого далеко из-за отличия размера типа wchar_t в Windows и Linux (а в PE-файлах очень много юникодных 16-байтовых строк) и некоторых других сложностей.

Библиотека и примеры собираются под Windows x86 и x64, но для того, чтобы работать с PE+, собирать под x64 необязательно. Библиотека не исполняет считываемые файлы, не маппит их в память, поэтому с ее помощью можно спокойно открывать подозрительные исполняемые файлы и работать с ними.

Проект залит на code.google.com на случай возможных правок и улучшений, так как сейчас библиотека в стадии альфа-версии.

Автор: dx
Репозиторий: --> Link <--
Скачать архив с последними сорсами: --> Link <--
Комментарии принимаются тут: --> Link <--

| Сообщение посчитали полезным: HandMill, ximerus

[Движки для установки перехватов]

IHOOK
Движок для установки перехватов
Написан на C
Лицензия GNU LGPL
https://code.google.com/p/ihook/
Последнее обновление: 18.03.2013

| Сообщение посчитали полезным:

exet0l

Этот шлак юзает bea' дизасм. Автор видать полной картины не видит. Дизасм для патча не нужен, необходимо только длину инструкции раскодировать и ветвления. Причём портить код необходимо безопасно - проверить контексты всех тредов на вхождение в изменяемый код и заблокировать создание новых тредов на время патча. Эта поделка такое не делает. А если функа <5 байт(короткое ветвление), тогда что, фейл(давай пропатчи DbgBreakPoint() к примеру лол) ?

Главное что копирайтов больше, чем кода

| Сообщение посчитали полезным:

Dr0p

Подскажите нормальный двиг перехватов для MinGW ?

| Сообщение посчитали полезным:

exet0l

Это вредоносная технология, так что юзать её не следует.

| Сообщение посчитали полезным:

Dr0p пишет:
Это вредоносная технология
Равно как и штатный hotpatch что ли?

| Сообщение посчитали полезным:

Попался на глаза интересный двиг:

Capstone
http://www.capstone-engine.org/index.html

Supported architectures

At the moment, Capstone can (fully, or partially in some cases) disassemble binary for the following hardware architectures.
ARM
Cortex-A15, Cortex-A5, Cortex-A53, Cortex-A57, Cortex-A8, Cortex-A9, crc, crypto, d16, db, fp-armv8, fp16, hwdiv, mp, nacl-trap, neon, neonfp, perfmon, Cortex-r5, swift, t2dsp, t2xtpk, thumb, thumb2, trustzone, armv4t, armv5t, armv5te, armv6, armv6m, armv6t2, armv7, armv8, vfp2, vfp3, vfp4, virtualization.
ARM-64 (aka ARMv8/AArch64)
crypto, fp-armv8, neon.
Mips
dsp, dspr2, fp64, fpidx, micromips, mips32, mips64, msa, n64, swap, vfpu.
X86
3dnow, 3dnowa, x86_64, adx, aes, atom, avx, avx2, avx512cd, avx512er, avx512f, avx512pf, bmi, bmi2, fma, fma4, fsgsbase, lzcnt, mmx, sha, slm, sse, sse2, sse3, sse4.1, sse4.2, sse4a, ssse3, tbm, xop.

| Сообщение посчитали полезным: HandMill

int

Хотпатч тоже зло, это вообще отладочный механизм, верифер это использует. IAT расположена в кодосекции, модификация там ссылок использует шим(Shim) для реализации совместимости между версиями. И это тоже вредоносно. Кстате как под патчгвардом с шимом дела обстоят ?

| Сообщение посчитали полезным:

SReg пишет: Попался на глаза интересный двиг:
Мну его в питоне юзает, уж очень удобный там интерфейс ( имхо ), как и то, что есть готовые биндинги для кучи языков, небольшой размер и open source.

| Сообщение посчитали полезным:

6Мб (3Мб) для обычного дизасма http://redplait.blogspot.ru/2013/12/capstone.html - это небольшой размер?

| Сообщение посчитали полезным:

Archer пишет: 6Мб (3Мб) для обычного дизасма
Собрано в GCC без какой то оптимизации и не отключен рантайм мусор, достаточно посмотреть на секции.
У redplait не увидел, с какими опциями он собирал, что по итогу 3 метра и это 32 бита онли.

| Сообщение посчитали полезным:

Библиотека для работы с Portable Executable (C++)

Написан на C++
https://github.com/JKornev/Monstra
Последнее обновление от 25 Февраля 2014
Блог автора http://k0rnev.blogspot.com тут можно найти развивающийся инструмент PE Compare Tools, назначение которого подобно инструменту CmpDisasm, только с меньшим функционалом но открытыми исходными кодами

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным:

Анализатор кода, дизассемблерные движки

Очередной убийца IDA Pro

Написан на C++
https://github.com/wisk/medusa
Проект активно пилится, цели, задачи проекта и скриншоты на главное странице гитхаба
В общем-то интересен наверное дизасм движками
В поддерживаемых архитектурах: x86/x64, arm, avr и z80
Помимо дизасма есть анализ и построение графов, в перспективе появление отладчика.
Контакты с авторами:
IRC: irc://freenode.net/#medusa_disasm
Twitter: https://twitter.com/medusa_disasm

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным:

Отладочный движок

Написан на C++
https://github.com/GleeBug/GleeBug
Проект активно разрабатывается в рамках проекта x64dbg
Автор небезывестный mrexodia
Блог: http://mrexodia.cf
Twitter: https://twitter.com/mrexodia

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным:

Zyan Disassembler Engine (Zydis)

Features
Supports all x86 and x86-64 (AMD64) General purpose and System instructions.
Supported ISA extensions:
- MMX, FPU (x87), AMD 3DNow
- SSE, SSE2, SSE3, SSSE3, SSE4.1, SSE4.2, AES,
- AMD-V, INTEL-VMX, SMX
Optimized for high performance
Very small overhead compared to other common disassembler libraries (about 60KiB)
Abstract formatter and symbol-resolver classes for custom syntax implementations.
Intel syntax is implemented by default
Complete doxygen documentation

--> Link <--

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным: HandMill, Illuzion

[Движки для установки перехватов]

---
Deviare
Deviare is a professional hooking engine for instrumenting arbitrary Win32 functions, COM objects, and functions which symbols are located in program databases (PDBs). It can intercept unmanaged code in 32-bit and 64-bit applications. It is implemented as a COM component, so it can be integrated with all the programming languages which support COM, such as C/C++, VB, C#, Delphi, and Python.
Написан на c++
SDK поддерживает C/C++, VB, C#, Delphi, and Python
Лицензия GPL
Исходные коды: https://github.com/nektra/Deviare2
Связь с автором: http://www.nektra.com/contact

---
Deviare In-Proc
Unlike the rest of the libraries, Deviare In-Proc provides a safe mecanism to implement multi-threaded application API hooking. When an application is running, more than one thread can be executing the code being intercepted. Deviare In-Proc provides safe hooking even in this scenario. Deviare In-Proc Supports .NET Hooking
Написан на c++
SDK поддерживает C/C++, C#, ?
Лицензия GPL
Запись в блоге автора
Исходные коды: https://github.com/nektra/Deviare-InProc
Связь с автором: http://www.nektra.com/contact

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным:

Кто в теме, подскажите, проект beaengine загнулся?
Сайт http://www.beaengine.org/ в дауне
На сайте http://beatrix2004.free.fr/BeaEngine/index1.php в Historic and news последнее обновление от ноября 2009
PS может переехали куда?

| Сообщение посчитали полезным:

ну то временно, гит хаб то живой https://github.com/BeaEngine

| Сообщение посчитали полезным:

Unicorn CPU emulator engine --> Link <--

Unicorn is a lightweight multi-platform, multi-architecture CPU emulator framework.
Highlight features:
- Multi-architectures: Arm, Arm64 (Armv8), M68K, Mips, PowerPC, Sparc, & X86 (include X86_64).
- Clean/simple/lightweight/intuitive architecture-neutral API.
- Implemented in pure C language, with bindings for Python, Java, Go & .NET available.
- Native support for Windows & *nix (with Mac OSX, Linux, *BSD & Solaris confirmed).
- High performance by using Just-In-Time compiler technique.
- Support fine-grained instrumentation at various levels.
- Thread-safe by design.
- Distributed under open source license.


| Сообщение посчитали полезным: HandMill, DenCoder, SReg

[Промежуточное представление кода]

OpenREIL
Открытая реализация транслятора и инструментов для технологии REIL.
Библиотека написана на C++, API поддерживает C, Python.
GNU General Public License
https://github.com/Cr4sh/openreil
Блог автора проекта blog.cr4.sh

[Доказательство теорем]

Что такое SAT?
Что такое SMT?

Z3
Фреймворк для доказательства теорем
Написан на C++, API поддерживает .NET, C, C++, Java, OCaml, Python.
MIT License
https://github.com/Z3Prover/z3
Разработчики - Microsoft Research, официальная страница проекта, wiki
Tutorial
Алгебраический криптоанализ [eng]
Видеолекция [eng]
Keygenning using the Z3 SMT Solver [eng]

MiniSat
Решение задач выполнимости формул в теориях
Написан на C++, API поддерживает C/C++/Haskell
http://minisat.se
Ссылки к авторам расположены на офсайте

Интересная толстая статья, с кучей интересных ссылок и практичными примерами использования для исследования кода: http://yurichev.com/tmp/SAT_SMT_DRAFT.pdf

STP: Simple Theorem Prover
STP is a constraint solver (or SMT solver) aimed at solving constraints of bitvectors and arrays.
Написан на C++, API поддерживает C++, Python.
http://stp.github.io

Yices 2
Yices 2 is an SMT solver that decides the satisfiability of formulas containing uninterpreted function symbols with equality, real and integer arithmetic, bitvectors, scalar types, and tuples.
Написан на C, API поддерживает C.
EULA
http://yices.csl.sri.com
To report a bug, send an e-mail to yices-bugs@csl.sri.com.

Google Optimization Tools, or-tools
Google's software suite for combinatorial optimization
Написан на C++, API поддерживает C++, через SWIG, Python, Java и .NET.
Apache License, Version 2.0
https://developers.google.com/optimization

CryptoMiniSat
an advanced SAT solver
Написан на C++, API поддерживает C/C++, Python.
GNU LESSER GENERAL PUBLIC LICENSE, Version 2.1
https://github.com/msoos/cryptominisat

Boolector
Boolector is an efficient SMT solver for the quantifier-free theory of bit-vectors in combination with the quantifier-free extensional theory of arrays.
Написан на C, API поддерживает C/C++, Python, частично Haskell.
License does not allow to be used in a commercial context.
http://fmv.jku.at/boolector

[Дизассемблеры]

UnivDisasm
UnivDisasm is a powerful x86 disassembler and opcodes analyzer library for x86 architectures.
Написан на Delphi, в примерах используется тоже только в Delphi
https://github.com/Pigrecos/UnivDisasm

[Генераторы кода, ассемблеры]

DCodeGen
Assembly Code Generator(Compiler File or Single asm Command)
Написан на Delphi, в примерах используется тоже только в Delphi
https://github.com/Pigrecos/D_CodeGen

AsmJit
Complete x86/x64 JIT and Remote Assembler for C++
Написан на C++, в примерах используется тоже только в C++
https://github.com/kobalicek/asmjit
Permissive ZLIB license
Связь с автором: Petr Kobalicek [ kobalicek.petr@gmail.com ]
Видео практики использования

Keystone
Keystone is a lightweight multi-platform, multi-architecture assembler framework.
Написан на C/C++, с биндингами для Python, NodeJS, Ruby, Go и Rust.
Офсайт проекта: http://www.keystone-engine.org
Репозиторий кода: https://github.com/keystone-engine/keystone

Fasm.NET
A managed wrapper to use FASM compiler from .NET applications.
Написан на C++/CLI, SDK поддерживает платформу .NET
MIT LICENSE
https://github.com/ZenLulz/Fasm.NET

[Движки для установки перехватов]

PolyHook
Provides abstract C++ 11 interface for various hooking methods
Написан на C++, SDK поддерживает C++
Mit License
https://github.com/stevemk14ebr/PolyHook

UniHook
Intercept arbitrary functions at run-time, without knowing their typedefs
Написан на C++, SDK поддерживает C++
Mit License
https://github.com/stevemk14ebr/UniHook

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным: DenCoder, Electric Wind

HandMill пишет:
AsmJit
порт на дельфи

d808_26.03.2016_EXELAB.rU.tgz - DAsmJit.rar

| Сообщение посчитали полезным: HandMill, Electric Wind, VodoleY

[Движки для символьных операций]

KLEE
KLEE is a symbolic virtual machine built on top of the LLVM
Написан на C/C++
UIUC open source license
http://klee.github.io

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным: