Detect It Easy утилита для определения версии протекторов/ упаковщиков

Текущая версия 1.00





Здесь будут выкладываться последние наработки.

Скачать

Changelog
GITHUB

Приветствуются замечания. Сообщения о ложных срабатываниях. Новые идеи.

Если я долго отсутствую на форуме или не отвечаю в ЛС, пишите мне на horsicq[at]gmail.com

-----
http://ntinfo.biz

| Сообщение посчитали полезным: Hellspawn, _ruzmaz_, 4kusNick, ==DJ==[ZLO], mushr00m, Diabolic, daFix, Dazz, void, BAHEK, -Sanchez-, SergeyIvan, vnekrilov, dimka_new, stas_02, crc1, Grim Fandango, GPcH, DimitarSerg, ylproduction, DenCoder, Jim DiGriz, ClockMan, VAD87, DICI BF, Chris, Black_, HandMill, MasterSoft

hors
Скажите, а плагин SDK в каком-то виде планируете добавить? И плагины вообще?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL пишет:
hors
Скажите, а плагин SDK в каком-то виде планируете добавить? И плагины вообще?

Да, плагины планируются. В виде всеми любимых скриптов.
В SDK я могу добавить практически любую функцию для вызова из скриптов, нужно только примерное описание, что она должна делать.
Писать плагины в виде скриптов намного легче и быстрее, чем компилировать их в виде dll.
Также планируется сделать возможность шифрование скриптов несимметричным шифром, для тех, кто хочет делать плагины, но не хочет чтобы их код был в открытом виде.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Эммм, тогда логичный вопрос, а как софтина будет исполнять зашифрованные скрипты? Или их вполне себе перед выполнением можно будет дёрнуть в расшифрованном виде (скорее так и будет)? Или там гомоморфное шифрование? И нужно ли особо тогда их шифровать?

| Сообщение посчитали полезным:

Archer пишет:
Эммм, тогда логичный вопрос, а как софтина будет исполнять зашифрованные скрипты? Или их вполне себе перед выполнением можно будет дёрнуть в расшифрованном виде (скорее так и будет)? Или там гомоморфное шифрование? И нужно ли особо тогда их шифровать?

Каждый зашифрованный скрипт будет перед выполнением по отдельности расшифровываться в памяти и выполняться. Конечно можно, поставив точку останова на месте расшифровки, посмотреть код. Это защита от дураков. (95 %). Но полученный таким образом код будет еще и обфусцирован. Пример вот --> Link <--
Конечно, при должном желании, навыках и усидчивости, можно разобрать и такую обфускацию.
Но при желании, навыках и усидчивости можно декомпилировать и разобрать также и длл.

А нужно или не нужно таким образом шифровать, каждый решит для себя сам.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hors
Мне кажется, что вам не стоит заморачиваться с шифрованием и обфускацией. Хорошего анализатора достаточно. Если в нём ещё будут плагины - это вообще выше всяких похвал.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным: hors

ARCHANGEL пишет:
hors
Мне кажется, что вам не стоит заморачиваться с шифрованием и обфускацией. Хорошего анализатора достаточно. Если в нём ещё будут плагины - это вообще выше всяких похвал.

Тоже верно. Но если кому-то очень нужна будет обфускация, то добавлю и её.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Вышла alpha 8

[+] Оптимизирована библиотека для работы со скриптами.
[+] Улучшен детект tElock (==DJ==[ZLO])
[+] Улучшен детект Inno Setup Module (==DJ==[ZLO])
[+] Улучшен детект VMProtect (ajax)
[+] Улучшен расчет энтропии (hypn0)
[+] Изменён HASP HL Protection на HASP HL/SRM Protection (ajax)
[+] Добавлен алгоритм расчета энтропии из IDA Entropy Plugin v0.1 (ajax)

-----
http://ntinfo.biz

| Сообщение посчитали полезным: mushr00m

hors, нельзя ли сделать так чтобы сигну определял после драгндропа или добавления через диалог? как в пеиде.

| Сообщение посчитали полезным: hors

mushr00m пишет:
hors, нельзя ли сделать так чтобы сигну определял после драгндропа или добавления через диалог? как в пеиде.

Options -> "Scan After Open"

-----
http://ntinfo.biz

| Сообщение посчитали полезным: mushr00m

Вышла alpha 9

[+] Оптимизирована библиотека для работы со скриптами.
[+] Добавлен простой просмотрщик ресурсов.
[+] Улучшен детект Unopix (==DJ==[ZLO])
[+] Улучшен детект Watcom (==DJ==[ZLO])
[+] Улучшен детект PEPack (==DJ==[ZLO])
[+] Упрощен интерфейс(все основные значения выведены на главную панель) (hypn0)
[+] Для PE-файлов показывается "Version Info" (hypn0)
[+] Исправлена ошибка, когда файл после сканирования занят программой (==DJ==[ZLO])

-----
http://ntinfo.biz

| Сообщение посчитали полезным: mushr00m

hors
1. добавь копирование информации из полей компилер и линкер.
2. copy as -> Copy as
3. Basic info.... пользоватся просто нереально(



выглядит ужасно, пользоваться можно только бухим)

4. кто-то уже говорил, комбай не нуженю. не нужны эти редактирования всякие, только отвлекают
5. сделай в опция, режим запуска только одной копии
6. просмотр импорта, по высоте широкие уж больно итемы
6.1. почему такие паузы при выборе длл?
6.2. сюда тоже добавить копирование
7. не хватает кое-где иконок в интерфейсе
8. когда региться будем в контекстное меню?
9. я считаю, что дублировать кнопки импорт и ресурсы во вкладке Basic inf.... не нужно. как раз и место больше будет.
10. хинты нужны везде

-----
[nice coder and reverser]

| Сообщение посчитали полезным: hors

Hellspawn Спасибо за тестирование, добавил в TODO

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Hellspawn пишет:
7. не хватает кое-где иконок в интерфейсе

Ну кому-то нужны иконки, а кому - то не особо(как лично мне). Чтобы был компромисс буду делать прикручиваемые скины. Кого-то интерфейс наподобие Fastscanner и RDG Packer Detector сильно раздражает, а кому-то наоборот нравится, а так можно будет охватить обе целевые аудитории.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Вышла alpha 10

[+] Изменено "copy as" на "Copy as" (Hellspawn)
[+] Добавлена возможность копирования информации из полей компилер и линкер (Hellspawn)
[+] Убраны дубликаты некоторых кнопок (Hellspawn)
[+] Улучшен интефейс "Basic info" (Hellspawn)
[+] Добавлено определение MPRESS (ajax)
[+] Упрощен интефейс "Basic info" (Hellspawn)
[+] Просмотрщик импорта сделан более компактным (Hellspawn)
[+] Убраны паузы при выборе библиотек в импорте (Hellspawn)
[+] Добавлено копирование в просмотрщике импорта (Hellspawn)
[+] Сделаны всплывающие подсказки на кнопках во всех диалоговых окнах (Hellspawn)
[+] Добавлена возможность менять стандартный стили QT и загружать пользовательские скины на основе QSS
[+] Добавлена регистрация в контекстном меню для exe, dll, sys файлов (Hellspawn)
[+] Опция запуска только одной копии (Hellspawn)
[+] Добавлена возможность запуска из командной строки. "die.exe file" или "die.exe folder" (hypn0)

-----
http://ntinfo.biz

| Сообщение посчитали полезным: ARCHANGEL, mushr00m, ClockMan

hors
О, скины, плюсую за скины. Вот, вроде бы, мелочь, а приятно. Вопрос немного не по теме анализатора, как вы изучали Qt? А то вот купил я себе книгу, и, вроде бы, почитываю, и, как бы, понятно всё, но кодить что-то как-то не навернусь. Просто интересно, как это удалось другим людям?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным: hors

ARCHANGEL пишет:
О, скины, плюсую за скины. Вот, вроде бы, мелочь, а приятно. Вопрос немного не по теме анализатора, как вы изучали Qt? А то вот купил я себе книгу, и, вроде бы, почитываю, и, как бы, понятно всё, но кодить что-то как-то не навернусь. Просто интересно, как это удалось другим людям?

Самое простое, это поставить перед собой задачу написать какую-то программу, а уже по ходу процесса изучать тонкости, но только те, которые нужны для реализации поставленных задач. А без практики можно изучать теорию всю жизнь и все без толку.
Плюс QT это то, что есть официальная подробная и понятная документация на всё.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Вышла alpha 11

[+] Доделана проверка обновления через интернет.
[+] Исправлена критическая ошибка при определении Version Info некоторых файлов (ajax)
[+] Доработано сообщение[Error]Invalid RVA в логе для упакованных ресурсов (ajax)
[+] Улучшено определение HASP 4/HL x32 (ajax)
[+] Улучшено определение Molebox (==DJ==[ZLO])

-----
http://ntinfo.biz

| Сообщение посчитали полезным: mushr00m

1. измени этот страшный зелено-черный стиль по дефолтку. мне лично понравился orange + vista, но



лишние бордеры нужно убрать, не только в этом окне.

2. убери [ и ] в заголовках табов, они не нужны.
3. хинтам побольше сделай таймаут, а то они сразу выпрыгивают
4. зачем таб Log? в него что-нить пишется?



попап выпадает ниже чем нужно.
добавь копирование инфы о секциях

-----
[nice coder and reverser]

| Сообщение посчитали полезным: hors, esa_r, mushr00m

Hellspawn Спасибо за тестирование. Добавил в TODO.
А в log пишутся все ошибки, возникшие при обработке файлов. Например если ресурсы пожаты, то будут выводиться соответствующие сообщения.

-----
http://ntinfo.biz

| Сообщение посчитали полезным: ==DJ==[ZLO]

Приветствую.
1) Не сохраняет диаграмму.
2) В папках со скинами khaki и xz непонятные файлы картинок или удалить или исключить.
То Hellspawn доработал как смог скин orange (простите за много оранжевого сгладил другими колорами) в аттаче.




2c28_22.02.2013_EXELAB.rU.tgz - qss.rar

| Сообщение посчитали полезным: hors

==DJ==[ZLO] пишет:
Приветствую.
1) Не сохраняет диаграмму.
2) В папках со скинами khaki и xz непонятные файлы картинок или удалить или исключить.

Спасибо за тестирование. Добавил в TODO.
==DJ==[ZLO] пишет:
То Hellspawn доработал как смог скин orange (простите за много оранжевого сгладил другими колорами) в аттаче.

Отлично! Добавлю в следующий релиз.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

ещё вариант, растягивать итемы (компилер, линкер) по ширине всего окна, для них предназначенного. когда появляется вертикальный скролбар, соотв уменьшать. ну или сразу скролбар воткнуть и пусть будет

-----
[nice coder and reverser]

| Сообщение посчитали полезным: hors

Hellspawn пишет:
ещё вариант, растягивать итемы (компилер, линкер) по ширине всего окна, для них предназначенного. когда появляется вертикальный скролбар, соотв уменьшать. ну или сразу скролбар воткнуть и пусть будет

Спасибо за тестирование. Добавил в TODO.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Вышла alpha 12

[+] Стиль изменен по умолчанию на Orange (Hellspawn)
[+] Убраны бордеры в таблице(Hellspawn)
[+] Изменены координаты выпадающего меню (Hellspawn)
[+] Добавлена возможность копирования информации из таблицы секций по правому клику или "Ctr+C" (Hellspawn)
[+] Изменен таймаут для хинтов(1 сек)(Hellspawn)
[+] Исправлена ошибка с сохранением диаграммы (==DJ==[ZLO])
[+] Удалены лишние файлы из папки со скинами (==DJ==[ZLO])
[+] Добавлена новая тема "evilorange" от ==DJ==[ZLO]
[+] Библиотека qwt обновлена до версии 6.0.2
[+] Вертикальный скроллбар в окне результатов(Hellspawn)

-----
http://ntinfo.biz

| Сообщение посчитали полезным: ==DJ==[ZLO], mushr00m

В следующем релизе попробую прикрутить плагины. А так как они будут на скриптах, отлаживать их в обычном отладчике не получится. Надо будет думать в сторону встроенного отладчика.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hors
Есть файлик его детектят как MASM-TASM тот же Detect it Easy 0.65.
В этом сабже детекта нет, только линкер MinGW(2.50)[EXE32].
Хотя ассемблер JWasm и линкер Polink.

ПС:Файл как пример, своих функций по сабжу в заголовке не делает.



78b7_27.02.2013_EXELAB.rU.tgz - AdAware Killer.exe

| Сообщение посчитали полезным: hors

ADMIN-CRACK пишет:
hors
Есть файлик его детектят как MASM-TASM тот же Detect it Easy 0.65.
В этом сабже детекта нет, только линкер MinGW(2.50)[EXE32].
Хотя ассемблер JWasm и линкер Polink.

ПС:Файл как пример, своих функций по сабжу в заголовке не делает.



78b7_27.02.2013_EXELAB.rU.tgz - AdAware Killer.exe


Спасибо за тестирование. Добавил в TODO.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Доделал поддержку плагинов и встроенный отладчик для их отладки.
Единственно, лучше, когда им пользуешься, отключать скины, так как уж больно вырвиглазное получается.



Новую сборку (alpha 13) выложу в субботу вечером, так как к этому времени хочу сделать полноценный плагин - который бы проверял поля PE заголовка на правильность. Но для этого нужны дополнительные исследования различных файлов. Буду отталкиваться от MS linker. Была такая программа Tauscanner, я для неё даже писал как-то поддержку питоновских скриптов, но сейчас она умерла и не развивается.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Вышла alpha 13

[+] Добавлена опция "Show errors" вывод/ отмена вывода сообщений об ошибках (==DJ==[ZLO])
[+] Улучшено определение Obsidium (==DJ==[ZLO])
[+] Добавлено определение DXPack Packer 1.0 (==DJ==[ZLO])
[+] Добавлено определение polink (ADMIN-CRACK)
[+] Добавлено определение generic assembler (ADMIN-CRACK)
[+] Добавлена поддержка плагинов

-----
http://ntinfo.biz

| Сообщение посчитали полезным: mushr00m