Detect It Easy утилита для определения версии протекторов/ упаковщиков

Текущая версия 1.00





Здесь будут выкладываться последние наработки.

Скачать

Changelog
GITHUB

Приветствуются замечания. Сообщения о ложных срабатываниях. Новые идеи.

Если я долго отсутствую на форуме или не отвечаю в ЛС, пишите мне на horsicq[at]gmail.com

-----
http://ntinfo.biz

| Сообщение посчитали полезным: Hellspawn, _ruzmaz_, 4kusNick, ==DJ==[ZLO], mushr00m, Diabolic, daFix, Dazz, void, BAHEK, -Sanchez-, SergeyIvan, vnekrilov, dimka_new, stas_02, crc1, Grim Fandango, GPcH, DimitarSerg, ylproduction, DenCoder, Jim DiGriz, ClockMan, VAD87, DICI BF, Chris, Black_, HandMill, MasterSoft

Уважаемый Hors Извините пожалуйста , есть несколько вопросов к Вам :
1-вое. Как уже говорилось выше с цифрами проект не станет "!лучше!" либо станет. Скажите кому в дальнейшем будет передан проект ?
Может возможно надо как нибудь оформлять файл "его сигнатуру(пример Запросы на Взлом/Исследование на ... по подпурктиврно - (туфтология ппц.)
Хоть как то облегчить "работу" .
Hellspawn о своем детище помнит...
Назовите к кому взывать потом после передачи проекта? (Двиг Новый...Вы, уходите - "Наверное устали, морально, нет команды, нет поддержки, нет единомышленников? Может есть маневр спросить/попросить людей. (хотя я думаю они есть - но вариант.) здесь на Краклабе проекте много кто выкрикивал "Готов" "Хочу" "Буду" ... но все подвисало (висло) на том-же Дебагере.
2. hors Вы ,проделали титаническую работу. Как человек я снимаю перед Вами шляпу, потому что вы находите свободное время для анализа и компиляции.
Ведя инструмент на (я не побоюсь этого слова) новый уровень сцены. Но все те кто (в том числе и я) возможно слали Вам в в личку либо сюда файлы (В уж простите) не нужного характера. Которые не детектились - в DiE.
Хотелось бы ответов на счет проекта.
Спасибо за ранее.
--------------------------------
Может есть маневр словесного "поноса" сотрите.

| Сообщение посчитали полезным: hors, Hellspawn

==DJ==[ZLO], спасибо за вопрос и за внимание к судьбе проекта.

Судя по темпам(новая версия выходит чуть чаще чем в месяц) финальная и окончательная версия выйдет не ранее чем через год. И будем надеяться, что за это время проект станет таким хорошим, что улучшать его уже не будет смысла.
Разве что добавлять новые сигнатуры. Необходимые инструменты для удобного добавления сигнатур уже разрабатываются и улучшаются.
Так что особо беспокоиться не стоит.

==DJ==[ZLO] пишет:
Скажите кому в дальнейшем будет передан проект ?

Скорее всего исходники станут OpenSource.

==DJ==[ZLO] пишет:
Назовите к кому взывать потом после передачи проекта?

В крайнем случае можно будет обратиться ко мне.

==DJ==[ZLO] пишет:
Наверное устали, морально, нет команды, нет поддержки, нет единомышленников?

Нет, не устал. Есть четкий план развития проекта и я ему следую. Поддержку и конструктивную критику я очень ценю. И очень благодарен людям(включая Вас), которые помогали и помогают проекту.

==DJ==[ZLO] пишет:
Вы ,проделали титаническую работу. Как человек я снимаю перед Вами шляпу, потому что вы находите свободное время для анализа и компиляции.
Ведя инструмент на (я не побоюсь этого слова) новый уровень сцены.

Спасибо.

-----
http://ntinfo.biz

| Сообщение посчитали полезным: ==DJ==[ZLO], Hellspawn

==DJ==[ZLO] улыбнул ваш пост проект не бросим) Die не может умереть, не смотря на название. Я думаю, когда релизнется файнал версия, то уровень сорцов будет весьма приличным и сообщество сможет поддерживать проект в актуальном состоянии.

-----
[nice coder and reverser]

| Сообщение посчитали полезным: hors, ==DJ==[ZLO], mushr00m

Мужики спасибо!
Еще раз перечитал, что написал - действительно вызывает паничискую улыбку
пысы
Значит будем "пилить"

| Сообщение посчитали полезным: hors

Вышла 0.84

[+] Исправлены некоторые ошибки
[+] Добавлена поддержка нативных плагинов (BoRoV)
[+] Улучшено определение BeRo DLL Linker Compressor v1.0 byBeRo(4kusNick)
[+] Улучшено определение .Net Reactor (BoRoV)
[+] Улучшен вид окна "Thanks" (BoRoV)
[+] Добавлено определение Spoon Studio (GMAP)

-----
http://ntinfo.biz

| Сообщение посчитали полезным: void, ==DJ==[ZLO], mushr00m, Dazz, BoRoV, crc1

Вышла 0.85

[+] Исправлены некоторые ошибки
[+] Исправлена ошибка, когда надписи в графике накладываются (void)
[+] Добавлены определения известных архивов (ajax)
[+] Добавлена возможность копирования сигнатур (hypn0)
[+] Добавлено определение EXE32pack (==DJ==[ZLO])
[+] Добавлен новый тип "Text" (Jason Hood)
[+] Добавлены некоторые новые сигнатуры (Levis)
[+] Добавлены новые возможности в консольной версии (Jason Hood)

-----
http://ntinfo.biz

| Сообщение посчитали полезным: void, mushr00m

Я опять про юзабилити
Форма энтропии выглядит просто замечательно сейчас


А вот если растянуть форму, то не очень красиво\информативно выходит, может сделать размер с секциями фиксированым, как на первой пикче, а график энтропии расширять?


-----
xchg dword [eax], eax

| Сообщение посчитали полезным: hors

void пишет:
А вот если растянуть форму, то не очень красиво\информативно выходит, может сделать размер с секциями фиксированым, как на первой пикче, а график энтропии расширять?

Спасибо за тестирование. Добавил в TODO.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Извиняюсь перед Хорсом за резкие слова, возможно возникло недопонимание из за языкового барьера.
Но сторонним участникам советую не вмешиваться, мы люди взрослые и сами урегулируем конфликт.

| Сообщение посчитали полезным: hors

F_a_u_s_t пишет:
Извиняюсь перед Хорсом за резкие слова, возможно возникло недопонимание из за языкового барьера.
Но сторонним участникам советую не вмешиваться, мы люди взрослые и сами урегулируем конфликт.

Ну раз такое дело, то тоже приношу извинение за возможно невзвешенные ответные действия.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hors пишет: Ну раз такое дело, то тоже приношу извинение за возможно невзвешенные ответные действия.

Вроде бы взрослые люди, стало быть замяли.

| Сообщение посчитали полезным:

.Net Reactor 4.8 детектится как Babel

--> Link <--

| Сообщение посчитали полезным: hors

Airenikus пишет:
.Net Reactor 4.8 детектится как Babel

Спасибо за тестирование. Добавил в TODO.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Вышла 0.86

[+] Исправлены некоторые ошибки
[+] Для энтропии сделана фиксированная ширина таблицы секций (void)
[+] Ревизия всех сигнатур(Jason Hood)
[+] Исправлены ошибки при сканировании некоторых нестандартных файлов(deniskore)
[+] Добавлена возможность поиска криптосигнатур [Search->Crypto]
[+] Открыт репозиторий для сигнатур https://github.com/horsicq/Detect-It-Easy
[+] Scan Engine в виде отдельной dll http://ntinfo.biz/files/diedll.zip

-----
http://ntinfo.biz

| Сообщение посчитали полезным: void, mushr00m

пулл реквесты будешь принимать?

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным: hors

BoRoV пишет:
пулл реквесты будешь принимать?

Конечно.

-----
http://ntinfo.biz

| Сообщение посчитали полезным: BoRoV

Сайт ntinfo.biz не работает.

| Сообщение посчитали полезным: hors

ProstoAndrey пишет:
Сайт ntinfo.biz не работает.

Спасибо за сигнал. Сейчас вроде всё работает.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Вышла 0.87

[+] Переход на Qt 4.8.6
[+] github: https://github.com/horsicq/Detect-It-Easy
[+] e-mail для багрепортов: horsicq[at]gmail.com
[+] Исправлены некоторые ошибки
[+] Изменена структура сигнатур. Во избежание проблем совместимости со старыми версиями, не распаковывайте архив в папку со старой версией DIE!
[+] Обновлена документация(папка SDK программы)
[+] Сделать показ и разбор Microsoft's Rich Signature [PE->Stub->Rich](ajax)
[+] Улучшено определение PE:.Net Reactor 4.8 (Airenikus)
[+] Улучшено определение PE:Confuser
[+] Улучшено определение PE:VMP
[+] Улучшено определение PE:Themida
[+] Улучшено определение PE:Delphi
[+] Улучшено определение PE:MinGW
[+] Улучшено определение PE:Cab SFX(Jason Hood)
[+] Улучшено определение Binary:Shell scripts(Jason Hood)
[+] Улучшено определение ELF:Qt
[+] Добавлено определение PE:wxWidgets(Jason Hood)
[+] Улучшено определение PE:FASM(Jason Hood)
[+] Улучшено определение PE:MVC(Jason Hood)
[+] Улучшено определение PE:Watcom(Jason Hood)
[+] Улучшено определение ELF:gcc
[+] Улучшено определение PE:DeepSea
[+] Улучшено определение PE:RLPack(Jason Hood)
[+] Добавлено определение PE:NTKrnl protector

-----
http://ntinfo.biz

| Сообщение посчитали полезным: void, Hellspawn, SReg, DICI BF, mushr00m, ==DJ==[ZLO], 4kusNick

В следующей версии будет особенно много сигнатур для MS-DOS.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

а анпакер вмпрота когда в нём появится?

| Сообщение посчитали полезным: hors

reversecode пишет:
а анпакер вмпрота когда в нём появится?

Анпакер вмпрота работает с DebugAPI, а если делать плагин для DIE, то желательна кроссплатформенность.

Поэтому пока ничего определенного сказать не могу.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

а что делать с распаковщиками завязанными на линуксу ? а с завязанными на мак ось?

| Сообщение посчитали полезным:

reversecode пишет:
а что делать с распаковщиками завязанными на линуксу ? а с завязанными на мак ось?

С ними такая же история.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Вышла 0.88

[+] github: https://github.com/horsicq/Detect-It-Easy
[+] e-mail для багрепортов: horsicq[at]gmail.com
[+] Исправлены некоторые ошибки.
[+] Обновлена документация.
[+] Добавлено более 100 сигнатур для MS DOS.
[+] Все MS DOS сигнатуры были тщательно проверены на реальных образцах.
[+] Огромная благодарность Hypn0 за помощь и файлы из личного архива.

-----
http://ntinfo.biz

| Сообщение посчитали полезным: void, mushr00m

Немного юзабилити.



В окне импорта в поле либ и функций включить RowSelect. Чтобы при выборе выделялась вся строка. В окне экспорта тоже можно так сделать.

-----
xchg dword [eax], eax

| Сообщение посчитали полезным: hors

void пишет:
В окне импорта в поле либ и функций включить RowSelect. Чтобы при выборе выделялась вся строка. В окне экспорта тоже можно так сделать.

Отличная идея. Добавил в TODO.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Themida не определяется правильно

--> Link <--

| Сообщение посчитали полезным: hors

Apocalypse пишет:
Themida не определяется правильно


Спасибо за тестирование. Добавил в TODO

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Кстати с появлением гитхаба для DIE работа по добавлению новых сигнатур пошла намного веселее. --> Link <--

Кто хочет добавиться в качестве контрибутора или есть какие вопросы, пишите на horsicq[at]gmail.com, не стесняйтесь.

-----
http://ntinfo.biz

| Сообщение посчитали полезным: Hellspawn