Detect It Easy утилита для определения версии протекторов/ упаковщиков

Текущая версия 1.00





Здесь будут выкладываться последние наработки.

Скачать

Changelog
GITHUB

Приветствуются замечания. Сообщения о ложных срабатываниях. Новые идеи.

Если я долго отсутствую на форуме или не отвечаю в ЛС, пишите мне на horsicq[at]gmail.com

-----
http://ntinfo.biz

| Сообщение посчитали полезным: Hellspawn, _ruzmaz_, 4kusNick, ==DJ==[ZLO], mushr00m, Diabolic, daFix, Dazz, void, BAHEK, -Sanchez-, SergeyIvan, vnekrilov, dimka_new, stas_02, crc1, Grim Fandango, GPcH, DimitarSerg, ylproduction, DenCoder, Jim DiGriz, ClockMan, VAD87, DICI BF, Chris, Black_, HandMill, MasterSoft

Уточнение. В Окне Sections проверка секций на упакованость проверяется по средствам энтропии, я думаю. Может после столбца Packed добавить еще столбец Entropy с текущим значением энтропии? Ну и при открытии формы сразу проверять на упакованость

-----
xchg dword [eax], eax

| Сообщение посчитали полезным: hors

Спасибо за тестирование.

void пишет:
Уточнение. В Окне Sections проверка секций на упакованость проверяется по средствам энтропии, я думаю

Да.

void пишет:
Может после столбца Packed добавить еще столбец Entropy с текущим значением энтропии?

Добавил в TODO.

void пишет:
Ну и при открытии формы сразу проверять на упакованость

Добавил в TODO.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Если открыть ярлык через диалог открытия, то все норм. А если драг'н'дропнуть ярлык на форму, то ДиЕ пытается анализировать ярлык


Ну и вкладку Plugins я бы переименовал в Scripts, все таки так правильнее будет

-----
xchg dword [eax], eax

| Сообщение посчитали полезным: hors

void пишет:
Если открыть ярлык через диалог открытия, то все норм. А если драг'н'дропнуть ярлык на форму, то ДиЕ пытается анализировать ярлык

Спасибо за тестирование.

Добавил в TODO.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Личка глючит =\
1)Добавь в консольную версию вывод энтропии по файлу. А то бывает ложное срабатывание или не определит, а по энтропии можно понять.
2) Насчет энтропии, может добавить проверку после анализа? К примеру, если анализ ничего не дал, пакер\прот не определился, а энтропия >7, то файл 99% имеет сжатые данные, а это или пакер или в оверлее\ресурсах\секции с данными хранятся жатые данные

-----
xchg dword [eax], eax

| Сообщение посчитали полезным: hors

void пишет:
1)Добавь в консольную версию вывод энтропии по файлу. А то бывает ложное срабатывание или не определит, а по энтропии можно понять.
Спасибо за тестирование.

Добавил в TODO.

void пишет:
2) Насчет энтропии, может добавить проверку после анализа? К примеру, если анализ ничего не дал, пакер\прот не определился, а энтропия >7, то файл 99% имеет сжатые данные, а это или пакер или в оверлее\ресурсах\секции с данными хранятся жатые данные

Интересная идея, подумаю как это можно реализовать.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Буду для наглядности добавлять в TODO реализованные пункты.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

void пишет:
Ну и вкладку Plugins я бы переименовал в Scripts, все таки так правильнее будет

Только сейчас заметил этот пункт. Спасибо. Добавил в TODO

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Вышла 0.74

[+] Добавлена колонка Entropy в таблице секций (void)
[+] Добавлена возможность сразу сканировать энтропию секций(опция в настройках) (void)
[+] Исправлена ошибка при Drag'n'Drop ярлыков (void)
[+] Добавлено определение VMware ThinApp (void)
[+] Оптимизирована обработка экспорта (void)
[+] Исправлена ошибка импорта, когда несколько библиотек с одинаковым именем (void)
[+] Оптимизирован расчет энтропии(опция в настройках) (void)
[+] Улучшено определение MS Visual Studio (void)
[+] Добавлено в консольную версию определение энтропии (void)
[+] Улучшено определение Asprotect (==DJ==[ZLO])
[+] Добавлена информацию о kkrunchy (==DJ==[ZLO])
[+] Улучшено определение Private EXE protector 4.0-4.12 (ajax)
[+] Добавлено определение UPX 3.x для ELF (ajax)
[+] Изменено название вкладки "Plugins" на "Scripts" (void)

-----
http://ntinfo.biz

| Сообщение посчитали полезным: mushr00m

hors пишет: [+] Исправлена ошибка при Drag'n'Drop ярлыков (void)
Точно исправлена? или не чавчем?
Под вин7 то, что лежит в програмфилес почемуто с ярлыка определяется как програм филес х86

| Сообщение посчитали полезным: hors

user_ пишет:
Под вин7 то, что лежит в програмфилес почемуто с ярлыка определяется как програм филес х86

Не совсем понятно в чем проблема. Файл открывается при Drag'n'Drop ярлыка или нет?

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hors пишет: Не совсем понятно в чем проблема.
Скриншон в аттаче.

hors пишет: [+] Исправить ошибку вывода пути к файлу при Drag'n'Drop ярлыка, когда файл лежит в Programm Files(Windows 7 x86) (user_)
У меня х64, про х86 хз.

4bba_29.06.2013_EXELAB.rU.tgz - bug.jpg

| Сообщение посчитали полезным: hors

user_ пишет:
Скриншон в аттаче.


Спасибо за тестирование. Буду разбираться. Добавил в TODO.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

user_ пишет:
У меня х64, про х86 хз.

Исправил.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Интересно, это вылазит только на Oracle VM VirtualBox или на других ярлыках тоже?

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Скорее всего это связано с редиректом ФС на WOW64.

| Сообщение посчитали полезным: hors

hors пишет: Интересно, это вылазит только на Oracle VM VirtualBox или на других ярлыках тоже?

Это вылазит на всех ярлыках, которые указывают на Program Files.

| Сообщение посчитали полезным: hors

Archer пишет:
Скорее всего это связано с редиректом ФС на WOW64.

Наверное да.

user_ пишет:
Это вылазит на всех ярлыках, которые указывают на Program Files.

Ок. Спасибо.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

ntinfo.biz - не робит?

Сделайте чтоли зеркало

| Сообщение посчитали полезным: hors

Airenikus пишет:
ntinfo.biz - не робит?

Сделайте чтоли зеркало

Сейчас вроде все нормально.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Вышла 0.75

[+] Исправлены некоторые ошибки.
[+] Исправлена ошибка вывода пути к файлу при Drag'n'Drop ярлыка, когда файл лежит в Program Files(Windows 7) (user_)
[+] Сделана Lite версия утилиты (void)
[+] Улучшено определение Obsidium последних версий.(Fix прислал ajax)
[+] Улучшено определение некоторых версий модифицированного UPX (==DJ==[ZLO])

-----
http://ntinfo.biz

| Сообщение посчитали полезным: NikolayD, 4kusNick, mushr00m

Добавить в детект менеджеров лицензий всяких и проты cd/dvd планируется?

| Сообщение посчитали полезным: hors

NikolayD пишет:
Добавить в детект менеджеров лицензий всяких и проты cd/dvd планируется?

Хорошая идея. Детект каких протов и менеджеров лицензий можно было бы добавить в первую очередь?

-----
http://ntinfo.biz

| Сообщение посчитали полезным: SergeyIvan

Для начала можно флекс, стар, секура.

| Сообщение посчитали полезным: hors

hors

Сегодня исследовал прогу - Олька отлетала от нее мое почтение, при атаче терминате...
Проверил сабжем - vmprotect, скрипты в зубы и перед.
Вообщем спасибо за детекту и программу!!!

| Сообщение посчитали полезным: hors

NikolayD пишет:
Для начала можно флекс, стар, секура.

Спасибо. Добавил в TODO.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Ссылки на темном фоне не читабельны
http://i.imgur.com/TMrLSbA.png
Хорошо бы их посветлее сделать.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: hors

4kusNick пишет:
Ссылки на темном фоне не читабельны
http://i.imgur.com/TMrLSbA.png
Хорошо бы их посветлее сделать.

Спасибо за тестирование. Добавил в TODO.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

В следующей версии сделаю переход на QT 4.8.5.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

А почему не 5.1?

| Сообщение посчитали полезным: hors