Detect It Easy утилита для определения версии протекторов/ упаковщиков

Текущая версия 1.00





Здесь будут выкладываться последние наработки.

Скачать

Changelog
GITHUB

Приветствуются замечания. Сообщения о ложных срабатываниях. Новые идеи.

Если я долго отсутствую на форуме или не отвечаю в ЛС, пишите мне на horsicq[at]gmail.com

-----
http://ntinfo.biz

| Сообщение посчитали полезным: Hellspawn, _ruzmaz_, 4kusNick, ==DJ==[ZLO], mushr00m, Diabolic, daFix, Dazz, void, BAHEK, -Sanchez-, SergeyIvan, vnekrilov, dimka_new, stas_02, crc1, Grim Fandango, GPcH, DimitarSerg, ylproduction, DenCoder, Jim DiGriz, ClockMan, VAD87, DICI BF, Chris, Black_, HandMill, MasterSoft

hors пишет:
В смысле? Части PE файла показываются только когда считается энтропия для всего файла.

Показываются. А когда отдельно смотришь энтропию оверлея? PE->Overlay->Entropy. Туда можно добавить пункт оверлей. Ну это так, больше эстетика

-----
xchg dword [eax], eax

| Сообщение посчитали полезным: hors

hors, Утро вечера мудренее

35a7_22.08.2013_EXELAB.rU.tgz - 257.jpg

| Сообщение посчитали полезным: hors

void пишет:
Показываются. А когда отдельно смотришь энтропию оверлея? PE->Overlay->Entropy. Туда можно добавить пункт оверлей. Ну это так, больше эстетика

Ладно, что-нибудь придумаем.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

user_ пишет:
hors, Утро вечера мудренее

Всё нормально. Шкала до 256. Байты до 255.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Исправить работу в окне дизасма.

При прокрутке вверх/вниз идет смещение не на одну инструкцию, а на единицу адреса, из-за чего дизасм идет уже с нового адреса и это приводит к неправильному результату.

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

BoRoV пишет:
Исправить работу в окне дизасма.

При прокрутке вверх/вниз идет смещение не на одну инструкцию, а на единицу адреса, из-за чего дизасм идет уже с нового адреса и это приводит к неправильному результату.

Спасибо за тестирование. Добавил в TODO.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

При нажатии на кнопку Stub открывается окно с отображением в дизасме, а не в хексе.

Еще немного личного мнения по интерфейсу. Как по мне то слишком много кнопок стало на главной вкладке.
Кнопку PE можно поместить перед кнопкой Entropy. Много дублирующих кнопок. Кнопку Stub я бы убрал, как и Manifest и Version к ним можно получить доступ с ресурсов.
И теперь все оставшиеся кнопки можно уместить в один ряд. Или вобще те оставшиеся 5 кнопок вынести с боку где кнопки опции и выход.

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным: hors

BoRoV пишет:
При нажатии на кнопку Stub открывается окно с отображением в дизасме, а не в хексе.

Спасибо за тестирование.

Это не ошибка, а особенность. Открывается не просто дизассемблер, а 16 битный дизассемблер, так как stub это 16 битная DOS программа.


BoRoV пишет:
Еще немного личного мнения по интерфейсу. Как по мне то слишком много кнопок стало на главной вкладке.
Кнопку PE можно поместить перед кнопкой Entropy. Много дублирующих кнопок. Кнопку Stub я бы убрал, как и Manifest и Version к ним можно получить доступ с ресурсов.
И теперь все оставшиеся кнопки можно уместить в один ряд. Или вобще те оставшиеся 5 кнопок вынести с боку где кнопки опции и выход.

Да, интерфейс нужно продумать. Ближе к релизу следующей версии займусь этим. Кстати в папке с программой есть файл DIEL, это DIE вообще без лишних кнопок.

Вынести привязанные к типу файла кнопки (PE) за пределы центральной области не получится, так как это не будет укладываться в концепцию сменяемости центральной области в зависимости от типа данных.

Пока DIE поддерживает 4 типа Binary, PE, ELF, MS DOS.

Чтобы понять концепцию, приведу скриншоты:

Binary



ELF



MS DOS



PE



Все кнопки, относящиеся к PE должны быть здесь



-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hors пишет:
так как это не будет укладываться в концепцию
Ну, теперь более понятно.

Но с ними всё равно нужно что-то делать.

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным: hors

BoRoV пишет:
Но с ними всё равно нужно что-то делать.


Сделаем

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Не знал что проект развивается. Только увидел. Сразу увидел небольшой недочет. Если Hellspawn версия показывала для VB программ P-Code это или Native. То тут уже не показывает. Напоминаю свой простой метод детекта, для простоты на DotFix скрипте (в аттаче). Скрипт не учитывает корректное RVA-VA преобразование, но для примера сойдет

6915_25.08.2013_EXELAB.rU.tgz - VB p-code or native code test.fix

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным: hors

GPcH пишет:
Не знал что проект развивается. Только увидел. Сразу увидел небольшой недочет. Если Hellspawn версия показывала для VB программ P-Code это или Native. То тут уже не показывает. Напоминаю свой простой метод детекта, для простоты на DotFix скрипте (в аттаче). Скрипт не учитывает корректное RVA-VA преобразование, но для примера сойдет

6915_25.08.2013_EXELAB.rU.tgz - VB p-code or native code test.fix

Спасибо. Добавил в TODO
Отдельное спасибо за скрипт.
Вот нашел подобный код из версии Hellspawn



А судя по этой документации http://www.alex-ionescu.com/vb.pdf проверяется указатель на секцию .data(lpNativeCode). Надо будет это подробно изучить.

-----
http://ntinfo.biz

| Сообщение посчитали полезным: GPcH

Вот сегодня активно работал с тулзой, и нашел один недочет. У меня dll файлы поумолчанию открываются в DiE. Я мало пользуюсь мышкой и вот по нажатию Enter открывается длл а потом чтоб перейти в раздел export приходится лезть к тачпаду. И собственно пожелание, сделай shortcut'ы, например Export - E, Import - I, и т.д.

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным: hors

BoRoV пишет:
Вот сегодня активно работал с тулзой, и нашел один недочет. У меня dll файлы поумолчанию открываются в DiE. Я мало пользуюсь мышкой и вот по нажатию Enter открывается длл а потом чтоб перейти в раздел export приходится лезть к тачпаду. И собственно пожелание, сделай shortcut'ы, например Export - E, Import - I, и т.д.

Хорошая идея. Добавил в TODO.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hors рад что есть желание добавить эту функцию. На тему детекта, мой скрипт (код хелспауна делался когда-то по нему) всего лишь читает поле IsNativeCode внутренней структуры vb. Это единственно 100% верный способ. Остальное не дает гарантий.
Кстати ты версии дельфи как определяешь? Если по сигнатурам, то есть метод лучше, могу скинуть на почту мой вариант из декомпилятора.

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным: hors

GPcH пишет:
Кстати ты версии дельфи как определяешь? Если по сигнатурам, то есть метод лучше, могу скинуть на почту мой вариант из декомпилятора.

Да по сигнатурам. Буду рад добавить лучший метод. horsicq[at]gmail.com . Большое спасибо.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Отправил. Если вдруг попало в спам - пометь как неспам, гугл иногда косячит с письмами с неизвестных доменов.

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным: hors

GPcH пишет:
Отправил. Если вдруг попало в спам - пометь как неспам, гугл иногда косячит с письмами с неизвестных доменов.

Все получил. Спасибо. Добавил в TODO.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hors так код детекта дельфей был в старом проекте же, из Деде дергал.

-----
[nice coder and reverser]

| Сообщение посчитали полезным: hors

Hellspawn пишет:
hors так код детекта дельфей был в старом проекте же, из Деде дергал.

Да. Я знаю, но код от GPcH более полный. В старом проекте не было Kylix, Delphi XE2

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

В следующей версии будут сборки под Linux и под Mac. Также постараюсь написать понятную статью как писать сигнатуры и как их отлаживать встроенным в DIE отладчиком.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hors только заметил, что ты проект продолжил, молодец
а 0.77 скоро увидит свет?

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным: hors

Isaev пишет:
hors только заметил, что ты проект продолжил, молодец
а 0.77 скоро увидит свет?

Я стараюсь выпускать новые версии не реже чем раз в месяц. Так что скорее всего в конце сентября.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Под Linux и Mac будет абсолютно такой же функционал как под Windows. Единственно нельзя будет в настройках прописывать программу в контекстном меню.



-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Если сделаете disassembler хотя бы уровня Hacker's Disassembler тут
то у вас будет уникальная программа для поверхностного анализа бинарников, аналог я только на pythone знаю, а вне его ниша еще пуста.
Хотелось бы увидеть экстрактор файлов из бинарей, на подобии того, что в ExeInfoPE, там можно вытягивать пикчи, архивы.
Неудобно, когда цели инструментов одни, но нет не одного, который бы их объединял, приходится скакать по ним.

| Сообщение посчитали полезным: hors

F_a_u_s_t пишет:
Если сделаете disassembler хотя бы уровня Hacker's Disassembler тут
то у вас будет уникальная программа для поверхностного анализа бинарников, аналог я только на pythone знаю, а вне его ниша еще пуста.

Улучшить HEX и DisASM конечно же планируется.


F_a_u_s_t пишет:
Хотелось бы увидеть экстрактор файлов из бинарей, на подобии того, что в ExeInfoPE, там можно вытягивать пикчи, архивы.

Хорошая идея. Добавил в TODO.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

F_a_u_s_t пишет:
Хотелось бы увидеть экстрактор файлов из бинарей, на подобии того, что в ExeInfoPE, там можно вытягивать пикчи, архивы.
капец он рипает, школьники и то утилиты лучше пишут
что может быть сложного найти все EXE headers и порезать между ними
так этот галимый ExeInfoPE даже этого не может
надеюсь Detect It Easy это сможет сделать правильно

| Сообщение посчитали полезным: hors

Не нужны эти экстракторы, как минимум на этих этапах.
Не нужно отходить от основной концепции тулзы, не нужно превращать ее в комбайн.
Пусть лучше сторонний функционал наращивается плагинами.

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным: hors

BoRoV пишет:
Не нужны эти экстракторы, как минимум на этих этапах.
Не нужно отходить от основной концепции тулзы, не нужно превращать ее в комбайн.
Пусть лучше сторонний функционал наращивается плагинами.


Спасибо за идею. Экстрактор будет сделан в виде плагина.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hors пишет:
Под Linux и Mac будет абсолютно такой же функционал как под Windows
вах, есть прогноз?

| Сообщение посчитали полезным: hors