Detect It Easy утилита для определения версии протекторов/ упаковщиков

Текущая версия 1.00





Здесь будут выкладываться последние наработки.

Скачать

Changelog
GITHUB

Приветствуются замечания. Сообщения о ложных срабатываниях. Новые идеи.

Если я долго отсутствую на форуме или не отвечаю в ЛС, пишите мне на horsicq[at]gmail.com

-----
http://ntinfo.biz

| Сообщение посчитали полезным: Hellspawn, _ruzmaz_, 4kusNick, ==DJ==[ZLO], mushr00m, Diabolic, daFix, Dazz, void, BAHEK, -Sanchez-, SergeyIvan, vnekrilov, dimka_new, stas_02, crc1, Grim Fandango, GPcH, DimitarSerg, ylproduction, DenCoder, Jim DiGriz, ClockMan, VAD87, DICI BF, Chris, Black_, HandMill, MasterSoft

А PEPку не детектит чтоли?

--> Link <--

| Сообщение посчитали полезным: hors

sendersu пишет:
вах, есть прогноз?

Следующая версия будет как под Windows, так и под Linux и Mac. Сейчас активно тестирую сборку под Linux. Пока никаких проблем не заметил. Под Mac надо будет ещё тестировать

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Airenikus пишет:
А PEPку не детектит чтоли?

Спасибо, добавил в TODO.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Обдумываю, как бы наилучшим образом сделать плагин, который бы искал архивы и изображения.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hors пишет:
Обдумываю, как бы наилучшим образом сделать плагин, который бы искал архивы и изображения.
Что именно интересует? Как искать или где искать? Объясни подробней

-----
xchg dword [eax], eax

| Сообщение посчитали полезным: hors

void пишет:
Что именно интересует? Как искать или где искать? Объясни подробней

Как и где искать в принципе понятно. Проблема, куда этот плагин на форме поместить. Чтобы всё органично смотрелось и было просто использовать.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Создай отдельную вкладку плагины и там думай как всё гармонично организовать, или сделай как в PEiD.

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным: hors

BoRoV пишет:
Создай отдельную вкладку плагины и там думай как всё гармонично организовать, или сделай как в PEiD.

Наверное так и сделаю. В отдельной вкладке.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Вы бы запилили лучше не костыли бесполезные, а приемлимый пе редактор. А то нормальных в природе не существует. Для детекта протов и прочих криптов не нужно пилить какие то тулзы, напиши список критериев, которые реализуются в коде(тот же пеид или как ту хуёвину называют). Эта фигня тока для школоты нужна, имхо.

| Сообщение посчитали полезным: hors

Dr0p пишет:
Вы бы запилили лучше не костыли бесполезные, а приемлимый пе редактор. А то нормальных в природе не существует

Что значит нормальный? Я вот LordPE раньше пользовался. Он меня вполне устраивал. А так существует очень много редакторов. Нет смысла писать еще один чисто РЕ редактор.

Dr0p пишет:
Эта фигня тока для школоты нужна, имхо.

Мне нравится писать программы. А пользуется или не пользуется ими "школота" - дело десятое.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hors

> Что значит нормальный?

Это значит что реализован по матчасти. Тоесть школота втёрла пе формат по этой доке http://msdn.microsoft.com/en-us/library/windows/hardware/gg463119.aspx

И не просто втёрла и зазубрила, а осознала. А затем ознакомилась с поведением оси(ибо оно оочееень специфическое). И реализовала тулзу. Всё что существует это нерабочий шлак. Любое отклоненье - и оно хуй работает, либо фейлит либо падает.

> А пользуется или не пользуется ими "школота" - дело десятое.

Не пользователи школота, а авторы. Оминь.

| Сообщение посчитали полезным: hors

Dr0p пишет:
Это значит что реализован по матчасти. Тоесть школота втёрла пе формат по этой доке http://msdn.microsoft.com/en-us/library/windows/hardware/gg463119.aspx

И не просто втёрла и зазубрила, а осознала. А затем ознакомилась с поведением оси(ибо оно оочееень специфическое). И реализовала тулзу. Всё что существует это нерабочий шлак. Любое отклоненье - и оно хуй работает, либо фейлит либо падает.

Ну это все понятно. А что мешает лично Вам реализовать такую тулзу?


Dr0p пишет:
Не пользователи школота, а авторы. Оминь.

Это да. И вообще этот мир жутко несправедливо устроен.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Споткнулся на старой версии die_052.exe


PS спс за продолжение тулзы

| Сообщение посчитали полезным: hors

hors

с тут4ю:

Die doesn't match on vmp0 but because of the 'else' statement control, it misses the vmp1 match.

Easy to fix but I don't know if it happens in other cases too.

-----
[nice coder and reverser]

| Сообщение посчитали полезным: hors

crc1 пишет:

Споткнулся на старой версии die_052.exe


PS спс за продолжение тулзы

Спасибо за тестирование. В следующей версии будет полностью переработанный детект Delphi(уже почти сделан). Надеюсь проблема решится.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Hellspawn пишет:
с тут4ю:

Die doesn't match on vmp0 but because of the 'else' statement control, it misses the vmp1 match.

Easy to fix but I don't know if it happens in other cases too.

Если не сложно, напиши ему, что к следующей версии(конец сентября) будет статья на английском, как писать сигнатуры для DIE, как редактировать существующие и как отлаживать их встроенным отладчиком. Случай VMProtect там расмотрен отдельно, как пример работы функции PE.getSectionNameCollision. Собственно статья уже готова. Но нужно будет обновить иллюстрации, так как внешний вид программы тоже изменится.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Добавить --> PCGuard <--, Safengine и ещё наверное не детектится NoobyProt.

| Сообщение посчитали полезным: hors

1. В Win8 x64 приходится запускать от админа, чтобы работали опции во вкладке Context. Было бы хорошо, чтобы DIE запрашивал нужные права будучи запущенным от юзера при попытке внесения изменений в ресстр.

2. Если DIE уже запущен, и я на каком-то файле тыкаю правой кнопкой и вызываю в контекстном меню "Detect It Easy" - было бы хорошо перекидывать этот файл в открытый DIE (сейчас ничего не происходит).

3. В разделе Thanks после некоторых запятых пробелов нехватает =)

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: hors, BoRoV

NikolayD пишет:
Добавить --> PCGuard <--, Safengine и ещё наверное не детектится NoobyProt.

Спасибо. Добавил в TODO.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

4kusNick пишет:
1. В Win8 x64 приходится запускать от админа, чтобы работали опции во вкладке Context. Было бы хорошо, чтобы DIE запрашивал нужные права будучи запущенным от юзера при попытке внесения изменений в ресстр.

2. Если DIE уже запущен, и я на каком-то файле тыкаю правой кнопкой и вызываю в контекстном меню "Detect It Easy" - было бы хорошо перекидывать этот файл в открытый DIE (сейчас ничего не происходит).

3. В разделе Thanks после некоторых запятых пробелов нехватает =)

Спасибо за тестирование. Добавил в TODO.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Вышла 0.77

[+] Изменен внешний вид
[+] Добавлен редактор сигнатур
[+] Добавлены сборки для OS X и Linux
[+] Добавлен просмотр IMAGE_DIRECTORY_ENTRY_BASERELOC (void)
[+] Добавлен просмотр IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT (void)
[+] Добавлен просмотр IMAGE_DIRECTORY_ENTRY_TLS (void)
[+] Улучшено определение новых версий Themida (ajax)
[+] В окне вывода дизассемблированного кода сделана прокрутка скорректированная с длинами инструкций. (BoRoV)
[+] Улучшено определение Visual Basic (GPcH)
[+] Сделаны "горячие клавиши" быстрого доступа (BoRoV)
[+] Улучшено определение версий Delphi (GPcH)
[+] Улучшено определение Private Exe Protector (Airenikus)
[+] Добавлена в SDK функция для определения PE+(64) (ajax)

-----
http://ntinfo.biz

| Сообщение посчитали полезным: void, mushr00m, 4kusNick

Статья на русском языке, как создавать сигнатуры. --> Link <--

-----
http://ntinfo.biz

| Сообщение посчитали полезным: ARCHANGEL

Там ещё и дебаггер сигнатур есть! hors чертовски хорош!

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным: hors

4kusNick пишет:
3. В разделе Thanks после некоторых запятых пробелов нехватает =)
Ога, я дико возмущен!

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным: hors, mushr00m

Сделай хоть описание комбинаций клавиш, а то пришлось пару минут потратить пока не разгадал всё.

И еще добавь в заголовок хекс вейвера название того, что его вызывает. А то клацал а он открывается и хз что его вызвало.

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным: hors

BoRoV пишет:
И еще добавь в заголовок хекс вейвера название того, что его вызывает

Спасибо за тестирование. Добавил в TODO.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

BoRoV пишет:
пришлось пару минут потратить пока не разгадал всё.

Разгадывать не надо. Нужно навести на кнопку курсор мыши, подождать секунду и появится подсказка


Но нужно чтобы "Show tooltips" было установлено в настройках.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hors пишет:
Разгадывать не надо. Нужно навести на кнопку курсор мыши, подождать секунду и появится подсказка
Это еще дольше если всё перепробовать.

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным: hors

Такой вопрос - а определение .NET протекторов входит в планы?

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: hors

4kusNick пишет:
Такой вопрос - а определение .NET протекторов входит в планы?

Да. В следующей версии SDK, спасибо за идею GPcH, будут добавлены функции по работе со строками #heap для определения различных .NET протекторов.

-----
http://ntinfo.biz

| Сообщение посчитали полезным: DimitarSerg, SReg, 4kusNick