Detect It Easy утилита для определения версии протекторов/ упаковщиков

Текущая версия 1.00





Здесь будут выкладываться последние наработки.

Скачать

Changelog
GITHUB

Приветствуются замечания. Сообщения о ложных срабатываниях. Новые идеи.

Если я долго отсутствую на форуме или не отвечаю в ЛС, пишите мне на horsicq[at]gmail.com

-----
http://ntinfo.biz

| Сообщение посчитали полезным: Hellspawn, _ruzmaz_, 4kusNick, ==DJ==[ZLO], mushr00m, Diabolic, daFix, Dazz, void, BAHEK, -Sanchez-, SergeyIvan, vnekrilov, dimka_new, stas_02, crc1, Grim Fandango, GPcH, DimitarSerg, ylproduction, DenCoder, Jim DiGriz, ClockMan, VAD87, DICI BF, Chris, Black_, HandMill, MasterSoft

F_a_u_s_t пишет:
Это так, но можете конечно запелить адекватный биндинг и придете к boost или SWIG, только свой.
Максимализм со временем пройдет.

Вы сами себе противоречите. Причём в одном предложении.

F_a_u_s_t пишет:
Какбэ это пишут разработчики питона.

Сути это не меняет.

F_a_u_s_t пишет:
Они не пишут, они используют, перечисленные тулзы вполне годно написаны и через питон очень даже годно объединяется.


Всё относительно. Но то что Питон "негласный стандарт" Вам так и не удалось доказать.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Хватит уже пихать питон куда надо и не надо. А что если я запрошу паскале-подобный скриптовый язык, так как питон мне не уперся ни в какое место? Хватит учитывать только свои потребности.
ЗЫ: и да, паскаль жив

-----
xchg dword [eax], eax

| Сообщение посчитали полезным: hors, DimitarSerg, SReg

питон очень удобный, но слиииишком капризный
голосуем за пых?

| Сообщение посчитали полезным: hors

hors пишет: Вы сами себе противоречите. Причём в одном предложении.
В чем противоречие?
Писать лисапеды с квадратными колесами это таки детская болезнь, которая проходит с опытом.
Boost это промышленного уровня код и сравнивать с лисапедом Васи Пупкина это просто смешно.
Да и какой сокральный смысл в пилении очередного велосипеда, если уже есть готовый и отлаженный биндинг?

hors пишет: Вам так и не удалось доказать.
Так выше уже сказано, что все зависит от потребностей, весь топовый инструментарий так же поддерживает питон.
Что я могу поделать, если вы не знаете этот инструментарий?
Вы фаззер хоть раз юзали?
Много ли фаззеров знаете уровня pin?
В windbg и то питон.

void пишет: А что если я запрошу паскале-подобный скриптовый язык
Кому он нужен?
Под него нет профильного кода, той же pelib.

reversecode пишет: голосуем за пых?
Если делать кровавые мозоли на глазах, то лучше perl.

| Сообщение посчитали полезным:

F_a_u_s_t пишет:
В чем противоречие?

Если Вы сами не видите, то сомневаюсь, что я смогу Вам это обьяснить.

F_a_u_s_t пишет:
Писать лисапеды с квадратными колесами это таки детская болезнь, которая проходит с опытом.

Возможно. Но Вам-то откуда это знать?

F_a_u_s_t пишет:
Boost это промышленного уровня код и сравнивать с лисапедом Васи Пупкина это просто смешно.

Я не знаю что такое "промышленного уровня код" и google тоже не знает. Поэтому не могу ничего определенного сказать.

F_a_u_s_t пишет:
Да и какой сокральный смысл в пилении очередного велосипеда, если уже есть готовый и отлаженный биндинг?

Зачем жить, если всё-равно умрем?

F_a_u_s_t пишет:
Так выше уже сказано, что все зависит от потребностей, весь топовый инструментарий так же поддерживает питон.
Что я могу поделать, если вы не знаете этот инструментарий?

А этот "топовый инструментарий" надо полагать используют в "ав конторах" на "потоке"? Вы это рассказываете с таким пафосом, как если бы там собрались профессионалы IT, а не студенты, которым можно много не платить.

F_a_u_s_t пишет:
Вы фаззер хоть раз юзали?
Много ли фаззеров знаете уровня pin?

Вы не знакомы с творчеством В. Шукшина?

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hors пишет: Если Вы сами не видите, то сомневаюсь
Другого ответа даже не ожидал.

hors пишет: Возможно. Но Вам-то откуда это знать?
Конечно, анализатор это такой сложный софт, что никому не осилить кроме КЭПА.
Мало вам Дэныча на васме.

hors пишет: Я не знаю что такое "промышленного уровня код".
Даже не удивлен, вы вообще мало что знаете, судя по треду.

hors пишет: Зачем жить, если всё-равно умрем?
Читать Страструпа, на кой он запилил модули с классами, так же читать о многоразовом использовании кода.

hors пишет: профессионалы IT, а не студенты, которым можно много не платить.
Если бы погуглили, то узрели кто пишет, ав юзают, а пишут да, профессионалы, многие тулзы используются в криминалистической экспертизе.
Особенно доставило упоминание вами студентов.

hors пишет: Вы не знакомы с творчеством В. Шукшина?
Собственно это ответ.
Вы не разбираетесь в теме, но так пафосно вещаете о том, в чем не разбираетесь.
Как вы можете судить о годности тулз, если не знаете даже для чего они?
Скажите честно, что заюзали QtScript из за простоты биндинга, а не из за удобства.
В том же 010 editor, автор не стал идти по простому пути, а заюзал сишный скрипт ибо понимает зачем он нужен.
По поводу pin'a посмотрите хотя бы выступление краша на зеронайтс или почитайте его бложик или с ним тоже будете меряцо?
Поюзайте сначала софт, потом пилите шура, пилите, ибо у вас нет концепта, пилите просто ради того, что бы пилить, сами еще не понимаете, что вы хотите видеть в этой тулзе.

| Сообщение посчитали полезным:

F_a_u_s_t пишет:
Кому он нужен?
Под него нет профильного кода, той же pelib.
Ога, то то я наблюдаю на питоне кучу реверского софта, аж глаза разбегаются, не знаю какой выбрать
ЗЫ: еще раз повторюсь, если что-то удобно для тебя, это не значит, что это удобно всем и юзать его будут с удовольствием.
ЗЫЫ: может хватит полемики? Автор уже сделал выбор и менять его не собирается. А вместо того чтобы спорить, реальные плюсы бы приводил, а так твой разговор похож на простое кудахтанье
"кококо, питон, кудах-кудах, промышленного уровня код, пок-пок, а вот там, кудах, а там"
Самому не смешно?

-----
xchg dword [eax], eax

| Сообщение посчитали полезным: hors, JMPer

F_a_u_s_t пишет:
Другого ответа даже не ожидал

И неудивительно.

F_a_u_s_t пишет:
Конечно, анализатор это такой сложный софт, что никому не осилить кроме КЭПА.

Пока Вы ни одного не написали, стало быть Вам это не по плечу. Разве не так?

F_a_u_s_t пишет:
Мало вам Дэныча на васме

К чему эта реплика?

F_a_u_s_t пишет:
Даже не удивлен, вы вообще мало что знаете, судя по треду.

Если Вам от этого будет легче, давайте остановимся на том, что я не "мало что знаю", а "вообще ничего не знаю".

F_a_u_s_t пишет:
Читать Страструпа, на кой он запилил модули с классами, так же читать о многоразовом использовании кода.

Правильно. Читайте, занимайтесь самообразованием.


F_a_u_s_t пишет:
Если бы погуглили, то узрели кто пишет, ав юзают, а пишут да, профессионалы, многие тулзы используются в криминалистической экспертизе.

А какое, стесняюсь спросить, мне до всего этого дело?


F_a_u_s_t пишет:
Особенно доставило упоминание вами студентов.

Если будете в школе хорошо учиться, то и Вы сможете поступить в ВУЗ. А потом, глядишь, и "на поток" в "АВ контору" возьмут. Главное верить в свою мечту.


F_a_u_s_t пишет:
Вы не разбираетесь в теме, но так пафосно вещаете о том, в чем не разбираетесь.
Как вы можете судить о годности тулз, если не знаете даже для чего они?
Скажите честно, что заюзали QtScript из за простоты биндинга, а не из за удобства.
"
Конечно не разбираюсь. Тут даже и говорить не о чём. А QtScript "заюзал" из-за простоты биндинга и ещё потому что я ни в чем не разбираюсь.

F_a_u_s_t пишет:
По поводу pin'a посмотрите хотя бы выступление краша на зеронайтс или почитайте его бложик или с ним тоже будете меряцо?

Конечно же буду "меряцо". А как же. У меня в этом весь смысл жизни, лазить по чужим блогам и нести там всякую ахинею про "промышленного уровня код".

F_a_u_s_t пишет:
Поюзайте сначала софт, потом пилите шура, пилите, ибо у вас нет концепта, пилите просто ради того, что бы пилить, сами еще не понимаете, что вы хотите видеть в этой тулзе

Спасибо за ценные наставления.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hors пишет: Пока Вы ни одного не написали, стало быть Вам это не по плечу.
Меня устраивает yara, которая тоже держит питон, да еще и на нескольких песочницах крутицо.

hors пишет: К чему эта реплика?
Вы ему тоже писали наставления от гуру, хотя по скилу вам до него еще пилить и пилить.

hors пишет: Правильно. Читайте, занимайтесь самообразованием.
Это вам предложение, с вашим подходом, с чего вы стали юзать QT, запилили свой бы фреймворк, что нибудь типа U++.

hors пишет: А какое, стесняюсь спросить, мне до всего этого дело?
Речь об инструментах и задачах о которых у вас нет ни малейшего представления.
cr4sh узрите что такое анализ данных и на кой он нужен.

hors пишет: Если будете в школе хорошо учиться, то и Вы сможете поступить в ВУЗ.
Вы меня перепутали с собой.

hors пишет:
У меня в этом весь смысл жизни, лазить по чужим блогам и нести там всякую ахинею про "промышленного уровня код".
Не моя вина, что вы не знаете матчасти начинаете меряцо.
Но дабы не травмировать детскую психику, то сей элитный бложик покидаю.

hors пишет: Спасибо за ценные наставления.
Оминь.

| Сообщение посчитали полезным:

F_a_u_s_t пишет:
Меня устраивает yara, которая тоже держит питон, да еще и на нескольких песочницах крутицо

Могу только порадоваться за Вас и за yara.

F_a_u_s_t пишет:
Вы ему тоже писали наставления от гуру, хотя по скилу вам до него еще пилить и пилить

Я никому не пишу "наставления от гуру" и не меряюсь "скилами". Если не трудно, дайте ссылку. Но кажется мне, что Вы что-то путаете.

F_a_u_s_t пишет:
Это вам предложение, с вашим подходом, с чего вы стали юзать QT, запилили свой бы фреймворк, что нибудь типа U++.

Одна история упоительнее другой просто. Про "UI++", про "BMP", про "промышленного уровня код".

F_a_u_s_t пишет:
Речь об инструментах и задачах о которых у вас нет ни малейшего представления.
cr4sh узрите что такое анализ данных и на кой он нужен.

Это все очень прискорбно.


F_a_u_s_t пишет:
Вы меня перепутали с собой.

Нет, не мог.

F_a_u_s_t пишет:
Но дабы не травмировать детскую психику, то сей элитный бложик покидаю

Радует, что Вы не хотите травмировать свою хрупкую психику. Это Вы правильно придумали. А насчет "элитного бложика" Вы преувеличиваете. Никакой он не элитный. Самый что ни на есть простой. Но за добрые слова спасибо.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Хорош уже совсем не по теме гонять.

| Сообщение посчитали полезным: hors, DimitarSerg

Сорри если уже писали. Текущая версия регается в Shell винды так используя в пути вместо "" вот этот разделитель "/" (видимо баг при совместимости с линуксом) в итоге в винде приходится руками править ветку реестра чтобы работало контектстное меню.

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным: hors

GPcH пишет:
Сорри если уже писали. Текущая версия регается в Shell винды так используя в пути вместо "" вот этот разделитель "/" (видимо баг при совместимости с линуксом) в итоге в винде приходится руками править ветку реестра чтобы работало контектстное меню.

Спасибо за тестирование. Да, это ошибку уже присылали и следующая весия выйдет уже с исправлением.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Вышла 0.78

[+] Добавлен просмотр IMAGE_DIRECTORY_ENTRY_DEBUG (void)
[+] Добавлено определение PCGuard (NikolayD)
[+] Добавлено определение Safengine (NikolayD)
[+] Добавлено определение NoobyProt (NikolayD)
[+] Улучшена работа с реестром под Win8 x64 (4kusNick)
[+] Улучшено открытие файла, если одна копия программы уже запущена (4kusNick)
[+] Улучшен вид вкладки "Thanks" окна "About" (4kusNick)
[+] В SDK добавлена функция меняющую порядок байт в двойном слове (GPcH)
[+] В SDK добавлена функция переводящую файловой смещение в виртуальный адрес (GPcH)
[+] В SDK добавлена функция осуществляющую поиск строк в #heap .NET файлов (GPcH)
[+] Добавлено изменение надписи в HEX-viewer в соответствии с тем, что он показывает. (BoRoV)
[+] Улучшено определение Enigma Protector (DimitarSerg)
[+] Добавлено определение FoxPro (DimitarSerg)
[+] Улучшено определение ASProtect 1.32Beta, 1.23rc1-SDK, 2.5 SKE build 03.31, 2.56 SKE build 0317 (4kusNick)
[+] Улучшено определение ASDPack 2.0 (4kusNick)
[+] Добавлено определение Break-Into-Pattern ( BIP ! ) v0.1 (4kusNick)
[+] Добавлено определение DOC(4kusNick)
[+] Исправлена ошибка с записью в реестр(изменено "" на "/")(redblkjck)
[+] Добавлено определение UPX для PE+(Fix прислал ajax)
[+] Улучшено определение новых версий ExeCryptor (DimitarSerg)
[+] Улучшено определение новых версий VMProtect (DimitarSerg)

-----
http://ntinfo.biz

| Сообщение посчитали полезным: ==DJ==[ZLO], 4kusNick, exet0l, -Sanchez-, GPcH, mushr00m

Ура!
А по поводу HEX-редактора - по-моему в анализаторе упаковщиков он вообще не требуется.
Кому надо - пусть юзают WinHex или 010 Editor или что там кому дуобней, всем все равно не угодишь.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: hors, JMPer

Спасибо за тулзу.

Сделал на основе тулзы плаг для CFF Explorer, может кому-то понадобится.



--> Link <--

| Сообщение посчитали полезным: hors, soho

В меню "About" с темой "Orange" слишком бледная надпись на вкладке "Thanks". C темой "default" всё нормально. Это будет исправлено в следующей версии.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Спасибо за обновленку! Давно ждал ;)
Есть помехи в работе :
Есть видео (делал в Camtasia Studio) Курсор что-то не виден хотя в настройках выставлен.
Суть записи --> видео <-- (на словах не обясню) :
В DIE (новой/послепдней) если есть drag-and-drop (тащи-и-бросай)? Если да , то вот с этим exe что - то не-то. тыц
Раз курсора нет - опишу: Сначала запускаю DIE тяну в неё в бар "Тотола" "под-д-з-ре-Ваем-Мого"
Он определяется...
Тяну второго ... дрогнет и не определяет.
(Пробывал как в "бар" тотолу так и на прямую в LNK на рабочем столе (Win 7 32) !
(открывал фапйл avi KMPl-om) http://ebmp.ru/528 сама студио
------------------
проверить
Апп
ссылки:
http://rghost.ru/49812502 сама неведимка при дропе (иммено сам файл^пробыввал с пробелаи и цифрами другие все ок. Этот не-опредиляется/
Было сказано про AsP/
MetaProduct просканить бы.
http://rghost.ru/49812575 - чисто exe
------------------
Уважаемый Hors если что-то не понятно здесь или как всегда .

| Сообщение посчитали полезным: hors

==DJ==[ZLO] пишет:
Спасибо за обновленку! Давно ждал ;)
Есть помехи в работе :
Есть видео (делал в Camtasia Studio) Курсор что-то не виден хотя в настройках выставлен.
Суть записи --> видео <-- (на словах не обясню) :
В DIE (новой/послепдней) если есть drag-and-drop (тащи-и-бросай)? Если да , то вот с этим exe что - то не-то. тыц
Раз курсора нет - опишу: Сначала запускаю DIE тяну в неё в бар "Тотола" "под-д-з-ре-Ваем-Мого"
Он определяется...
Тяну второго ... дрогнет и не определяет.
(Пробывал как в "бар" тотолу так и на прямую в LNK на рабочем столе (Win 7 32) !
(открывал фапйл avi KMPl-om) http://ebmp.ru/528 сама студио
------------------
проверить

Спасибо за тестирование. Буду разбираться.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

+ что - то не то с кирилицей в QT при ДР в бар кракозяблы , при прямом перетаскивании в окно "норма". Пути и имена видны и правильны.
- по поводу "не-формата видимости шрифта" - может это не к Вам. А, к мелкомягким. Win7rusSP1.
было у Manhuntera с Dummy Text Generator-ом. Я, как бы менял CP-1251. но все-.же. Дима что то правил,в генераторе., и все получилось , отображение + буфер ок, но он не любит "Биг сайЗы - ехе". Тем более QT... это стресс для него. (Дмитрий простите если не так).

| Сообщение посчитали полезным: hors

==DJ==[ZLO] пишет:
+ что - то не то с кирилицей в QT при ДР в бар кракозяблы , при прямом перетаскивании в окно "норма". Пути и имена видны и правильны.

Пересмотрел еще раз видео. Да, скорее всего проблема в этом. Буду разбираться.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Запустил Windows 8 X32 на VMware. Действительно, если папка содержит кириллицу, то при Drag'n'Drop файла на ярлык DIE выводятся кракозябры. Если Drag'n'Drop на форму, то все нормально. Интересно.
Добавил в TODO.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Нашел закономерность как сие выловить.
И так:
Если открыть DIE и сразу на ярлык Drag'n'Drop-нуть то, все нормально отобразит. А, вот если файло на форму (тоже нормально отобразит) и потом на ярлык то, все - встречаем крокозяблы.

| Сообщение посчитали полезным: hors

==DJ==[ZLO] пишет:
Нашел закономерность как сие выловить.
И так:
Если открыть DIE и сразу на ярлык Drag'n'Drop-нуть то, все нормально отобразит. А, вот если файло на форму (тоже нормально отобразит) и потом на ярлык то, все - встречаем крокозяблы.

Проблема решена. В следующем релизе с кодировками будет уже всё нормально. Ещё раз огромное спасибо за тестирование.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

При использовании diec.exe с опциями: -showerrors:no -showentropy:yes
не отображается энтропия.
Баг?

| Сообщение посчитали полезным: hors

exet0l пишет:
При использовании diec.exe с опциями: -showerrors:no -showentropy:yes
не отображается энтропия.
Баг?

Спасибо за тестирование. Да, это ошибка. Добавлено в TODO и уже исправлено. Вот исправленный файл. --> Link <--

-----
http://ntinfo.biz

| Сообщение посчитали полезным: exet0l

Линк мертвый в первом посте.

| Сообщение посчитали полезным: hors

Anonym пишет:
Линк мертвый в первом посте.

Сейчас вроде все нормально.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hors
0.79 уже вышла, а ты все молчишь

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

они ж с фаустом в бане

| Сообщение посчитали полезным: