Detect It Easy утилита для определения версии протекторов/ упаковщиков

Текущая версия 1.00





Здесь будут выкладываться последние наработки.

Скачать

Changelog
GITHUB

Приветствуются замечания. Сообщения о ложных срабатываниях. Новые идеи.

Если я долго отсутствую на форуме или не отвечаю в ЛС, пишите мне на horsicq[at]gmail.com

-----
http://ntinfo.biz

| Сообщение посчитали полезным: Hellspawn, _ruzmaz_, 4kusNick, ==DJ==[ZLO], mushr00m, Diabolic, daFix, Dazz, void, BAHEK, -Sanchez-, SergeyIvan, vnekrilov, dimka_new, stas_02, crc1, Grim Fandango, GPcH, DimitarSerg, ylproduction, DenCoder, Jim DiGriz, ClockMan, VAD87, DICI BF, Chris, Black_, HandMill, MasterSoft

разбанились уже

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

У вас ошибка в детекте почти как в exeinfope была.
Fish PE Packer Version 1.04b вообще не детектится.

a28f_28.11.2013_EXELAB.rU.tgz - AIExtrator.7z

| Сообщение посчитали полезным: hors

Еще

b0d0_28.11.2013_EXELAB.rU.tgz - AIExtrator_lzma.7z

Entropy 6.99132
Понятно что не зжато.
Но...
Упаковано.

| Сообщение посчитали полезным:

Оригинал.


1d28_28.11.2013_EXELAB.rU.tgz - AIExtrator_orig.7z

Несколько постов из за невозможности вкладывать несколько файлов.
И детекта асма нет.

| Сообщение посчитали полезным:

ADMIN-CRACK пишет:
И детекта асма нет.
Как ты себе представляешь детект асма? Если на нем можно строить выходной файл так, как хочешь

-----
xchg dword [eax], eax

| Сообщение посчитали полезным: hors

ADMIN-CRACK пишет:
Несколько постов из за невозможности вкладывать несколько файлов
Да в один пакет запаковали и выложили.

По сабжу. Жалко что то, что я слал в личку не вошли в семьдесят восьмую.

| Сообщение посчитали полезным:

==DJ==[ZLO]Полнял

| Сообщение посчитали полезным:

void
А как ты себе представляешь проект с++ если можно заголовок менеять?

| Сообщение посчитали полезным:

ADMIN-CRACK
Н**бу, не пользуюсь с++.

В аттаче пример, пили сигну


f192_29.11.2013_EXELAB.rU.tgz - example.7z

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

ADMIN-CRACK пишет:
У вас ошибка в детекте почти как в exeinfope была.
Fish PE Packer Version 1.04b вообще не детектится.

a28f_28.11.2013_EXELAB.rU.tgz - AIExtrator.7z

Спасибо. Ошибка уже исправлена и новая версияDIE(0.80) будет это определять. Багрепорт на этот упаковщик мне уже присылал 4kusNick.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

ADMIN-CRACK пишет:
ntropy 6.99132
Понятно что не зжато.
Но...
Упаковано.

Порог энтропии после которого определяется как "packed" можно выставлять в настройках Options->Entropy->Threshold

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

void пишет:
Как ты себе представляешь детект асма? Если на нем можно строить выходной файл так, как хочешь

Действительно.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hors
А куда из Todo пропал пункт "поправить детект RlPack" ?
Как не детектил, так и не детектит. Вот софт http://www.gdgsoft.com/gconvert/

| Сообщение посчитали полезным: hors

JMPer пишет:
hors
А куда из Todo пропал пункт "поправить детект RlPack" ?
Как не детектил, так и не детектит. Вот софт http://www.gdgsoft.com/gconvert/


Спасибо за замечание.

Из-за моего отстутствия на форуме произошла небольшая путаница с TODO.
Детект RlPack был реализован давно и появится в DIE 0.80(выйдет 13-14 января 2014).

Вот Changelog для новой версии(возможно на выходных добавлю ещё несколько пунктов):

0.80
[+] Исправлены некоторые ошибки
[+] Добавлен просмотр IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG(void)
[+] Исправлена критическая ошибка с обработкой некоторых .NET файлов(ekse0x)
[+] Улучшено определение UPX под Linux(Levis)
[+] Улучшено определение RLPack(JMPer)
[+] Улучшено определение MEW 11 SE v1.2(4kusNick)
[+] Улучшено определение Petite 2.2, 2.3(4kusNick)
[+] Улучшено определение Fish Pe Packer 1.02, 1.03, 1.04(4kusNick,ADMIN-CRACK)

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Сделал Detect It Easy для Hiew, может кому-то понадобится.



--> Link <--

| Сообщение посчитали полезным: hors, void

Исправления Detect It Easy для Hiew

Список изменений:
- Замена "Read from DIE" на "Reading from DIE, please wait..."
- Небольшой рефакторинг

--> Link <--

####################################

Новая версия Detect It Easy для CFF Explorer

Список изменений:
- Detect It Easy v0.79
- Добавлена опция -showerrors:no
- Небольшой рефакторинг

--> Link <--

| Сообщение посчитали полезным: hors

exet0l пишет:
Исправления Detect It Easy для Hiew

Список изменений:
- Замена "Read from DIE" на "Reading from DIE, please wait..."
- Небольшой рефакторинг

--> Link <--

####################################

Новая версия Detect It Easy для CFF Explorer

Список изменений:
- Detect It Easy v0.79
- Добавлена опция -showerrors:no
- Небольшой рефакторинг

--> Link <--


Огромное спасибо!
Эти плагины будут размещены на сайте http://ntinfo.biz/ вместе с релизом 0.80.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Вышла 0.80

[+] Исправлены некоторые ошибки
[+] Добавлен просмотр IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG(void)
[+] Исправлена критическая ошибка с обработкой некоторых .NET файлов(ekse0x)
[+] Улучшено определение UPX под Linux(Levis)
[+] Улучшено определение RLPack(JMPer)
[+] Улучшено определение MEW 11 SE v1.2(4kusNick)
[+] Улучшено определение Petite 2.2, 2.3(4kusNick)
[+] Улучшено определение Fish Pe Packer 1.02, 1.03, 1.04(4kusNick,ADMIN-CRACK)
[+] Оптимизирована работа с бинарными данными.
[+] Оптимизирован HEX-редактор.

-----
http://ntinfo.biz

| Сообщение посчитали полезным: exet0l, 4kusNick, Dazz, mushr00m

Так и не детектит китайский Safeguard, Safengine Shielden

| Сообщение посчитали полезным: hors

Mime пишет:
Так и не детектит китайский Safeguard, Safengine Shielden

Спасибо за тестирование. Не могли бы Вы прислать мне пару таких файлов?

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Mime пишет:
Safengine Shielden

hors
http://www.sendspace.com/file/za3bhm
"Конкуренты", exeinfo, rdg, pid - все детектят.

-----
ds

| Сообщение посчитали полезным: hors

DimitarSerg пишет:
hors
http://www.sendspace.com/file/za3bhm
"Конкуренты", exeinfo, rdg, pid - все детектят.

Спасибо! Добавил в TODO.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hors

Пара файлов, которые DIE не определяет. PID предполагает, что это Starforce. ExeinfoPE с плагином предполагают, что это Morphine 1.2.

http://rghost.ru/private/51859281/cf947451209417257bd2a103b230fbfc

| Сообщение посчитали полезным: hors

Slinger пишет:
hors

Пара файлов, которые DIE не определяет. PID предполагает, что это Starforce. ExeinfoPE с плагином предполагают, что это Morphine 1.2.

http://rghost.ru/private/51859281/cf947451209417257bd2a103b230fbfc

Спасибо. Буду разбираться.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Slinger
Если бы вы выложили дистр, сразу бы любой сказал, что это StarForce (5.70.033.000, 01.06.12).
Старфорс невооружённым взглядом видно ;)

-----
ds

| Сообщение посчитали полезным: hors

Думал .exe будет достаточно. Полные ссылки:

http://www.kdm-info.narod.ru/revers/Revers_setup.zip
http://www.kdm-info.narod.ru/skleyka/Skleyka_setup.zip

Весь остальной софт на сайте тоже вроде старфорсом накрыт.

| Сообщение посчитали полезным: hors

Slinger пишет:
Пара файлов, которые DIE не определяет. PID предполагает, что это Starforce. ExeinfoPE с плагином предполагают, что это Morphine 1.2.

http://rghost.ru/private/51859281/cf947451209417257bd2a103b230fbfc


DimitarSerg пишет:
Slinger
Если бы вы выложили дистр, сразу бы любой сказал, что это StarForce (5.70.033.000, 01.06.12).
Старфорс невооружённым взглядом видно ;)

Действительно Старфорс. Спасибо. Добавил в TODO.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

DIE пишет что visual studio
судя по Armadillo KeyTool - это arma 9.40
выложил только экзешник, дистриб уже старый и весит много.
http://rghost.ru/51945197

| Сообщение посчитали полезным: hors

Dazz пишет:
DIE пишет что visual studio
судя по Armadillo KeyTool - это arma 9.40
выложил только экзешник, дистриб уже старый и весит много.
http://rghost.ru/51945197

Действительно Armadillo. Спасибо за файл. Добавил в TODO.

-----
http://ntinfo.biz

| Сообщение посчитали полезным: Dazz

Вышла 0.81

[+] Исправлены некоторые ошибки
[+] Улучшено определение VMprotect для dll (DenCoder)
[+] Исправлена критическая ошибка с обработкой экспорта некоторых файлов (deniskore)
[+] Улучшено определение Safengine Shielden (DimitarSerg)
[+] Улучшено определение Starforce (Slinger)
[+] Улучшено определение новых версий Armadillo (Dazz)
[+] Улучшено определение .ANDpakk2 (4kusNick)

-----
http://ntinfo.biz

| Сообщение посчитали полезным: Dazz, mushr00m