Detect It Easy утилита для определения версии протекторов/ упаковщиков

Текущая версия 1.00





Здесь будут выкладываться последние наработки.

Скачать

Changelog
GITHUB

Приветствуются замечания. Сообщения о ложных срабатываниях. Новые идеи.

Если я долго отсутствую на форуме или не отвечаю в ЛС, пишите мне на horsicq[at]gmail.com

-----
http://ntinfo.biz

| Сообщение посчитали полезным: Hellspawn, _ruzmaz_, 4kusNick, ==DJ==[ZLO], mushr00m, Diabolic, daFix, Dazz, void, BAHEK, -Sanchez-, SergeyIvan, vnekrilov, dimka_new, stas_02, crc1, Grim Fandango, GPcH, DimitarSerg, ylproduction, DenCoder, Jim DiGriz, ClockMan, VAD87, DICI BF, Chris, Black_, HandMill, MasterSoft

1. Может добавить при определении армы его сайт?
www.siliconrealms . com


2. У меня тут сохранился старый Registry Trash Keys Finder
В секции есть имя .dotfix
Exeinfo Pe пишет:
DotFix NiceProtect 2.5 (with internal packer) GPcH Soft - www.niceprotect.com

DIE вообще ничего не пишет.
http://rghost.ru/private/52152290/7bd1a7e3969ed3f45c9229b63d7c97c9

| Сообщение посчитали полезным: hors

Dazz пишет:

1. Может добавить при определении армы его сайт?
www.siliconrealms . com

Спасибо. Добавил в TODO.

Dazz пишет:

2. У меня тут сохранился старый Registry Trash Keys Finder
В секции есть имя .dotfix
Exeinfo Pe пишет:
DotFix NiceProtect 2.5 (with internal packer) GPcH Soft - www.niceprotect.com

DIE вообще ничего не пишет.
http://rghost.ru/private/52152290/7bd1a7e3969ed3f45c9229b63d7c97c9
Спасибо. Добавил в TODO. DotFix NiceProtect надо будет подробно изучить.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Решил еще пройтись по стареньким программам. На этот раз - Trial Reset

DIE - не определяет
Exeinfo Pe определил, что это WinUpack 0.37-0.39 by Dwing --- http://dwing.51.net
PeId - UPack 0.399 -> Dwing. Оказалась у меня старая версия была, проверил последней, dotfix из прошлого поста определяет.
PROTECTiON iD v6.5.5 пишет, что это Private Exe Protector
RDG Packer Detector вообще завис

http://rghost.ru/private/52157117/aec8069e3973b3d961dd2eb887573b56

-----------------
Нашел еще древнючий файл 2003 года
Если верить 3 сканерам, накрыт JDPack ver 1.01 . Такой пакер уже наверное фиг где найдешь. Файл запакованный нужен?

| Сообщение посчитали полезным:

Dazz пишет:
http://rghost.ru/private/52157117/aec8069e3973b3d961dd2eb887573b56

Спасибо. Будем разбираться.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Dazz пишет:
Нашел еще древнючий файл 2003 года
Если верить 3 сканерам, накрыт JDPack ver 1.01 . Такой пакер уже наверное фиг где найдешь. Файл запакованный нужен?

Конечно нужен!

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

upx-ripper - http://rghost.ru/private/52158199/b135157017a5a6cde59256b71c2d5c40

Запись из exeinfo
JDPack ver 1.01 ( 2005 ) - www.tlzj18.com ( China link ??? )

-------
Посмотри еще это - UnMew ,2004 года
DIE показывает только linker, PeID - arma 4
Linker - это показывает версию компилятора? Т.е. получается определяет все?

http://rghost.ru/private/52159043/0d17992d616be15ad289eb51b7b95d07

| Сообщение посчитали полезным:

Dazz пишет:
upx-ripper - http://rghost.ru/private/52158199/b135157017a5a6cde59256b71c2d5c40

Спасибо. Как разберусь со всеми файлами, добавлю их в TODO.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hors,

DIE не определил чем накрыт Сrackme №2 от diablo2oo2.
PeId показал Y0da's Cryptor 1.2
RDG Packer Detector показал Y0da's Cryptor 1.2

261f_11.02.2014_EXELAB.rU.tgz - d2k2_crkme02.exe

| Сообщение посчитали полезным: hors

DICI BF пишет:
DIE не определил чем накрыт Сrackme №2 от diablo2oo2.
PeId показал Y0da's Cryptor 1.2
RDG Packer Detector показал Y0da's Cryptor 1.2

261f_11.02.2014_EXELAB.rU.tgz - d2k2_crkme02.exe


Спасибо. Буду разбираться.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hors,

3f9f_15.02.2014_EXELAB.rU.tgz - NFOView.exe
Вот DIE не определил.
Я глянул на код вроде упырь (UPX) модифицированный.

Вот ещё один случай,некоторые анализаторы показывают Petite 1.2, другие Unkown.

| Сообщение посчитали полезным: hors

DICI BF пишет:
3f9f_15.02.2014_EXELAB.rU.tgz - NFOView.exe
Вот DIE не определил.
Я глянул на код вроде упырь (UPX) модифицированный.

Вот ещё один случай,некоторые анализаторы показывают Petite 1.2, другие Unkown.

Спасибо. Буду разбираться.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hors, в 0.81 версии перестал детектиться фсг2.0.
в аттаче 2 файла - упакованный и нет. Простейшая прога с аски символами на vb6.0

338d_16.02.2014_EXELAB.rU.tgz - symbols.rar

| Сообщение посчитали полезным: hors

mushr00m пишет:
hors, в 0.81 версии перестал детектиться фсг2.0.
в аттаче 2 файла - упакованный и нет. Простейшая прога с аски символами на vb6.0

338d_16.02.2014_EXELAB.rU.tgz - symbols.rar

Спасибо за тестирование. Ошибка исправлена. Попробуйте скачать http://ntinfo.biz/files/DIE_081_win.zip еще раз.

-----
http://ntinfo.biz

| Сообщение посчитали полезным: mushr00m

Вышла 0.82

[+] Исправлены некоторые ошибки
[+] Оптимизирована библиотека для работы с сигнатурами
[+] Добавлена информация об armadillo (Dazz)
[+] Улучшено определение DotFix NiceProtect 2.5 (Dazz)
[+] Добавлено определение .NET протекторов (ajax)
[+] Улучшено определение Y0da's Cryptor (DICI BF)
[+] Исправлена ошибка с детектом IA-64 файлов (A.S.L)
[+] Сделана активной ссылка "Bugreport" (A.S.L)
[+] Исправлена ошибка редактирования в HEX-редакторе (hypn0)

-----
http://ntinfo.biz

| Сообщение посчитали полезным: mushr00m

Кстати в About->Thanks можно посмотреть аватарки всех людей, которые помогали проекту. Если кто хочет поменять изображение, кидайте ссылку на картинку в ЛС(я сам её пожму и вставлю)



-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Оно ведь давно уже, почему только щас, или начали люди жаловатся на аватарки

Мне моя еще тогда не понравилась, можно взять мою здешнюю аватарку. Я на ней хорошо получился

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным: hors

BoRoV пишет:
Оно ведь давно уже, почему только щас, или начали люди жаловатся на аватарки

Ну не то чтобы жаловались, просто кто-то хочет другую картинку.

BoRoV пишет:
Мне моя еще тогда не понравилась, можно взять мою здешнюю аватарку.

Ок. В следующем релизе будет новая.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

reversecode можно удалять, он ничем не помогал

| Сообщение посчитали полезным:

reversecode пишет:
reversecode можно удалять, он ничем не помогал

[+] Добавлена консольная версия (reversecode)(0.71)

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

ну так он не добавлял, он только предложил
так что фейковых помошников типа reversecode и других, надо удалить

| Сообщение посчитали полезным:

reversecode пишет:
ну так он не добавлял, он только предложил
так что фейковых помошников типа reversecode и других, надо удалить

В скобках я пишу с чьей подачи был сделан пункт TODO.

Все ники, которые были в Changelog --> Link <--, добавлены в Thanks.

Убрать ник из Thanks стоит 500$

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

тогда новый туду,
сортировку "секнс" сделать по важности,
например тех кто помогает баг репортами по сигнам добавить вначало, а таких как reversecode подальше вниз и мелкими буками

| Сообщение посчитали полезным: mushr00m

reversecode пишет:
тогда новый туду,
сортировку "секнс" сделать по важности,
например тех кто помогает баг репортами по сигнам добавить вначало, а таких как reversecode подальше вниз и мелкими буками

Не знаю стоит ли делать такую сортировку(думаю что все-таки нет).

Но когда выйдет версия 1.00(финальная, после которой я скорее всего закончу своё участие в этом проекте), будет выпущен пресс-релиз в котором будет подробно описан вклад всех кто помогал.

Так что можно особо по этому поводу не волноваться.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Вышла 0.83

[+] Исправлены некоторые ошибки
[+] Добавлен тип MACH-O(исполняемые файлы Mac OS)
[+] Улучшен показ графика энтропии (void)
[+] Исправлена ошибка с неверным выводом времени при сканировании папок (hypn0)
[+] Исправлена ошибка с неверным выводом пути при сканировании папок (hypn0)
[+] Добавлен файл конфигурации для консольной версии (hypn0)
[+] Исправлена ошибка с неверным показом TLS callback в PE+(deniskore)

-----
http://ntinfo.biz

| Сообщение посчитали полезным: mushr00m

hors 1.00 final? инструмент станет идеальным?

-----
[nice coder and reverser]

| Сообщение посчитали полезным: hors

Сразу два бага.
- Неверно детектится тунец.
- Если открывать что либо с ярлыка, то и иконка в таскбаре будет от этого приложения, а не от DiE.


И замечание\пожелание. Хорошо, что поменял картинку мне но вот поле отображения этой картинки нижней границей упирается в нижнею границу групбокса, красивее было бы, если оно имело такуюже высоту как и сам список ников.

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным: hors

Hellspawn пишет:
hors 1.00 final? инструмент станет идеальным?

Обязательно станет

Только такими темпами финальной версии ждать около года.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

BoRoV, спасибо за тестирование.

BoRoV пишет:
- Неверно детектится тунец.

Добавил в TODO

BoRoV пишет:
- Если открывать что либо с ярлыка, то и иконка в таскбаре будет от этого приложения, а не от DiE.

Я не уверен, но возможно это особенность Windows.


BoRoV пишет:
И замечание\пожелание. Хорошо, что поменял картинку мне но вот поле отображения этой картинки нижней границей упирается в нижнею границу групбокса, красивее было бы, если оно имело такуюже высоту как и сам список ников.

Добавил в TODO

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Не детектится Spoon Studio.

| Сообщение посчитали полезным: hors

GMAP пишет:
Не детектится Spoon Studio.
Спасибо за тестирование. Добавил в TODO

-----
http://ntinfo.biz

| Сообщение посчитали полезным: