Обсуждение статьи Полная перекомпиляция программы write.exe или тестируем демо-версию IdaPro 5.6

-----
Всем не угодишь

| Сообщение посчитали полезным:

Опубликовано продолжение данной статьи Полная перекомпиляция простых exe-программ или тестируем демо-версию IdaPro 5.7.

Аннотация

Мы лишний раз убедились насколько хорош замечательный инструмент Ильфака Гильфанова IdaPro v. 5.7 demo. Тем более, можно рекомендовать приобрести его коммерческую версию. Но даже в демо варианте это действительно мощный инструмент. Тем не менее, хотелось бы опробовать это средство на чем-то по-настоящему реальном, на какой-нибудь достаточно большой серьезной программе. Вопрос только в том, какая это должна быть программа, чтобы с одной стороны, она была достаточно интересной и полезной, а с другой, чтобы ее исследование не ущемляло ничьих прав. Вы можете высказать по этому поводу свое мнение.

Примечание

К данному тексту приложен файл IdaPro57Test.zip (измените расширение в zip), с результатами тестирования. Можно также посмотреть pdf-версию этой статьи.

| Сообщение посчитали полезным:

Опубликована новая статья «Создание универсальных def и lib-файлов для «чужих» dll».

Введение
Проблема заключается в том, что использование стандартных lib-файлов от Майкрософт иногда приводит к ошибкам компиляции ассемблерного кода (например, сгенерированного дизассемблером IdaPro), связанных с отсутствием адекватных определений функций в файлах библиотек. Кроме того, иногда возникает необходимость вызова функций по ординалам, что фактически сводится к вопросу вызова функции по ее псевдоимени или адресу.

. . .

Выводы

Понятно, что представленное решение не является идеальным, И для новых проектов может потребоваться дополнительная правка def-файлов. Однако думается, что это будет вполне обозримым по трудоемкости. В любом случае, встречные предложения по совершенствованию техники создания собственных def и lib-файлов для различных dll только приветствуются.

Примечание

К данному тексту приложен файл CreatingLibFiles.003 (измените расширение в zip), с результатами тестирования. Можно также посмотреть pdf версию этой статьи.

| Сообщение посчитали полезным:

Опубликована новая статья «Как сохранить дизассемблерный листинг в IdaPro v.6.0 demo?».

Введение

Ильфак Гильфанов, создатель знаменитого дизассемблера IdaPro не перестает удивлять нас своим творением. На этот раз мы можем тестировать его новую версию 6.0. Она весьма существенно отличается от предыдущих переходом с платформы разработки Borland C++ на платформу Qt v.4.6.3.0. Внешне это выражается в более изящном и удобном интерфейсе, одинаковом для различных операционных систем. Что конечно немаловажно, но для нас более существенным является качество дизассемблирования программ. Посмотрим, что на этот раз приготовил нам наш творец. К сожалению, первое, что бросается в глаза, относится к плохой новости. Ильфак, в шестой версии, заблокировал нашу лазейку по сохранению листинга кода через буфер обмена. То, что он сделал это только в последней версии, заставляет подозревать его в чтении наших предыдущих статей, где мы описывали этот способ работы с дизассемблерным кодом . Т.е. копировать можно, но не более нескольких килобайт, что для многомегабайтных «простынь» кода совершенно не приемлемо. И что нам теперь делать? Как тестировать его любимое детище? Не покупать же данную программу только ради тестирования! Конечно, выход в данном случае мы все-таки найдем, обратив внимание на средства автоматизации IdaPro. А если наш любимый автор вырубит поддержку скриптов и плагинов в следующей версии? Допустим, мы опять найдем выход. Тогда Ильфак может пойти по пути фирмы «1С», которая уже давно не выпускает демо-версии своих продуктов, только демо-ролики . Так что запасайтесь на всякий случай нынешними шестыми демо-версиями впрок, а то чем черт не шутит .

. . .

Выводы

Хочется надеяться, что эта статья не послужит поводом для Ильфака Гильфанова закрыть в его демо-версиях возможность использования скриптов и плагинов.

Очевидно, что использование плагинов существо более эффективно, чем применение скриптов практически при том же уровне сложности работы. Конечно для этого нужно иметь IDA SDK последних версий и компилятор С++. Но что нам мешает применить Интернет в личных целях ? Эффективность плагинов заставляет пересмотреть наше отношение к внешним скриптам. Можно попытаться с их помощью проделать туже работу, что и в первых трех статьях и даже автоматизировать процесс восстановления бинарного кода программ (на уровне ассемблера) настолько, насколько это возможно. Так что для будущих статей темы всегда найдутся .

Примечание

К данному тексту приложен файл SaveListing.004 (измените расширение в zip), с результатами исследования и сгенерированным плагином. Можно также посмотреть pdf версию этой статьи.

3d1d_11.01.2011_CRACKLAB.rU.tgz - Save-IdaPro6-Demo-Listing-by-Erfaren.zip

| Сообщение посчитали полезным:

Лизнули ильфаку на отлично...

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным: [Nomad]

Hexxx пишет:
Лизнули ильфаку на отлично...
Нет Слов ! Будто Это Единственный стоящий проэкт !

| Сообщение посчитали полезным:

Tyra пишет:
Нет Слов ! Будто Это Единственный стоящий проэкт !
А что, есть что-то еще? Статья конечно пиар, чуть менее чем полностью, но альтернатив иды не видно.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

Ну, вы ребята даете! Заинтересованность путаете с лизоблюдством, в переводе на литературный язык . Впрочем, карму Ильфак себе зарабатывает сам, но его «Ида» это действительно шедевр, близкий к «темной» гениальности. Учитесь видеть интеллект в чужих творениях, а не только в собственных !

| Сообщение посчитали полезным: [0utC4St]

Erfaren пишет:
Впрочем, карму Ильфак себе зарабатывает сам, но его «Ида» это действительно шедевр, близкий к «темной» гениальности
Согласен, карма дело конечно хорошее, но главное что проект жив и развивается, если бы софтайс по той-же схеме продавали, то может он тоже и поныне здравствовал.. ведь подобных проектов по пальцам одной руки перечесть..

| Сообщение посчитали полезным:

Erfaren пишет:
«Ида» это действительно шедевр, близкий к «темной» гениальности. Учитесь видеть интеллект в чужих творениях, а не только в собственных !
купи ее, запроси сапорт, а потом рассказывай какой это шедевр. Или хотя бы попробуй пописать к ней скрипты и плагины, которые делают что-то более менее сложное.

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным:

Erfaren, Изложите пожалуйста кратко чем отличается качество дизасма версии 5.5 от 6.0 (голых, то есть Demo без плагинов, сигнов, скриптов и etc)
>>>> Хочется надеяться, что эта статья не послужит поводом для Ильфака Гильфанова закрыть в его демо-
версиях возможность использования скриптов и плагинов.
Очень сильно сомневаюсь что в следующей версии демки останется такая возможность.
з.ы. 2 all: а где обсуждение статьи то? все прицепились к паре фраз и начали офтопить.... как собсна и я.

-----
z+7v+/Lq4CAtIO/l8OL76SD44OMg6iDv8O7i4OvzLiCpIMPu7OXwINHo7O/x7u0=

| Сообщение посчитали полезным:

A V пишет:
Согласен, карма дело конечно хорошее, но главное что проект жив и развивается, если бы софтайс по той-же схеме продавали, то может он тоже и поныне здравствовал.. ведь подобных проектов по пальцам одной руки перечесть..
На замену «сосульке» пришли китайские «сиськи» (Syser Kernel Debugger) . Разве это не интересный, развивающийся проект? По-моему мнению, именно китайцы и должны были сделать нечто подобное. Они собираются стать мировым лидерам в ближайшее время, а чтобы на это претендовать, нужно, среди прочего, контролировать не только людей и ресурсы, но и (закрытый) мировой софт. На месте государства, мечтающего о гегемонии, я бы скрытно (неофициально) спонсировал бы подобные проекты, в том числе, такой как развитие ReactOS. Ну, а факт прикрытия «сосульки» похоже связан с ее «переразвитием».

| Сообщение посчитали полезным:

Hexxx пишет:
купи ее, запроси сапорт, а потом рассказывай какой это шедевр. Или хотя бы попробуй пописать к ней скрипты и плагины, которые делают что-то более менее сложное.
Чтобы купить «Иду», должна быть потребность в этом. А ее (потребности) пока нет . Ибо тот небольшой круг интересов, связный с этим продуктом, вполне решается возможностями демо-версии. Которых, скажу по секрету, слишком много, как для демонстрационной программы.

Писать скрипты и плагины для «Иды» трудно потому, что они слабо документированы. Например, поиск в Интернете ключевых слов (даже по отдельности), задействованных в большинстве своем в моем плагине, таких как:

"structplace_t"
"enumplace_t"
"idaplace_t"
"linearray_t"

практически не даст Вам реально работающего кода. Будут только общие описания типа как в kernwin.hpp.

Чтобы задействовать их мощь нужно просто понять модель базы данных Ильфака. Вот где проявился весь его изощренный ум математика и программиста. Модель эта явно избыточная, я даже думал, а не приспособить ли ее к ведению иерархических баз данных, не имеющих никакого отношения к крэкингу . Короче, нужно просто «влезть» в мозги Ильфака, чтобы эффективно пользоваться его шедевром. Согласен, что эта «работа» не для слабонервных .

| Сообщение посчитали полезным:

[0utC4St] пишет:
Erfaren, Изложите пожалуйста кратко чем отличается качество дизасма версии 5.5 от 6.0 (голых, то есть Demo без плагинов, сигнов, скриптов и etc)>>>> Хочется надеяться, что эта статья не послужит поводом для Ильфака Гильфанова закрыть в его демо-версиях возможность использования скриптов и плагинов.Очень сильно сомневаюсь что в следующей версии демки останется такая возможность.з.ы. 2 all: а где обсуждение статьи то? все прицепились к паре фраз и начали офтопить.... как собсна и я.
Наверняка есть исправления найденных багов, как минимум. Но чтобы ответить на Ваш вопрос по существу, нужно явно протестировать эффективность дизассемблирования различных программ в разных версиях «Иды». Делать вручную это очень утомительно, да и какая мне разница перейдете ли Вы на демо-версию 6.0 или останетесь в коммерческой версии 5.5? Не проще ли работать в обеих версиях? Тем не менее, использование скриптов и плагинов это первый шаг для выполнения подобной работы. Если удастся максимально автоматизировать процесс восстановления бинарного кода на уровне ассемблера, то тогда будет очень просто провести предполагаемые тесты. Возможно, это послужит темой моей будущей статьи.

| Сообщение посчитали полезным:

Erfaren пишет:
Чтобы задействовать их мощь нужно просто понять модель базы данных Ильфака. Вот где проявился весь его изощренный ум математика и программиста.
Та нет, это называется "мне полностью насрать на пользователей моего продукта. Я пишу вот так и не собираюсь никому ничего объяснять"

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным: ntldr, HandMill, Archer

Hexxx пишет:
Та нет, это называется "мне полностью насрать на пользователей моего продукта. Я пишу вот так и не собираюсь никому ничего объяснять"

Гений всегда самодостаточен и не склонен идти на поводу у общественного мнения. Пользователь может просто голосовать рублем или монгольским тугриком покупая или не покупая его продукт. Вообще-то Ильфак делает эту программу, в основном, не для простых смертных. Где-то проскочила фраза, что «Ида» предназначена для «секретных работников». Очень подозреваю, что именно эти «люди в черном», как минимум, содействовали нашему автору в доступе к очень ограниченной для других технической документации, без которой разработка подобных систем весьма затруднительна. Про финансы гадать не будем, но явно, что Ильфак не испытывает затруднений в «портретах мертвых президентов» или «унылых енотов» . Потому и отношение к обычным пользователям просто как к «прикрытию». Вообще-то он «знаковая фигура» на мировой сцене .

| Сообщение посчитали полезным:

Топикстартер восторженный юнец или толстый тролль.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

ntldr пишет:
Топикстартер восторженный юнец или толстый тролль.
Вообще-то тему создал Bad_guy. А Вы кого имеете в виду ?

| Сообщение посчитали полезным:

Тьфу, попутал. Я имею в виду вас.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

Erfaren пишет:
Очень подозреваю, что именно эти «люди в черном», как минимум, содействовали нашему автору в доступе к очень ограниченной для других технической документации, без которой разработка подобных систем весьма затруднительна.
И какая именно документация ограничена для "простых смертных"?
Intel Software Developers Manuals, AMD Developers Manuals, ARM Architecture Reference Manual или аналогичный для любого из поддерживаемых процессоров открыт для всех желающих и бесплатен.
Или документация по VCL (на котором до недавнего времени делали GUI для IDA) секретна?
Всё доступно, просто труда надо много чтобы написать кучу дизасмов под разные архитектуры.
Так и деньги он неслабые берёт за это.

| Сообщение посчитали полезным:

cppasm пишет:
И какая именно документация ограничена для "простых смертных"?Intel Software Developers Manuals, AMD Developers Manuals, ARM Architecture Reference Manual или аналогичный для любого из поддерживаемых процессоров открыт для всех желающих и бесплатен.Или документация по VCL (на котором до недавнего времени делали GUI для IDA) секретна?Всё доступно, просто труда надо много чтобы написать кучу дизасмов под разные архитектуры.Так и деньги он неслабые берёт за это.
Не буду спорить, возможно, Вы и правы. Только принцип «деньги утром, вечером стулья» или «деньги вечером, утром стулья» требует, чтобы сначала было «бабло» на все эти технические исследования и обработку документации, не говоря уже про собственно разработку программу, а потом уже возврат денег (полученных от ее продажи) затраченных на производство самой программы. Да и сама идея «интерактивного дизассемблирования» на то время была достаточно нова и не очевидна. Тем более, что мало кто тогда, да и сейчас готов был рискнуть вложить свои (или чужие) «бабки» в разработку подобного рода проектов. Поэтому, лично для меня факт коммерческой успешности «Иды» представляет собой в некотором смысле «чудо». Произошло то, что не вписывается в обычные законы этого мироустройства. Контр пример это Олег Ящук – создатель не менее знаменитой «Оли Дебаговой». Его не менее талантливый проект не нашел коммерческой поддержки, или чего там еще, не обогатив своего творца ни на грош. Какова истинная подоплека всех этих событий, я естественно не знаю.

| Сообщение посчитали полезным:

Erfaren пишет:
На замену «сосульке» пришли китайские «сиськи» (Syser Kernel Debugger) . Разве это не интересный, развивающийся проект?

2010.03.29 Syser Kernel Debugger 1.99.1900.1201 Release

| Сообщение посчитали полезным:

Erfaren пишет:
Только принцип «деньги утром, вечером стулья» или «деньги вечером, утром стулья» требует, чтобы сначала было «бабло» на все эти технические исследования и обработку документации
Нету такого принципа.
IDA не сразу бац и появилась.
Ты консольные версии под DOS видел?
Пишется начальная версия проекта (либо создателем проекта, либо нужен стартовый капитал и разраб. нанимается) и начинает продаваться.
Часть прибыли пускается на дальнейшее развитие, и если рынок оценили правильно это развитие увеличивает продажи.
Развитие по спирали, а не по принципу "дайте мне мешок бабла я вам дизассемблер напишу".
Erfaren пишет:
Контр пример это Олег Ящук – создатель не менее знаменитой «Оли Дебаговой». Его не менее талантливый проект не нашел коммерческой поддержки, или чего там еще, не обогатив своего творца ни на грош.
Его проект не искал коммерческой поддержки. Он бесплатный.
Если что-то дают бесплатно, это не значит что оно хуже платного или его не могут продать.

| Сообщение посчитали полезным:

cppasm пишет:
Нету такого принципа.IDA не сразу бац и появилась.Ты консольные версии под DOS видел?Пишется начальная версия проекта (либо создателем проекта, либо нужен стартовый капитал и разраб. нанимается) и начинает продаваться.Часть прибыли пускается на дальнейшее развитие, и если рынок оценили правильно это развитие увеличивает продажи.Развитие по спирали, а не по принципу "дайте мне мешок бабла я вам дизассемблер напишу".

Они до сих пор есть: idau.exe и idaw.exe. Все это конечно так, развитие по спирали еще никто не отменял. Но разве Ильфак был единственный, кто занимался подобными проектами? Но почему-то у него получилось лучше, чем у других. Это связано либо с внешней поддержкой, либо с его особой одаренностью, подобной как у дяди Била – екс-начальника MS, а может быть и с тем и с другим. Как бы там ни было, но феномен выпускника мехмата МГУ И. Гильфанова еще не до конца разгадан.

cppasm пишет:
Его проект не искал коммерческой поддержки. Он бесплатный.Если что-то дают бесплатно, это не значит что оно хуже платного или его не могут продать.

Не уверен. По-моему, в начале «Оля Дебаговая» была «шаровароной» и только где-то в районе первой версии стала «фриварной». Что принудила Олега Ящука пойти на этот шаг для меня неясно.

Вообще-то я смотрю, что буржуи не могут обойтись без советско – российских мозгов. Только почему у себя в заднице (я хотел сказать на Родине) мы не можем конвертировать ум во что-то материально привлекательное без сделок с совестью ?

| Сообщение посчитали полезным:

Erfaren
Сколько вам заплатил Ильфак? Я не верю, что можно так с пеной у рта тут отстаивать его интересы за просто так.

| Сообщение посчитали полезным:

Alchemistry пишет:
Erfaren
Сколько вам заплатил Ильфак? Я не верю, что можно так с пеной у рта тут отстаивать его интересы за просто так.
Вы не поверите! Целый килограмм «идолов»!!! Это так будут называться Интернациональные ДОЛлары, который должны прийти на смену зеленной резанной бумаге. Даже у самой королевы пока только сто баксов нового образца, подаренных ей на день рождение. Так что я круче ее . Вот прочтут еще сто человек этот топик, кто-нибудь один возьмет да и купит «Иду» и Ильфак сразу окупит все расходы на меня .

| Сообщение посчитали полезным:

Archer'a на вас нет.
Нереальный срач...
В шапку темы добавьте атеншен: "Внимание! Одним из побочных эффектов от прочтения этой статьи является так называемый butthurt."

-----
z+7v+/Lq4CAtIO/l8OL76SD44OMg6iDv8O7i4OvzLiCpIMPu7OXwINHo7O/x7u0=

| Сообщение посчитали полезным:

Странный автор, а может это и есть Ильфак и сам себя пиарит. Непонятно зачем большую часть написаного на вашем сайте сюда переносить, если кому-то стало бы интересно это можно прочитать там. В принципе логику вашу понять можно набивание постов вот и все. Удачи!

| Сообщение посчитали полезным:

Erfaren пишет:
Они до сих пор есть: idau.exe и idaw.exe.
Консоль и DOS-приложение это разные вещи вообще-то.

| Сообщение посчитали полезным:

EugenCr пишет:
Странный автор, а может это и есть Ильфак и сам себя пиарит.

Точно, в точку! У Ильфака раздвоение личности, кроме денег захотелось побольше славы и полез "в народ". Говорит теперь на форумах о себе в третьем лице и прославляет сам себя...
Причём вторая личность Ильфака никак не хочет покупать официальную версию у первой, а первая специально оставляет побольше всего полезного в демоверсии для второй. Такой вот симбиоз двух Ильфаков с минимальными затратами на пиар...

p.s. Erfaren я не читал ваши статьи и не берусь судить об Ильфаке или других авторах ровно как и о будущем превосходстве Китая, но ваши посты и правда до отвращения пресыщены похвалами. Именно по этому, а не ввиду не виденья ничего кроме своих творений вы читаете такие отзывы от участников форума.

| Сообщение посчитали полезным: EugenCr