IDR (Interactive Delphi Reconstructor) – декомпилятор исполняемых файлов (EXE) и динамических библиотек (DLL), написанных на языке Delphi и выполняемых в среде 32х-разрядных операционных систем Windows.



Программа, прежде всего, предназначена для компаний, занимающихся разработкой антивирусного программного обеспечения. Она также может в значительной мере помочь программистам в восстановлении утраченных исходных текстов программ.

Текущей версией программы могут обрабатываться файлы (как GUI, так и консольных приложений), скомпилированные компиляторами версий Delphi2 – Delphi2010. Ведется работа по поддержке Дельфи 2011.

Конечной целью проекта является разработка программы, способной восстановить большую часть исходных Delphi-текстов из скомпилированного файла, но пока IDR, как и другие Delphi-декомпиляторы, сделать этого не может. Тем не менее, IDR может значительно облегчить такой процесс. По сравнению с другими декомпиляторами анализ, выполненный IDR, отличается наибольшей полнотой и достоверностью. Кроме того, высокая интерактивность делает работу с программой комфортной и (не побоимся этого слова) приятной.

IDR выполняет статический анализ (анализируемый файл не запускается на выполнение), что позволяет безопасно изучать вирусы, трояны и прочие приложения, запуск которых опасен или нежелателен.

Программа не требует установки и не делает никаких записей в реестр Windows.


Официальный сайт:
kpnc.org/idr32
[Note] Недоступен после трагической гибели Криса (RIP)

Гитхаб
Github sources

Скачать:
Страница загрузки

Dropbox автора
https://www.dropbox.com/sh/9ran313nidqtagb/AADl_m_9GVYSiXUviZtDQWQHa?dl=0

Актуальная версия программы:

Исполняемый файл
Внимание! Требует наличия вспомогательных файлов и баз знаний!!!

Базы данных качать по
ссылке.

Для работы необходимо скачать базу знаний + последнюю версию программы

| Сообщение посчитали полезным:

Как бы обновление на сайте. База знаний для 2010 закрыта паролем. Если очень нужно, обращайтесь на crypto2011@gmail.com, жертвуйте 15 зеленых или 500 деревянных - и пароль у вас в руках. Для некоторых форумчан могут быть сделаны исключения.
ЗЫ
Если нужно растолковать новые фичи, скажите, дам развернутые пояснения.

| Сообщение посчитали полезным:

crypto пишет:
Если нужно растолковать новые фичи, скажите, дам развернутые пояснения.
Fuzzy scan KB

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Зачем сделана возможность ручного выбора версии, если сколько не пытайся выбрать 2009 версию для 2010 файла - все равно не открывает (хотя на открытие файла версия DB вообще никак не должна влиять). Мой декомпиль если не определяет версию - все открывает в режиме Delphi 7 и пока никто не заметил разницу

PS: солюшен то я нашел (всмысле как загрузить 2010 без базы), только вот тут его писать не буду для хитрецов и халявщиков. Кому надо - не пожалейте 15 баксов, возможно новые версии будут выходить чаще. Сам увы этот декомпилятор не юзаю (ибо для себя есть все свое).

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

GPcH
Дык в 2010 куча изменений по сравнению с 2009, особенно в RTTI, структура, используемая в @InitExe, тоже изменилась.
Сам увы этот декомпилятор не юзаю (ибо для себя есть все свое).
То есть тебе пароль не нужен

| Сообщение посчитали полезным:

GPcH, может анализатор crypto знает сам какая версия делфи используется
crypto, если не сложно, сделайте выбор пользователя приоритетнее определителю версий, а лучше ещё и галку в настройках, так сказать, чтобы юзер выбирал стоит верить ему или программе, машины тоже не совершенны и огромное спасибо за такой продукт

| Сообщение посчитали полезным:

Error13Tracer
GPcH использует, насколько я понимаю, идеи DeDe, а тот, как известно на определенном этапе перестал развивать свою программу.
В следующий билд планруется сделать еще одну фичу: возможность строить свои базы знаний (например, по списку юнитов, используемых в программе, или расширенные за счет других известных библиотек базы) и выбирать их вместо стандартных.

| Сообщение посчитали полезным:

crypto пишет:
В следующий билд планруется сделать еще одну фичу: возможность строить свои базы знаний (например, по списку юнитов, используемых в программе, или расширенные за счет других известных библиотек базы) и выбирать их вместо стандартных.
Здорово, спасибо!
А можно не вместо, а вместе?

| Сообщение посчитали полезным:

Да простят меня модераторы: здесь требуется пространный ответ, поэтому "правкой" я не воспользовался.
Isaev
Относительно упомянутой фичи. Замечал наверное, что после сканирования в списках элементов стандартных юнитов есть нераспознанные , которые называются просто sub_XXXXXXXX? Не распознаны они могут быть по разным причинам, но глобальная причина одна - отсутствие точного совпадения распознаваемого куска кода и куска кода из базы знаний. IDR проверяет совпадение с точностью до фиксапов и если хотя бы в одном байте произошло рассогласование, проверка прекращается и происходит переход к следующей процедуре базы знаний. Например, может не совпасть смещение поля класса, потому что юнит и исследуемая программа были скомпилированы при разных установках относительно выравнивания. Еще причинами несовпадения могут быть оптимизация и несовпадение версий компилятора.
В любом случае появляются такие пропуски и если пропущенная процедура представляет интерес (например, вызывается в исследуемом месте), то исследователю ничего другого не остается, как лезть в дизассемблированный юнит и находить в нем пропущенную процедуру или пытаться понять, что данная процедура делает.
Я тоже так поступал, а потом придумал эту фичу, существенно упрощающую процесс (иногда попадание 100%, иногда приходится прокрутить вверх или вниз, чтобы найти подходящего кандидата).
Ты выбираешь двойным щелчком пропущенную процедуру, выбираешь опцию "Fuzzy scan in KB" и в полученном окне видишь слева код процедуры, а в правом - кандидата из базы знаний. Число между кнопками Prev и Next - это расстояние от данного положения в базе знаний (как бы курсор в базе данных) и служит для ориентации, чтобы ты всегда мог вернуться в исходное положение и продолжить поиск в другом направлении. Теперь ты сравниваешь содержимое обоих окон, при этом нужно прежде всего опираться на текстовые поля. Содержимое может существенно различаться, и тем не менее при этом может быть полное соответствие (например, в случае оптимизации).
Если ты считаешь, что соответствие найдено, жми кнопку Use, при этом будет заимствован прототип и еще некоторые свойства найденной процедуры.
Я применил термин Fuzzy, потому что процесс на самом деле носит вероятностный ("нечеткий") характер, но к "нечеткой логике" данная фича отношения не имеет.

Azur1d
Ну да, я именно это и имел в виду

| Сообщение посчитали полезным:

GPcH пишет:
солюшен то я нашел (всмысле как загрузить 2010 без базы)
загрузить то можно, анализ только хуже будет.

| Сообщение посчитали полезным:

crypto пишет:
GPcH использует, насколько я понимаю, идеи DeDe

у GPcH полностью статический анализатор.

| Сообщение посчитали полезным:

To all
Может кто-нибудь сказать на основе имеющегося опыта работы с программами на Дельфи, какие Дельфийские библиотеки особенно популярны у программистов. Вот я лично знаю про RxLib (кажись так), а есть ли другие? И вторая половина вопроса: где взять соответствующие файлы dcu. Может вопросы не по адресу и мне следует спрашивать подобное где-нибудь в Королевстве Дельфи и прочая?

| Сообщение посчитали полезным:

indy юзают часто. А лучше просто походить по форумам и поглядеть.

| Сообщение посчитали полезным:

Archer
Это юниты, начинающиеся на id (входят в Дельфи по умолчанию)? У меня в базы включены все юниты, которые входят в Дельфи (берутся из соответствующей директории).
А вот к примеру я часто вижу юниты, начинающиеся на tx или cx, в Инете ничего не нашел. Может быть про них что-то известно. Ну не может быть совпадений названий более чем в пяти программах!
Но ты прав - придется походить, поспрашивать.

| Сообщение посчитали полезным:

crypto часто используют ещё MyDAC (для MySQL), и AlphaSkin(понятно для чего) бывает.

| Сообщение посчитали полезным:

Порой встречаются проги с использованием KOL\MCK (http://kolmck.net/).

На счет IDR - стоит ли в будущем ожидать многопоточности при анализе?
И иногда нехватает вывода строк (ANSI и UNICODE) в дизасме при первичном осмотре кода.
Ещё некоторые строки не попадают во вкладку Strings (при осмотре этих строк, в Explorer'е видно, что это обычные PAnsiChar).

О, и ещё - когда закрываешь IDR - уже не сможешь отменить его закрытие - не важно - согласишься сохранять проект или нет. Это не так важно, но для юзабилити не будет лишней кнопка Cancel в том MessageBox'е.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

есть такая тема руБорде [url=http://forum.ru-board.com/topic.cgi?forum=35&topic=47325&start=72 0#lt ]->Link<-[/url] по выкладке коммерческих компонентов для делфи там посмотреть и спросить по названиям компонентов, если надо будет доступ к обменнику с компонентами в пм. + jvcl.delphi-jedi.org/ www.devexpress.com/

| Сообщение посчитали полезным:

crypto пишет:
Дык в 2010 куча изменений по сравнению с 2009

Я понимаю, но почему если я выбираю режим Delphi 2009, то он не применяется к EXE скомпилированном в 2010? Ведь если можно выбрать, то почему выбор пользователя не приоритетнее внутреннего?

crypto пишет:
То есть тебе пароль не нужен

Чессно - неа. Если только для коллекции. Иначе бы наравне со всеми отбашлял 15 баксов. Вообще из реверсерского софта юзаю только HIEW, Olly и свои наработки.

crypto пишет:
GPcH использует, насколько я понимаю, идеи DeDe

Из DeDe у меня ни строчки. Честное слово. Формат баз полностью свой. Просто у меня в базах хранятся ТОЛЬКО сигнатуры функций и контрольная сумма для их определения. Причем контрольная сумма - довольно интересная собственная идея, которую я нигде не встречал, позволяющая контрольной суммой в 4 байта полностью описать всю функцию с учетом релоков. Ничего лишнего я в базах не храню ибо при декомпиляции практически никому не нужны типы/структуры и так далее.

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

crypto
Не знаю на сколько популярно, но думаю лишним не будет)
DCPcrypt www.scramdisk.clara.net/

ещо такое знаю sourceforge.net/projects/tplockbox/files/

для интернета indy и synapse

-----
zzz

| Сообщение посчитали полезным:

crypto
crypto пишет:
А вот к примеру я часто вижу юниты, начинающиеся на tx или cx, в Инете ничего не нашел.
cx - видимо ето из DevExpress - очень популярных компонентах
www.devexpress.com/Products/VCL/
tx - трудно сказать, а можно сюда примеры названий?
в чем вообще задумка - начать делать юзерские KB?
если да - то ето может иметь далекие последствия! (аналог - *.sig/IDA)

| Сообщение посчитали полезным:

Самые популярные ИМХО

Jedi
DevExpress
TMS Components Pack

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

То что в голову пришло:
Jedi, RxLib, DevExpress, ehLib, DCPCrypt, Synapse, Indy, AlphaSkins, ZeosDBO, FIBPlus, MyDAC, FastReport

| Сообщение посчитали полезным:

Спасибо всем. Все предложения, замечания постараюсь учесть. Сообщения об ошибках (вместе с файлом) шлите мне на crypto2011@gmail.com

| Сообщение посчитали полезным:

SUIPack забыли

| Сообщение посчитали полезным:

по по-поводу компонент - в идеале надобно б голосование сделать - есть такая фича в здешнем форуме?

| Сообщение посчитали полезным:

crypto пишет:
какие Дельфийские библиотеки особенно популярны у программистов.
Помимо того что написал Azur1d RegExpr,GraphicEx
crypto пишет:
Это юниты, начинающиеся на id (входят в Дельфи по умолчанию)?
да, но могут быть поставленны отдельно более новые версии
4kusNick пишет:
Порой встречаются проги с использованием KOL\MCK
+1 если сделаешь поддержку, будешь вроде первый в этой области, но гемора там хватает.

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

KOL/MSK такая редкость, что не стоят внимания кодера декомпиля. Я за более чем 5 летний опыт только один раз столкнулся с этой фигней да и то это была какая то гавнопрожка, олли за глаза хватило.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

да, кол это редкость, а вот всякие скинабельные компоненты это да, но и то не так уж и часто бывают, вот DCPCrypt нужно добавить, в 70% прог, что мне попадались с каким либо крипто/хешами, то они были реализованы с его помощью... хотя и в этой поставке справляется неплохо с этой либой, ещё бы было бы неплохо FGInt и еже с ним...

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

Да, я согласен, что KOL/MCK штука экзотическая, упомянул про неё лишь потому, что бывают проекты целиком на ней, что в случае большого и толстого проекта причиняет неслабую головную боль при ковырянии. Однако, не могу не согласиться, что если и добавлять его в todo, то в самый конец списка)

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

Полазил я по разным местам. Получается, что собрать коллекцию dcu разных вендоров под разные версии Дельфи будет крайне затруднительно. Даже не знаю, как это лучше сделать... Вендоры как правило архивы в открытом доступе не держат. Не обращаться же к ним с просьбой прислать старые файлы за бесплатно?
Так что давайте, что у кого в загашнике есть, кидайте мне, я буду разгребать.

| Сообщение посчитали полезным:

crypto
А не лучше отдельный сделать генератор баз? У кого что есть, тот и сделает, а если обновление выйдет для компонентов, тебя тревожить опять? Или это не выход?

| Сообщение посчитали полезным: