IDR (Interactive Delphi Reconstructor) – декомпилятор исполняемых файлов (EXE) и динамических библиотек (DLL), написанных на языке Delphi и выполняемых в среде 32х-разрядных операционных систем Windows.



Программа, прежде всего, предназначена для компаний, занимающихся разработкой антивирусного программного обеспечения. Она также может в значительной мере помочь программистам в восстановлении утраченных исходных текстов программ.

Текущей версией программы могут обрабатываться файлы (как GUI, так и консольных приложений), скомпилированные компиляторами версий Delphi2 – Delphi2010. Ведется работа по поддержке Дельфи 2011.

Конечной целью проекта является разработка программы, способной восстановить большую часть исходных Delphi-текстов из скомпилированного файла, но пока IDR, как и другие Delphi-декомпиляторы, сделать этого не может. Тем не менее, IDR может значительно облегчить такой процесс. По сравнению с другими декомпиляторами анализ, выполненный IDR, отличается наибольшей полнотой и достоверностью. Кроме того, высокая интерактивность делает работу с программой комфортной и (не побоимся этого слова) приятной.

IDR выполняет статический анализ (анализируемый файл не запускается на выполнение), что позволяет безопасно изучать вирусы, трояны и прочие приложения, запуск которых опасен или нежелателен.

Программа не требует установки и не делает никаких записей в реестр Windows.


Официальный сайт:
kpnc.org/idr32
[Note] Недоступен после трагической гибели Криса (RIP)

Гитхаб
Github sources

Скачать:
Страница загрузки

Dropbox автора
https://www.dropbox.com/sh/9ran313nidqtagb/AADl_m_9GVYSiXUviZtDQWQHa?dl=0

Актуальная версия программы:

Исполняемый файл
Внимание! Требует наличия вспомогательных файлов и баз знаний!!!

Базы данных качать по
ссылке.

Для работы необходимо скачать базу знаний + последнюю версию программы

| Сообщение посчитали полезным:

yanus0
Я собственно и собирался генератор баз отдать, но было бы красивше, если бы в пакет вошли базы под те самые компоненты, которые мне тут наговорили. В идеале неплохо было бы вообще создать общедоступный архив dcu под различные версии и оттуда забирать только те файлы, которые входят в исследуемую программу (генерация базы по списку юнитов - получаем компактную базку). Еще возможен вариант разбора dcu файла "на лету" без всякой базы знаний, однако здесь не все ясно.

| Сообщение посчитали полезным:

crypto пишет:
Так что давайте, что у кого в загашнике есть, кидайте мне, я буду разгребать.

я правильно понял что например возьмем пакет DevExpress
надо
а) откомпилировать его в Дельфи6
б) Делфи 7
.. и так до Дольфи 2011

и послать на анализ тебе сгенеренные *.dcu ?
надо дебаг/релиз дцу или вместе?

| Сообщение посчитали полезным:

sendersu
В принципе наверное так, если есть исходники . Только нужно компилировать с дефолтными установками.

| Сообщение посчитали полезным:

На мой взгляд проге не хватает возможностей правки (хотя бы без вставки новых байтов), таких как:
- ассемблер в окне "CodeViewer";
- возможность правки строк в окне "ResString context";
- возможность изменения форм в режиме Text (а в идеале и Form).

кстати delphi+kol использовался в старых версиях hiasm (сейчас идет вместе с fpc)

| Сообщение посчитали полезным:

_ruzmaz_
Мне уже прислали зарубежные господа просьбу также добавить в программу возможность изменять PE-header и ресурсы и сохранять изменения в анализируемом файле.
Только вот зачем превращать инструмент для восстановления исходных кодов в некое подобие "Hacker Dreams"? Для этого есть другие инструменты.

| Сообщение посчитали полезным:

Конечно то, что придложил _ruzmaz_, облегчило бы жизнь многим, но в силу своих познаний, понимаю что на хорошем уровне это достаточно сложно в реализации.
Добавлю, что библиотеки KOL всёже иногда используются, лучше и DCU от них добавить, т.к. в узких кругах они очень распрастранены)

| Сообщение посчитали полезным:

Error13Tracer пишет:
но в силу своих познаний, понимаю что на хорошем уровне это достаточно сложно в реализации
достаточно сложно в реализации "ассемблер в окне "CodeViewer"" и "а в идеале и Form"
crypto пишет:
"Hacker Dreams"
эт что такое?
crypto пишет:
Для этого есть другие инструменты.
дык этож неудобно)

| Сообщение посчитали полезным:

_ruzmaz_
"Hacker Dreams"
эт что такое?
Это такая гипотетическая программа - мечта хакера. Кажется даже были игры под таким названием.

| Сообщение посчитали полезным:

Безусловно, комбайн из инструмента делать не надо, но возможность патчинга кода была бы очень кстати, подтверждаю.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

4kusNick пишет:
Безусловно, комбайн из инструмента делать не надо, но возможность патчинга кода была бы очень кстати, подтверждаю.

Это и будет комбаин... Если это декомпилятор, то он не рождён чтобы патчить, на то есть куча тулз, к которым притёрлись уже

Можно например при даблклике на строке загружать прогу в Olly (или что пропишешь) и переходить к данному адресу )))
Было бы оригинально и очень удобно

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev
Можно например при даблклике на строке загружать прогу в Olly (или что пропишешь) и переходить к данному адресу )))
Вот здесь подробнее, пож-ста. Я уже реализовал для мэна из Тайваня выгрузку комментариев в Олли. Теперь занимаюсь генерацией скрипта для ИДЫ. Было бы неплохо к этому винегрету добавить и твою идею. Свои идеи пиши мне в личку.

| Сообщение посчитали полезным:

crypto пишет:
Вот здесь подробнее, пож-ста. Я уже реализовал для мэна из Тайваня выгрузку комментариев в Олли. Теперь занимаюсь генерацией скрипта для ИДЫ. Было бы неплохо к этому винегрету добавить и твою идею. Свои идеи пиши мне в личку.
как к примеру в VB Decompiller'e, там и map и idc..

пока суть да дело, я пользуюсь в IDA плагином загрузки .map файлов
так вот можно что бы в .map или уже в idc вырезались с имен функций @, потому что IDA их не понимает
в хексрейс имя полностью обрезает до @ игнорируя все остальное
вот точки в именах, хексрейс нормально воспринимает

и еще, IDR умеет находить и расспознавать русские стринги, IDA этого не умеет
можно что бы idc выставлял комментариями в IDA строки которые уже нашла IDR

ну и что бы в idc были не только имена и комментарии, но хотябы уже и имена статических переменных которые IDR нашла

| Сообщение посчитали полезным:

crypto пишет:
Вот здесь подробнее, пож-ста.
А что там делать то, накодить плагин для ольки, которым можно командывать из IDR и всего делов. Я так когда то наномиты восстанавливал, смотрел в оле что по определенному адресу лежит через плагин.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

reversecode пишет:
пока суть да дело, я пользуюсь в IDA плагином загрузки .map файловтак вот можно что бы в .map или уже в idc вырезались с имен функций @, потому что IDA их не понимаетв хексрейс имя полностью обрезает до @ игнорируя все остальноевот точки в именах, хексрейс нормально воспринимает


А может это всё-таки проблема в самом плагине, подгружающем .map На днях выложу свой старенький. используемый для подгрузки мап-файлов от vc/dede

-----
DREAMS CALL US

| Сообщение посчитали полезным:

не ну причем тут плагин подгрузки
плагин грузит map такой какой он есть
а в самом map который генерирует IDR в именах функций есть кроме точек еще и @
и вот hexrays имена с @ не понимает и обрезает их

смысл @ в именах делфи я не понимаю если там все равно есть разделяющая точка

ну например
system.@WriteBytes
после запуска хексрейса там виден только system_()
и как я определю что там за полное имя
а вот system.WriteBytes
видится нормально

можно конечно поправить плагин загрузки map в IDA что бы он @ убирал
но если idc будет так же содержать @
поэтому это уже к самой генерации idc относится
хотя было бы не плохо если бы и в генерации map @ уже отсуствовали

для подгрузки мап-файлов от vc/dede
а что такое vc?
dede я чесно говоря когда то пробовал, так его и не понял
кроме форм он мне методов так и не показал
может старая версия, может я в те времена просто его не осилил
какая у него последняя версия?

| Сообщение посчитали полезным:

PE_Kill пишет:
накодить плагин для ольки, которым можно командывать из IDR и всего делов.
плагин это было бы вообще шоколадно, т.к. его потом можно просто расширять
я имел ввиду более тривиальное решение
типа старт olly просто, а там можно наверное даже скриптом подгрузить нужный файл и перейти по нужному адресу.

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

reversecode
Вообще-то не стоит путать манглинг имён в Delphi и С++ (VC -- Visual С++), там совершенно разные конструкции. И если напрямую можно загружать замангленные имена в стиле C++, то с Delphi такое не катит (по крайней мере в SDK 5.2). Поэтому и говорю что через пару дней выложу, возможно для 5.5 что-то поменялось и это можно делать не вручную.

ЗЫ. Возможно у кого-то валяется правила манглинга типов/структур/операторов и т.д. для Delphi, в своё время удалось найти такой документ только для различных C/C++ компиляторов.

-----
DREAMS CALL US

| Сообщение посчитали полезным:

Isaev
Такое решение тоже интересно, я лишь хотел заметить, что было бы удобно иметь возможность патчить код быстро, а как - уже не так важно. Олли - удобный вариант, и если она после загрузки будет сама прыгать на тот адрес, на котором мы тыкнули в IDR - будет очень здорово.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

я ничего не путаю
мы о делфи говорим, а не о VC(C++)
вот я и спрашиваю: какая смысловая нагрузка @ в делфовских mangle? к томуже не совсем правильных
если и без них все прекрасно

я 5.5 не пользуюсь, а как раз пользуюсь 5.2
каким образом ты собираешься решить проблему мапплагина?

еще раз повторяю
если в idc который будет генерится, будут теже самые @ в именах
то плагин загрузки мапов - ничего не решит
потому что в .map нет комментариев, и статических имен типов
которые могут быть добавлены в idc

| Сообщение посчитали полезным:

reversecode
Символ @ у меня из баз знаний тянется, а вообще в именах вместо @ должен быть похоже символ _. Я его использовал, чтобы знать, что это системная функция и ей как правило соответствует видоизмененный вызов (или она вообще никак в исходном коде не встречается, например, всякие деструкторы вроде @LStrClr). В map файл я могу вместо этого символа выводить _.
А вот кто мне скажет, что делать в ситуации, когда имена функция совпадают, а прототипы у них разные? И как мне зашить в скрипт информацию об аргументах (прототипе) функции?
Еще вопрос - как удалить из образа в IDA всю информацию, кроме сегментов (DeleteAll удаляет вообще все, а мне для запуска моего скрипта нужно сначала все очистить). Можно конечно уговорить пользователя выделить все и нажать U, но при этом все равно останутся имена, структуры, и прочее, что успела создать IDA.
У меня скрипт уже генерит львиную долю информации, но остались неясные моменты. Есть здесь заинтересованный знаток скриптов для IDA?

| Сообщение посчитали полезным:

ну если уже будет idc
то какой будет map меня уже мало интересует
во всяком случае я еще такие map с @ в ольку не грузил
поэтому не знаю как она там будет его отрабатывать
если будут проблемы, то однозначно и @ из map убирать
crypto пишет:
А вот кто мне скажет, что делать в ситуации, когда имена функция совпадают, а прототипы у них разные?
ставь _0 _1 _2 в конце функций
ты ж весь мангл делфовский восстановить не можешь? хотя вроде IDA его кажись понимает..
тогда
crypto пишет:
И как мне зашить в скрипт информацию об аргументах (прототипе) функции?
можно оставлять в комментариях к функции
либо в комментариях ставить полный правильный делфовский вызов вместе с аргументами
crypto пишет:
Еще вопрос - как удалить из образа в IDA всю информацию, кроме сегментов (DeleteAll удаляет вообще все, а мне для запуска моего скрипта нужно сначала все очистить). Можно конечно уговорить пользователя выделить все и нажать U, но при этом все равно останутся имена, структуры, и прочее, что успела создать IDA.
судя по idc\idc.idc это единственная функция удаления

| Сообщение посчитали полезным:

crypto пишет:
для запуска моего скрипта нужно сначала все очистить
всмысле что очистить?
если к примеру я только что загрузил exe в IDA
чистить то особо нечего

можно исходить из того что idc должен будет накладыватся в начале разбора exe в IDA

| Сообщение посчитали полезным:

crypto пишет:
мне для запуска моего скрипта нужно сначала все очистить
А нельзя ли просто перезаписывать?

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

reversecode
что очистить?
Хотя бы очистить имена, комментарии, делать Unexplored всего модуля я уже научился.
чистить то особо нечего
Даже если ты застопоришь анализ в самом начале, IDA уже успеет довольно много "наследить".
4kusNick
А нельзя ли просто перезаписывать?
Можно, конечно, только некоторые данные (особенно данные RTTI) могут иметь посторонние имена, оставшиеся от проведенного IDA анализа. Значит, после загрузки моего скрипта останется лишняя "грязь", чего не хотелось бы.

| Сообщение посчитали полезным:

crypto

1.Посмотрел программу для интереса. Не нашел функции поиска в explorer формы. Т.е. щелкаешь по форме, появляется исходник формы, но найти там ничего нельзя, кроме как просмотреть всю простыню =) Выделить все и скопировать в буфер тоже нельзя, а то можно было просто вставить в блокнот и там поискать.





update:
Извини, ввело в заблуждение название "Copy to Clipboard". Думал, что копируется только выделенное, а оказалось, что копируется вся простыня =) Может изменить на "Copy all to Clipboard" ?

2. Caption нечитаем.
Caption = #1059#1087#1088#1072#1074#1083#1077#1085#1080#1077
Тестировал на программе rghost.ru/3006024

з.ы. спасибо за программу!

| Сообщение посчитали полезным:

Dazz пишет:
2. Caption нечитаем.

Так должно и быть, иначе дельфя такой файл не откроет.

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

GPcH пишет:
Так должно и быть, иначе дельфя такой файл не откроет.
это не верно
Delphi благополучно откроет если транстировать это дело в простую кирилицу

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Dazz пишет:
2. Caption нечитаем.Caption = #1059#1087#1088#1072#1074#1083#1077#1085#1080#1077

уже раньше такое просили

Вопрос - как ето сделать что называеться юзер-френдли с точки зрение интерфейса?

| Сообщение посчитали полезным:

сделать просто там все коды символов по порядку, просто маленькую функцию перекодировки пишешь и всё

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev пишет:
Delphi благополучно откроет если транстировать это дело в простую кирилицу

Ннееааа. Попробуй в dfm заменить эти Unicode команды на кирилицу и открыть. По крайней мере 7 и 2007 версия не давали это сделать. В 2010 и XE не пробовал ибо этой темой не интересуюсь уже года два.

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным: