IDR (Interactive Delphi Reconstructor) – декомпилятор исполняемых файлов (EXE) и динамических библиотек (DLL), написанных на языке Delphi и выполняемых в среде 32х-разрядных операционных систем Windows.



Программа, прежде всего, предназначена для компаний, занимающихся разработкой антивирусного программного обеспечения. Она также может в значительной мере помочь программистам в восстановлении утраченных исходных текстов программ.

Текущей версией программы могут обрабатываться файлы (как GUI, так и консольных приложений), скомпилированные компиляторами версий Delphi2 – Delphi2010. Ведется работа по поддержке Дельфи 2011.

Конечной целью проекта является разработка программы, способной восстановить большую часть исходных Delphi-текстов из скомпилированного файла, но пока IDR, как и другие Delphi-декомпиляторы, сделать этого не может. Тем не менее, IDR может значительно облегчить такой процесс. По сравнению с другими декомпиляторами анализ, выполненный IDR, отличается наибольшей полнотой и достоверностью. Кроме того, высокая интерактивность делает работу с программой комфортной и (не побоимся этого слова) приятной.

IDR выполняет статический анализ (анализируемый файл не запускается на выполнение), что позволяет безопасно изучать вирусы, трояны и прочие приложения, запуск которых опасен или нежелателен.

Программа не требует установки и не делает никаких записей в реестр Windows.


Официальный сайт:
kpnc.org/idr32
[Note] Недоступен после трагической гибели Криса (RIP)

Гитхаб
Github sources

Скачать:
Страница загрузки

Dropbox автора
https://www.dropbox.com/sh/9ran313nidqtagb/AADl_m_9GVYSiXUviZtDQWQHa?dl=0

Актуальная версия программы:

Исполняемый файл
Внимание! Требует наличия вспомогательных файлов и баз знаний!!!

Базы данных качать по
ссылке.

Для работы необходимо скачать базу знаний + последнюю версию программы

| Сообщение посчитали полезным:

Пожелание... В нижней части окна где отображаются ф-ии, строки, классы и прочее для конкретного юнита, можно не распознанные блоки распознавать вручную, но вот он отображает много типом (код, строки, числа и т.п.) а вот дефайнить можно только в код, нехорошо как-то.

ЗЫ Фича удобная. Странно, что я раньше не знал о ней.

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

BoRoV
Доделать фичу планируется в ближайшее время.

| Сообщение посчитали полезным:

Видеотуториал Suduff c UF (Underground Forum) "Cracking Demo Builder 8.0.3.2", где используется IDR:
www.multiupload.com/71GY1FVXES
www.mediafire.com/?x1ccvgaa9o0s346

| Сообщение посчитали полезным:

Это кощунство, использовать идр только для патча.

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

BoRoV пишет:
Это кощунство

Я в IDA "dead data" разбираю. Тоже кощунство?

| Сообщение посчитали полезным:

Какое то ламовидео если честно, я так и не понял зачем там IDR использовался, мап файл там по назначению не использовался, формы можно было и не смотреть, было бы гораздо быстрее. Интересно было бы посмотреть как с помощью IDR код дописывают, манипулируя объектами. Ну или хотя бы меняют логику их работы.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill
Мап файл там использовался именно по назначению. Дебужить стало проще, функция загрузки ресурсной строки была найдена с помощью мап файла. Другое дело, что логику можно было бы и в IDR проанализировать, а не дебужить в Ольке (хотя технология "дебужить" используется большинством), да и место вывода watermark можно было бы тоже подсмотреть в IDR. Что касается дописывания кода и изменения логики работы, то в IDR этого не будет, как я уже говорил, эта программа - помощник для декомпиляции.
ЗЫ
Надо бы мне выкроить время и привести нетривиальный пример использования.

| Сообщение посчитали полезным:

да помоему все правильно с IDR
работает как делфи анализатор , и достаточно не плохой анализатор по идетификации большинства функций
первый этап пройден

второй наверное заставить его генерить паскалевский код?

crypto
а в idc файл попадают коментариями русские строки? которые находит IDR
а то была как то одна програмка, сечас ее не проверял

| Сообщение посчитали полезным:

reversecode
Первый этап еще не закончен, интерактивность не доделана.
Второй этап - да, будет первый подход к основной функциональности, для начала заставим программу анализировать control flow.
Генерация idc-скрипта еще не доведена до логического конца.
ЗЫ
Программки (только сами файлы, а не инсталляции) кидайте мне, я их коллекционирую.

| Сообщение посчитали полезным:

crypto пишет:
Мап файл там использовался именно по назначению. Дебужить стало проще, функция загрузки ресурсной строки была найдена с помощью мап файла.
Ее можно было найти банальным HW бряком, а строку найти Alt+M, Ctrl+B. И было бы это быстрее. Найти класс с рекламой очень быстро можно было бы оконным спаером, и это тоже было бы в несколько раз быстрее. Т.е. в данном конкретном случае человек использовав только IDR усложнил себе задачу в несколько раз.

crypto пишет:
Что касается дописывания кода и изменения логики работы, то в IDR этого не будет, как я уже говорил, эта программа - помощник для декомпиляции.
Я имел ввиду другое. С помощью IDR определить методы и свойства нужного объекта, найти обращения к ним и уже в оледебагере набить код, применяя полученные знания. Я такое проделывал несколько раз используя DeDe, когда код зашифрован а ключа нет и нужно его дописать медитируя.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill
У каждого свой набор инструментов и свои методы их использования.

| Сообщение посчитали полезным:

Уважаемый crypto

Запустил Вашу прграмму и подал на её вход exe, откомпилированный Delhi 6.0
Программа правильно определила версию компилятора но при загрузке выдала сообщение:

Error
Cannot find table of initialization and finalization procedures

Описание форм отображается, а код нет

Что ещё можно подкрутить?

| Сообщение посчитали полезным:

froloff
Может быть эта программа была скомпилирована в Билдере. Неплохо было бы взглянуть на файл.

| Сообщение посчитали полезным:

froloff такое после анпака бывает, а IDR конечно больше для чистых файлов пишется, да и тестируется тоже.

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

crypto, полезный продукт. Быстрый и нужный.
Но всё чаще стал натыкаться на приложения 2010 Delphi.
crypto пишет:
База знаний для версии 2010 kb2010.bin защищена паролем, обращайтесь к автору (crypto2011@gmail.com).
O_o
Ну и как сие понимать? Если "База знаний для версии 2010" коммерческая, так указали бы сразу, если же нет, то написали бы зачем обращаться на почту и что писать в письме.

-----
z+7v+/Lq4CAtIO/l8OL76SD44OMg6iDv8O7i4OvzLiCpIMPu7OXwINHo7O/x7u0=

| Сообщение посчитали полезным:

[0utC4St]
Сие понимать нужно буквально: обратитесь к автору (в свободной форме) и все узнаете.

| Сообщение посчитали полезным:

[0utC4St]
для 2010-х, как альтернатива, можно использовать drx:
http://exelab.ru/f/action=vthread&forum=3&topic=16963

| Сообщение посчитали полезным:

Кто-нибудь запускал IDR под Win7 (64bit)? Были при этом проблемы?

| Сообщение посчитали полезным:

crypto пишет:
Кто-нибудь запускал IDR под Win7 (64bit)
Да, запускал (w7x64ultim eng)
Проблем (явных, видимых) не было

мож есть конкр. вопросы для проверки?

| Сообщение посчитали полезным:

sendersu
Да вот получил сообщение:

I get the following error:



ERROR_CODE: (NTSTATUS) 0x80000003 - {EXCEPTION} Breakpoint A breakpoint has been reached.

EXCEPTION_CODE: (HRESULT) 0x80000003 (2147483651) - One or more arguments are invalid

В чем может быть дело?

| Сообщение посчитали полезным:

crypto
Я тоже под 7 x64 работаю - всё ок было, таких ошибок не встречалось.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

crypto
тоже под w7-x64 работало, правда не гонял особо.
afair 'A breakpoint has been reached' бывали и на xp, в разных приладах, но проблемы были именно в системе, ребут/регклинер/антивирь возможно спасут

| Сообщение посчитали полезным:

crypto

как повторить ету бажку?

| Сообщение посчитали полезным:

sendersu
Не знаю, нужно смотреть, что на искомом компьютере установлено. Я поГуглил, на эту тему очень много топиков, но толковых советов я пока не нашел.

| Сообщение посчитали полезным:

Случайно нажал на участке Define as code, а есть ли способ сделать Undefine, чтобы вернуть обратно?
И не получается поменять имя процедуры на своё: например, чтобы sub_453642 было как Check1 или так и задумано чтобы не меняли?

-----
.[ rE! p0w4 ].

| Сообщение посчитали полезным:

Ultras
Сейчас Undefine не работает. Имя процедуры поменять просто - выделяшь линию, в которой вызывается процедура и в попап-меню выбираешь Name. Коряво, конечно. Зато:
В следующем билде будет возможность менять прототип процедуры, при этом выполняется дополнительный анализ, так что эта фича очень полезна. Еще кое-что интересное будет, если оно до конца получится.

| Сообщение посчитали полезным:

crypto, добавьте в следующей версии копирование адреса выделенной строки. Не очень удобно весь код таскать за собой. Если не очень трудно, то добавьте Думаю, многие признательны будут

| Сообщение посчитали полезным:

Error13Tracer
Дык я помню об этом. На самом деле тут еще много чего добавить нужно: я сейчас декомпилирую одну программу (достаточно сложную, около 400 юнитов) с единственной целью - понять сам процесс полной декомпиляции, чтобы хоть как-то его формализовать. Всплыло очень много тонкостей, о которых я даже не подозревал. Даже на этапе генерации остова проекта на Дельфи (кстати, худо-бедно, он уже выводится и даже после небольших усилий компилируется - правда, для других программ, поменьше).

| Сообщение посчитали полезным: Error13Tracer, sendersu, Azur1d

crypto IDR так и не научился еще вскрывать файлы скомпиленые в рантайм моде? Очень надо

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill
Еще нет

| Сообщение посчитали полезным: