IDR (Interactive Delphi Reconstructor) – декомпилятор исполняемых файлов (EXE) и динамических библиотек (DLL), написанных на языке Delphi и выполняемых в среде 32х-разрядных операционных систем Windows.



Программа, прежде всего, предназначена для компаний, занимающихся разработкой антивирусного программного обеспечения. Она также может в значительной мере помочь программистам в восстановлении утраченных исходных текстов программ.

Текущей версией программы могут обрабатываться файлы (как GUI, так и консольных приложений), скомпилированные компиляторами версий Delphi2 – Delphi2010. Ведется работа по поддержке Дельфи 2011.

Конечной целью проекта является разработка программы, способной восстановить большую часть исходных Delphi-текстов из скомпилированного файла, но пока IDR, как и другие Delphi-декомпиляторы, сделать этого не может. Тем не менее, IDR может значительно облегчить такой процесс. По сравнению с другими декомпиляторами анализ, выполненный IDR, отличается наибольшей полнотой и достоверностью. Кроме того, высокая интерактивность делает работу с программой комфортной и (не побоимся этого слова) приятной.

IDR выполняет статический анализ (анализируемый файл не запускается на выполнение), что позволяет безопасно изучать вирусы, трояны и прочие приложения, запуск которых опасен или нежелателен.

Программа не требует установки и не делает никаких записей в реестр Windows.


Официальный сайт:
kpnc.org/idr32
[Note] Недоступен после трагической гибели Криса (RIP)

Гитхаб
Github sources

Скачать:
Страница загрузки

Dropbox автора
https://www.dropbox.com/sh/9ran313nidqtagb/AADl_m_9GVYSiXUviZtDQWQHa?dl=0

Актуальная версия программы:

Исполняемый файл
Внимание! Требует наличия вспомогательных файлов и баз знаний!!!

Базы данных качать по
ссылке.

Для работы необходимо скачать базу знаний + последнюю версию программы

| Сообщение посчитали полезным:

crypto пишет:
Неужели я такой страшный?

Лично не знаком - но очень сомневаюсь
Где-то по моему пролетало - толи в оффтопе - об коммертизации ? или я гоню ?

Вопрос такой - прогу нагнул, хэш берет из списка - список в IDR отображается - можно кликнуть на запись - а нужно все сразу все скоммуниздить ?
Вкладка - String F8

Я еще - донатну пару рублей к НГ2013 на ЯД. Можно ЯД добавить ?
IDR - прога класс !

| Сообщение посчитали полезным:

dimka_new
Могучий русский плачет...

Я правильно понял, что нужно весь список во вкладке String F8 копировать в буфер?
ЗЫ
На сайте будет только публичная версия, приватной буду распоряжаться по своему усмотрению.

| Сообщение посчитали полезным:

crypto пишет:
Я правильно понял, что нужно весь список во вкладке String F8 копировать в буфер?
Скорее сделать по стандарту - скопировать выделенное, выделить все, сохранить все и т.д.?

crypto пишет:
На сайте будет только публичная версия, приватной буду распоряжаться по своему усмотрению.
Ни на что не претендую...

С вебмонею связываться не хочу ... просто не хочу

| Сообщение посчитали полезным:

dimka_new
Хватит и простого копирования в буфер, остальное можно сделать в любом текстовом редакторе.

| Сообщение посчитали полезным: dimka_new

crypto
Сорри за долгий ответ - провайдер балует, поменял тарифный план, заодно экспириенса набрался в проверке оптоволокна

crypto пишет:
Хватит и простого копирования в буфер, остальное можно сделать в любом текстовом редакторе.

Ну я так подозреваю, что уровень знаний пользователей данного форума позволит проделать такое

| Сообщение посчитали полезным:

Вот, собственно, новогодний подарок - переходим к Эндшпилю. Идем на сайт, качаем, тестируем, присылаем отчетики...
Да, забыл: смотрим пример декомпиляции. На мой взгляд, неплохой, вручную разбирать непросто.

| Сообщение посчитали полезным: Dart Raiden, obfuskator, HandMill, vden, nick8606, sendersu, daFix, schokk_m4ks1k, m0bscene, icerix, ajax, xDvKx, 4kusNick, linhanshi, Gideon Vi, _ruzmaz_, Airenikus, A V, upss, SReg, sierra

Вот это подарок! Только в примере работы программы исходная процедура - не та что была декомпилирована (исходная - FormCreate, декомпилированная - GetBmpName).

Наверное для наглядности стоит их уравнять (может вы изображение не то в начале поставили?).

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

crypto пишет:
смотрим пример декомпиляции

няшный! Спасибо.

| Сообщение посчитали полезным:

4kusNick
Перед примером уточняющие фразы:

Ниже показан результат работы Новогоднего релиза от 29.12.2012

Дизассемблирование:

LogEntries::GetBmpName

Может быть стоило как-то их разделить? Подумаю.

PS
Поскольку пароль уже засветили по-крайней мере на трех форумах (несмотря на мою просьбу этого не делать), то не вижу уже никакого смысла в его выдаче. Итак, пароль на базу для 2010 (старую и новую):

шестнадцатиричные цифры (with Shift)

Желающие могут побрутфорсить

| Сообщение посчитали полезным:

crypto пишет:
Желающие могут побрутфорсить

на тутсях полный комплект

| Сообщение посчитали полезным:

crypto
а BuildKB поддерживает XE2? А то у меня пишет: 'Error: Wrong magic 1700234B'
зы: декомпилер на больших ф-иях все время выдает:
'Under construction'
'Decompile->Try->IfElse->GeneralCase->Under construction'
'Decompile->Try->Control flow under construction'
итд
но вобще круто, прогресс налицо

| Сообщение посчитали полезным:

A V
Поддерживает, но поскольку базы для ХЕ1 и ХЕ2 звкрыты паролем, то в паблике эти варианты комментированы.

| Сообщение посчитали полезным:

crypto пишет:
Ниже показан результат работы Новогоднего релиза от 29.12.2012
Может быть стоит добавить оригинал метода GetBmpName - чтобы было видно как было в оригинале и как стало после декомпиляции)

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: schokk_m4ks1k

сделал установщик новогоднего релиза + регистрирует тип .idp

нашёл abnormal program termination
выбираем предпоследний юнит "Ldr"
выбираем <Proc> Initialization
жмём Src, получаем abnormal program termination

а так, открывает даже xe3-шные файлы. отлично.

| Сообщение посчитали полезным:

4kusNick
Так там и оригинал и декомпилированный код - оба.
vden
Есть такое, еще руки не дошли до этих двух методов, хотя там все должно быть несложно.
ЗЫ
Люди, которые делали пожертвования, напомните о себе, я вышлю пароли на базы.

| Сообщение посчитали полезным:

я знаю что поддержки билдера нет, но попробовал открыть idr в idr
просит ввести ep, ввожу 40180C
на use knowledge base жму да, idr использует kb6 пишет Cannot find table of initialization and finalization procedures

это понятно, но что интересно, если запатчить проверку initialization and finalization то формы можно просматривать визуально (с некоторыми access violation).

может быть сделать какую-то опцию, если не найдены таблицы инициализации и финализации, то просто не делать анализ или связанную с этим часть анализа и предупредить что билдер не поддерживается

idag например



| Сообщение посчитали полезным:

vden
Ты замахнулся на святое?
Ну так анализ не проводился, зачем еще об этом предупреждать? А формы у Дельфи и Билдера из одного места растут, поэтому ты их увидишь.

Почему никто не спрашивает о плагинах? Я, например, (да простят меня авторы PExplorer) написал плагинчик и смог посмотреть все формы, ну и обработчики тож...

| Сообщение посчитали полезным:

what a hell, all I don't understand language. guys, can you speak English please?

anyway, dear author, why this new version IDR can't get hander? but old version did, does it because no plugin? If so, I need this plugin, how can I get it? thanks.

| Сообщение посчитали полезным:

crypto
пароли от 2011 и 2012 баз в личку кинь плиз) написал сюда так как в личке игноришь

upss пишет:
И где можно взять плагины?
самому писать! хотя примеры не помешали бы!

| Сообщение посчитали полезным:

crypto пишет:
Почему никто не спрашивает о плагинах?
И где можно взять плагины?

| Сообщение посчитали полезным:

cxj98
Don't understand - hander (handler?) - what you mean? Pls, example.
upss
Плагины пишем сами. Пример могу выслать, но после 9 января.
schokk_m4ks1k
Не игнорю, думаю, как поступить - просить пожертвовать или сами догадаетесь?

| Сообщение посчитали полезным:

see picture 1 what I does:



see picture 2 what it says:



old version never happen this.

| Сообщение посчитали полезным:

crypto пишет:
Почему никто не спрашивает о плагинах?
Меню видел, но подумал что это ещё не закончено. А что PDK есть уже?

Или это подарок на НГ разобрать структуру плагинов

видно нужно экспортировать

RegisterPlugIn

AboutPlugIn

| Сообщение посчитали полезным:

Плагины пишем сами. Пример могу выслать, но после 9 января.
crypto кинь пример плиз

| Сообщение посчитали полезным:

cxj98
Send me file pls, but result will only after 9 January 2013.
upss
После 9 января, только напомни мне, плиз.
vden
Разбираться не надо, тем более те две функции только для интерфейса. После 9 января, сейчас у меня под рукой никаких кодов нет. Но так, навскидку, что-то вроде
f(BYTE* src, int src_size, BYTE* dst, int dst_size) причем dst уже аллокирован, туда можно писать.

| Сообщение посчитали полезным:

look at gif picture



| Сообщение посчитали полезным:

cxj98
Look at my post just above your's.

| Сообщение посчитали полезным:

hello, author.

you can download software here, install it.

http://www.chmeditor.com/

| Сообщение посчитали полезным:

cxj98
No installation! Upload only executable!

| Сообщение посчитали полезным:

download here

http://www.mirrorcreator.com/files/RA08OVNC/CHMEditor.exe_links

| Сообщение посчитали полезным: