IDR (Interactive Delphi Reconstructor) – декомпилятор исполняемых файлов (EXE) и динамических библиотек (DLL), написанных на языке Delphi и выполняемых в среде 32х-разрядных операционных систем Windows.



Программа, прежде всего, предназначена для компаний, занимающихся разработкой антивирусного программного обеспечения. Она также может в значительной мере помочь программистам в восстановлении утраченных исходных текстов программ.

Текущей версией программы могут обрабатываться файлы (как GUI, так и консольных приложений), скомпилированные компиляторами версий Delphi2 – Delphi2010. Ведется работа по поддержке Дельфи 2011.

Конечной целью проекта является разработка программы, способной восстановить большую часть исходных Delphi-текстов из скомпилированного файла, но пока IDR, как и другие Delphi-декомпиляторы, сделать этого не может. Тем не менее, IDR может значительно облегчить такой процесс. По сравнению с другими декомпиляторами анализ, выполненный IDR, отличается наибольшей полнотой и достоверностью. Кроме того, высокая интерактивность делает работу с программой комфортной и (не побоимся этого слова) приятной.

IDR выполняет статический анализ (анализируемый файл не запускается на выполнение), что позволяет безопасно изучать вирусы, трояны и прочие приложения, запуск которых опасен или нежелателен.

Программа не требует установки и не делает никаких записей в реестр Windows.


Официальный сайт:
kpnc.org/idr32
[Note] Недоступен после трагической гибели Криса (RIP)

Гитхаб
Github sources

Скачать:
Страница загрузки

Dropbox автора
https://www.dropbox.com/sh/9ran313nidqtagb/AADl_m_9GVYSiXUviZtDQWQHa?dl=0

Актуальная версия программы:

Исполняемый файл
Внимание! Требует наличия вспомогательных файлов и баз знаний!!!

Базы данных качать по
ссылке.

Для работы необходимо скачать базу знаний + последнюю версию программы

| Сообщение посчитали полезным:

Error13Tracer, плагин "индюком" заражен virustotal.

| Сообщение посчитали полезным:

zNob, спасибо, проверю, если так, то выложу чистый. Будь этот гадский индюк неладен...
crypto, со временем у меня тоже немного туговато, да и знанием C++ не блещу, но моих познаний будет достаточно, чтобы прикрутить к сорцам DLL. Тогда потребуются лишь исходники самих форм и проекта, остальные модули не нужны. Пришлите в ПМ, думаю, к концу следующей недели, реализацию подсветки подключу и постараюсь прокомментировать где именно произведены изменения, дабы не искать лишний раз

| Сообщение посчитали полезным:

zNob пишет:
Error13Tracer, плагин "индюком" заражен virustotal.
Подтверждаю, глазками виден, даже без всякого вирустотала:
.406B30 "uses windows; var sc:array[1..24] of string=(" тра-ля-ля тополя.
Восстанови из дистрибутива и сделай sysconst.dcu ReadOnly как минимум.

| Сообщение посчитали полезным:

Все файлы везде перезалиты virustotal
UPD_ Приношу извинения тем, кому попортил код грёбаный Индюк, всё исправлено. В дальнейшем все файлы буду гнать через онлайнавер, тк на виртуалке такового не имею:

Основная система: Windows 8 x64
Виртуалка: VMWare 9 + XP SP3
Вроде все проблемы решены и их не наблюдается) За исключением проблем с плагами ольки, Вчерашний билд не видит половину плагов, это явно из-за SDK, но тем не менее...

| Сообщение посчитали полезным:

bugs в IDC Generator
- в первом clear в main всегда генерится адрес без префикса 0х
- перед MakeNameEx нужно убедиться что адрес не входит в состав массива либо принудительно все время делать MakeUnkn(ea, 1).

-----
старый пень

| Сообщение посчитали полезным: crypto

Ознакомительный релиз. Обновлено практически всё, Кроме обработчиков сток< всё остальное по мере возможности обновлю. Лицуха - Юзать без ограничений.[b][/b]
PS:не релиз, баги есть. Поздже уберу.Тупо на погонять.

| Сообщение посчитали полезным: SReg

crypto
Спасибо тебе за твои труды,
Подскажи по поводу "Ограниченная приватная версия программы"
та которая сейчас лежит в общем доступе она кастрированная или это та которая (только до 1 сентября)?
И второй вопрос если это не та, то где взять ту ?
thx

| Сообщение посчитали полезным:

Shtorm
К Новому Году выложу приватную версию (с некоторыми ограничениями - нельзя будет сохранить проект, все остальное будет доступно). Если очень нужно, могу выслать ограниченную приватную версию, давай мыло. Ну, и чуствую, пора писать цикл лекций на тему, как собственно реконструировать с помощью IDR, на примере одной программки. Предлагайте название o|o

| Сообщение посчитали полезным: SReg, sendersu

Стабильно вылазит EAcessViolation если сохранить проект и снова его открыть, еще время от времени крешется на нескольких файлах в том числе avz, но хз, как воспроизвести, зависит от фазы луны, раз 50 нормально загрузится, раз упадет, другой раз и 100 раз может нормально загрузиться.

| Сообщение посчитали полезным:

crypto пишет:
как собственно реконструировать с помощью IDR, на примере одной программки

ac40_22.10.2013_EXELAB.rU.tgz - kgm14.rar

| Сообщение посчитали полезным:

specialist
Неудачнейший пример. Что ты хочешь реконструировать ? Нажатие на кнопку OnClick и проверку серийника (длинна которого = 32, а проверка основана на экзотических хешах) ?

-----
ds

| Сообщение посчитали полезным:

вполне себе удачный пример, вот и посмотрим как идр справится

| Сообщение посчитали полезным:

Под названием имелось в виду название цикла лекций, а программу я уже выбрал.

| Сообщение посчитали полезным:

неужели IDR стал такой сложной программой что уже нужно создавать обучающие ролики?
больше похоже на продвижение IDR в массы и что то типа рекламы-пиара
а еще пару сообщений назад говорили о смерти IDR и ухода автора в подполье, отдых на мальдивах, уединение в лесу на озере с удочкой


| Сообщение посчитали полезным:

reversecode
Одно другому не мешает. А вообще речь не о том, чтобы научить пользоваться программой, а о технологии ее использования по ее прямому назначению (а не только генерацию скрипта и переход в твою любимую ИДУ). Странно, что ты этого не понимаешь.
ЗЫ
Насчет Мальдивов подумаю, а вот рыбу ловить не люблю.

| Сообщение посчитали полезным: zNob

crypto
скинь пож приватную версию
сюда ShtormUp1 собака yandex.ru

| Сообщение посчитали полезным:

это лечится как нибудь?
Idr.exe
Assertion failed: fromPos >= 0 && fromPos + num < TotalSize, file D:\PAPA\IDR\Misc.cpp, line 327
ОК

Idr.exe
Abnormal program termination
ОК

| Сообщение посчитали полезным:

newbie_cracker пишет:
это лечится как нибудь?

Угу. Правкой исходника.

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

newbie_cracker
как минимум надо ваш файл
как максимум - поговорить с автором (он тут обитает)

| Сообщение посчитали полезным:

Пароль для kb2010.bin:
0123456789ABCDEF

Может кто-то знает этого PEDOBEER?
--> Link <--

| Сообщение посчитали полезным: GroundHog, gazlan, stas_02, vden, Dazz, Dart Raiden, sendersu

crypto умники не истребимы!
магазин назвали круто) - kidok-shop

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

crypto

Сталкивался с таким, в один прекрасный момент вылезли несколько площадок по продаже моей бесплатной утилиты, в первые строки поисковиков, потом ушли в небытие

| Сообщение посчитали полезным:

Isaev пишет:
магазин назвали круто) - kidok-shop
И главное там больше нихрена нету кроме базы

| Сообщение посчитали полезным:

crypto
Проверь пожалуйста почту, дня 3 назад послал ссылку на файл + описание проблемы, приблизительно такого содержания:

ИДР валится при анализе файле, конкретно, почти в самом начале когда бежит TParamsHandler, прога была под аспром, после анпака DecomAs валилась, прикручивал руками таблицу INIT к этому файлу, программа работает, но вот хочу сделать кг, а для этого хоть бы функи распознать, для этого как мимнимум хотелось мап-файл из ИДРа. Замкнутый круг.

-----
ds

| Сообщение посчитали полезным:

DimitarSerg
Сейчас как-раз ее и смотрю. Файл с хитринкой, приходится думать, как ее обойти.

| Сообщение посчитали полезным: DimitarSerg

DimitarSerg
Пришлось повозиться, поскольку файл обфусцирован и выглядит кривовато после распаковки (нет, например, ни одной процедуры Finalization). Смотри почту.

| Сообщение посчитали полезным:

Никогда не пользовался данным софтом, но решил научиться. И так, анализирую процедуру генерации ключа, в принципе все понятно. Хочу дать некоторым переменным имена, как это сделать? Читал мануал, он по старой версии и ответа я в нем не нашел. И так, имеем:

Как мне назвать переменную [ebp-4] в рамках данной функции, чтобы код отображался как:


Далее. При нажатии на кнопку Src получаю сообщение Check prototype, что за прототип, как и где его чекать?

В коде есть некий вызов:


При райтклике на вызове и выборе View prototype, открывается окно с содержимым

Изменять в нем ничего нельзя.

Собственно просьба разяснить как именовать переменные, как задавать их типы, что такое Check prototype и почему не собираются сорцы

| Сообщение посчитали полезным:

it looks a little problem, when the delphi form is full mode without x button to close, how to back to main form in IDR? any hot key support or not?

| Сообщение посчитали полезным:

Кстати, crypto убрал вовсе пароль с архива kb2010.Это для тех, кто не в курсе или не пользовался ранее его софтом и не нуждался в данной базе знаний, так что не сочтите за боян.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

TryAga1n пишет:
Собственно просьба разяснить как именовать переменные, как задавать их типы, что такое Check prototype и почему не собираются сорцы
Самый простой путь, сгенерировать скрипт для иды для импорта распознанных символов и далее уже копаться в иде.

| Сообщение посчитали полезным: