IDR (Interactive Delphi Reconstructor) – декомпилятор исполняемых файлов (EXE) и динамических библиотек (DLL), написанных на языке Delphi и выполняемых в среде 32х-разрядных операционных систем Windows.



Программа, прежде всего, предназначена для компаний, занимающихся разработкой антивирусного программного обеспечения. Она также может в значительной мере помочь программистам в восстановлении утраченных исходных текстов программ.

Текущей версией программы могут обрабатываться файлы (как GUI, так и консольных приложений), скомпилированные компиляторами версий Delphi2 – Delphi2010. Ведется работа по поддержке Дельфи 2011.

Конечной целью проекта является разработка программы, способной восстановить большую часть исходных Delphi-текстов из скомпилированного файла, но пока IDR, как и другие Delphi-декомпиляторы, сделать этого не может. Тем не менее, IDR может значительно облегчить такой процесс. По сравнению с другими декомпиляторами анализ, выполненный IDR, отличается наибольшей полнотой и достоверностью. Кроме того, высокая интерактивность делает работу с программой комфортной и (не побоимся этого слова) приятной.

IDR выполняет статический анализ (анализируемый файл не запускается на выполнение), что позволяет безопасно изучать вирусы, трояны и прочие приложения, запуск которых опасен или нежелателен.

Программа не требует установки и не делает никаких записей в реестр Windows.


Официальный сайт:
kpnc.org/idr32
[Note] Недоступен после трагической гибели Криса (RIP)

Гитхаб
Github sources

Скачать:
Страница загрузки

Dropbox автора
https://www.dropbox.com/sh/9ran313nidqtagb/AADl_m_9GVYSiXUviZtDQWQHa?dl=0

Актуальная версия программы:

Исполняемый файл
Внимание! Требует наличия вспомогательных файлов и баз знаний!!!

Базы данных качать по
ссылке.

Для работы необходимо скачать базу знаний + последнюю версию программы

| Сообщение посчитали полезным:

sendersu
А что по этим адресам, я не понял...
http://prntscr.com/4q8p1l
http://prntscr.com/4q9esf
http://prntscr.com/4q9f26

ЗЫ
Давно на почту не заглядываешь

| Сообщение посчитали полезным:

это он типа хвастает что он у него заинстален спешиал фо ю

| Сообщение посчитали полезным:

sendersu
Консоль проверил, а мне бы теперь что-нибудь на VCL...

| Сообщение посчитали полезным:

VCL
debug/release
https://www.sendspace.com/file/vczg8z

| Сообщение посчитали полезным: crypto

For testing:
https://www.dropbox.com/s/j550gi0aiagy0yi/syskb2013.7z?dl=0
https://www.dropbox.com/s/v242bxgegj0jaeg/kb2013.7z?dl=0
https://www.dropbox.com/s/ifo0g6ghbikgzk6/Idr.7z?dl=0

| Сообщение посчитали полезным: =TS=, m0bscene, r_e

crypto пишет:
For testing:
После выбора секции показывать access violation. Открывал ехе от D7

| Сообщение посчитали полезным:

Veliant
А какие секции были выбраны?

| Сообщение посчитали полезным:

только CODE, которая была автоматически выбрана

P.S. если выбрать все, то падения нет

| Сообщение посчитали полезным:

Veliant
Я так и думал. Нужно отмечать существенные (скажем, включая секцию idata), всякие там распаковщики, ресурсы и прочая лабуда не нужна. Диалог был сделан для обеспечения возможности загрузки файлов с огромной секцией неинициализированных данных. Вообще по-хорошему нужно поменять концепцию хранения анализируемых данных, чтобы памяти меньше требовалось, да вот, все руки до этого не доходят.

Добавлено спустя 25 минут
Some problems... Use new URLs:
https://www.dropbox.com/s/ifo0g6ghbikgzk6/Idr.7z?dl=0
https://www.dropbox.com/s/j550gi0aiagy0yi/syskb2013.7z?dl=0
https://www.dropbox.com/s/v242bxgegj0jaeg/kb2013.7z?dl=0

| Сообщение посчитали полезным: sendersu

File Test.exe is probably not Delphi file

Delphi 6

--> Src + bin <--

| Сообщение посчитали полезным:

Apocalypse
Бывает, ручной выбор версии никто не отменял.

-----
ds

| Сообщение посчитали полезным:

Apocalypse
В твоей версии 6 процедура System.Initialization немного отличается от той, что в базе знаний. Может это какой-то неизвестный мне билд, черт его знает. По крайней мере, DimitarSerg прав: выбираешь версию вручную.

| Сообщение посчитали полезным:

Я тут решил изобразить несколько уроков по использованию IDR для восстановления исходного кода. Вот ссылка на первый урок (там база знаний для Дельфи 4, анализируемая программа, файл dpr и проект idp):
https://www.dropbox.com/s/pvzhzwcyjfv49d9/Lesson1.7z?dl=0
Пользуйтесь версией IDR по ссылке
https://www.dropbox.com/s/ifo0g6ghbikgzk6/Idr.7z?dl=0.

| Сообщение посчитали полезным: CyberGod, TryAga1n, v00doo, Gideon Vi, sendersu, zNob, eu8cc, MarcElBichon, sapog93

Извиняюсь за глупый вопрос, как включить подсветку синтаксиса в окне SourceCode?
-
Шел по гайду.
При переименовании 004AC137 mov ecx,dword ptr ds:[4AF694]; ^gvar_004B0B14:TForm7 в Form7, получел следующее:

и менюшка Name position в любом месте меня посылала данной ошибкой. Вызвал меню View Prototype, закрыл его и после этого Name position снова заработала. Какой-то рандомный баг
-
Дальше по гайду. После Save Delphi Project получил следующий файл:

Думал делаю что-то не так, открыл ваш idp проект и снова выбрал Save Delphi Project, результат тот же

| Сообщение посчитали полезным:

TryAga1n пишет:
Извиняюсь за глупый вопрос, как включить подсветку синтаксиса в окне SourceCode?
Видимо это :
https://exelab.ru/f/action=vthread&forum=12&topic=22207

-----
ds

| Сообщение посчитали полезным: TryAga1n, CyberGod

TryAga1n
Для включения подсветки нужно скопировать два файла (https://www.dropbox.com/s/w8iu7cdotjocrq2/Highlight.7z?dl=0) в директорию IDR. Но она подсвечивает только Дельфи код.
У меня тоже такой баг иногда выскакивает, никак не могу его поймать.
В уроке написано, что код dpr получают путем декомпиляции кода точки входа (нажатием кнопки Src) и последующего редактирования (Copy to Clipboard - и далее лучше всего в среду Дельфи).
Application.Run; - это по умолчанию.

| Сообщение посчитали полезным:

Второй урок (Lesson2.idp, Lesson2.doc, unit5.pas):
https://www.dropbox.com/s/3x7wzevc0ciydfg/Lesson2.7z?dl=0
Для него понадобится исправленная версия IDR:
https://www.dropbox.com/s/ifo0g6ghbikgzk6/Idr.7z?dl=0

| Сообщение посчитали полезным: TryAga1n, unknownproject, zNob, =TS=, gazlan

ворд уже умер сто лет назад
думается pdf более распространенный формат
вообщем устанавливать оффис что бы хотя бы полистать, я не осилил

| Сообщение посчитали полезным:

reversecode пишет:
вообщем устанавливать оффис что бы хотя бы полистать, я не осилил
Doc файлы чтит даже экспишный Wordpad.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

довожу до сведения что док это только расширение, а у ворда есть много разных форматов
и этот формат даже wordpad win7 не читает

| Сообщение посчитали полезным:

reversecode
Как же ты, бедолага, без офиса живешь?

| Сообщение посчитали полезным:

да уже поди 10 годик без оффиса)) а зачем он? все документы хакеры в pdf выкладывают
полистай любую конфу
а в doc только студенты дипломы пишут

| Сообщение посчитали полезным:

reversecode
А я как раз диплом пишу
заинтересованным
Стоит вообще это дело продолжать? Или и так все понятно?

| Сообщение посчитали полезным:

crypto пишет:
Стоит вообще это дело продолжать?
Безусловно стоит! Ты создал очень функциональный инструмент и будет просто здорово, если подобные уроки осветят все его функции. Пожалуйста не останавливайся!

| Сообщение посчитали полезным: 4kusNick

в pdf только сконвертируй, а то мне за тебя стыдно на ехотулсе

| Сообщение посчитали полезным:

reversecode
А при чем здесь exetools, я для них ничего не писал и на русском не выкладывал.

| Сообщение посчитали полезным:

Онлайн DOC в PDF (занимает меньше минуты): _http://go4convert.com/ru

| Сообщение посчитали полезным:

2nd
Да ладно, у меня в Ворде есть такая функция. Ссылки на pdf, doc удалил.
https://www.dropbox.com/s/pvzhzwcyjfv49d9/Lesson1.7z?dl=0
https://www.dropbox.com/s/3x7wzevc0ciydfg/Lesson2.7z?dl=0

| Сообщение посчитали полезным: 4kusNick

crypto пишет:
Стоит вообще это дело продолжать? Или и так все понятно?

Если мое мнение интересно - лучше для начала повысить совместимость продукта с разными файлами. У меня из 10 семплов на 8 программа просто виснет при попытке загрузить файл. Танцы с выбором секций также не помогают. Из всех семплов у меня запустились лишь простенькие. На них да - программа работает - заметны улучшения продукта. Но если взять любой серьезный файл мегабайт на 15 - завис и только принудительное закрытие.

Мое мнение, что туториалы писать немного рано. Для начала надо довести продукт до рабочего состояния (чтобы не вылетали AV то там то тут, чтобы грузились хотябы 90% семплов).
По первому тутору скажу так. Если на восстановление жалкой Main процедуры из 10 строк кода уходит столько усилий, то сколько времени уйдет чтобы восстановить процудуру в 30-40 килобайт асм кода? Лучше на первом этапе отказаться от типизации в сворачивании в исходник и любой параметр передаваемый в функцию воспринимать либо как DWORD либо как String (это можно определить эвристически без прототипа). Это избавит от 90% той работы что требуется в туториале.

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

Стандартная читалка PDF Windows 8 напрочь не понимает как открыть эти файлы
--> Link <--

| Сообщение посчитали полезным: