IDR (Interactive Delphi Reconstructor) – декомпилятор исполняемых файлов (EXE) и динамических библиотек (DLL), написанных на языке Delphi и выполняемых в среде 32х-разрядных операционных систем Windows.



Программа, прежде всего, предназначена для компаний, занимающихся разработкой антивирусного программного обеспечения. Она также может в значительной мере помочь программистам в восстановлении утраченных исходных текстов программ.

Текущей версией программы могут обрабатываться файлы (как GUI, так и консольных приложений), скомпилированные компиляторами версий Delphi2 – Delphi2010. Ведется работа по поддержке Дельфи 2011.

Конечной целью проекта является разработка программы, способной восстановить большую часть исходных Delphi-текстов из скомпилированного файла, но пока IDR, как и другие Delphi-декомпиляторы, сделать этого не может. Тем не менее, IDR может значительно облегчить такой процесс. По сравнению с другими декомпиляторами анализ, выполненный IDR, отличается наибольшей полнотой и достоверностью. Кроме того, высокая интерактивность делает работу с программой комфортной и (не побоимся этого слова) приятной.

IDR выполняет статический анализ (анализируемый файл не запускается на выполнение), что позволяет безопасно изучать вирусы, трояны и прочие приложения, запуск которых опасен или нежелателен.

Программа не требует установки и не делает никаких записей в реестр Windows.


Официальный сайт:
kpnc.org/idr32
[Note] Недоступен после трагической гибели Криса (RIP)

Гитхаб
Github sources

Скачать:
Страница загрузки

Dropbox автора
https://www.dropbox.com/sh/9ran313nidqtagb/AADl_m_9GVYSiXUviZtDQWQHa?dl=0

Актуальная версия программы:

Исполняемый файл
Внимание! Требует наличия вспомогательных файлов и баз знаний!!!

Базы данных качать по
ссылке.

Для работы необходимо скачать базу знаний + последнюю версию программы

| Сообщение посчитали полезным:

olegpr
Я посмотрю позже, сейчас переписываю часть кода IDR, там много чего нужно исправить, на это понадобится некоторое время. К сожалению, существенно изменится формат файла idp, это так, к сведению всех заинтересованных.
Про Names - это я возьму на заметку, спасибо.

| Сообщение посчитали полезным: olegpr, v00doo

unknownproject пишет:
Сырой дамп с точки входа в задницу можно засунуть.
ну можно и так поступить, то на любителя, но "сырой дамп" вполне себе нормально можно анализировать, по факту ищутся сигнатуры и распознаются модули, функи. Если с ОЕР еще и спертых данных нету, то еще красивее получается. А вот без импорта все немного грустнее, но опять же не критично

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным: vaz21102

unknownproject Запусти защищеный еxe в оле с плагиными соответствующими и олю не закрывая создавай дамп утилитой любой и для анализа будет достатачна ок Но чтобы дамп.ехе был рабочим запускался то это другая задача http://sanioka.ru/page.php?al=unpack-hasp

| Сообщение посчитали полезным:

crypto, с подсветкой асма косяки возникли? Если подгружаешь мою либу, то нужно ей после твоего рисования рисовать в OnDraw, тогда вся подсветка будет Извиняюсь за долгое отсутствие, будем работать

| Сообщение посчитали полезным:

Error13Tracer
Косяков не было, мне придется пересмотреть кое-что в представлении ассемблерного кода (отказаться от окрашивания "несущественного" кода бледно-серым цветом). Вот если бы у тебя можно было изменять background строк, было бы здорово. Но я об этом уже с тобой говорил.

| Сообщение посчитали полезным:

GPcH
Внес изменения, оба твоих файла загрузились без проблем. Давай что-ли еще образцы.
BfoX
Твой файл тоже нормально грузится.

| Сообщение посчитали полезным: Hellspawn

crypto

Актуальную версию как поюзать?

-----
...или ты работаешь хорошо, или ты работаешь много...

| Сообщение посчитали полезным: sierra

crypto
Вышли бетку чтоли - посмотрю на тех файлах что у меня есть. Просто далеко не все есть возможность выслать из-за обязательств перед владельцами файлов.

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

crypto

тоже б потестил ...

| Сообщение посчитали полезным:

https://www.dropbox.com/s/ifo0g6ghbikgzk6/Idr.7z?dl=0

| Сообщение посчитали полезным: SReg, mak, DimitarSerg, vaz21102, v00doo, olegpr, sapog93, sendersu, gazlan, Veliant, MarcElBichon, nick8606, 4kusNick, zNob, Dart Raiden, sierra

Я всегда думал что idr это статический анализатор...
Причем сначала прошло несколько итераций анализа, и только потом выскочило это окно несколько раз.
Или это попытка через LoadLibraryEx мапить образ?

01f0_25.11.2014_EXELAB.rU.tgz - Безымянный.png

| Сообщение посчитали полезным:

Veliant
Я похожее получал, когда пытался добавить в проект на Билдере манифест, только программа вообще не запускалась (у меня Windows XP). Вспомнил, глюк возник, когда в манифесте и информации о версии программы не совпадали сами версии. С манифестом вообще оказалось все плохо: я его так и не увидел в PEExplorer, поэтому удалил из проекта. Короче, ошибка видимо как-то связана с попыткой добавить манифест.
Кстати, в Инете есть интересное решение для подобных случаев: заново зарегистрировать программу (например, regsvr32.exe C:\Windows\system32\mscoree.dll).

| Сообщение посчитали полезным:

crypto
Проверил на нескольких сэмплах. Теперь вроде нигде не падает. Молодец!

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

crypto

во время прогонки на крокилах

Д2010
креш на фазе Анализ2

http://prntscr.com/5a59dy

по [x]
http://prntscr.com/5a59pi

кролик
https://www.sendspace.com/file/43eapp

| Сообщение посчитали полезным:

sendersu пишет:
крокилах
кроkillы у вас знатные, однако

На моей скромной коллекции падений не зафиксировано.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: sendersu

На большом екзе падает (>150 MB). файл могу в личку

---------------------------
Idr
---------------------------
External exception EEFFACE.
---------------------------
OK
---------------------------

| Сообщение посчитали полезным:

sendersu пишет:
На большом екзе падает (>150 MB). файл могу в личку
Это где Вы такой экзе взяли ? Там миллиард строк кода и 100000 компонентов на куче форм ?

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным: CyberGod

sendersu
А чего спрашиваешь? Давай, конечно.

| Сообщение посчитали полезным:

crypto
ушло в ПМ

unknownproject пишет:
Это где Вы такой экзе взяли ?
ето еще так ебее (по размеру)
видал и побольше

| Сообщение посчитали полезным:

unknownproject
В файле огромная секция rsrc.

| Сообщение посчитали полезным:

на последней тестовой версии IDR полученной сегодня (thx crypto) все пучком на моем динозавре!

| Сообщение посчитали полезным:

Баг анализатора последней выложеной версии, который позволяет скрыть код любой из функций.
Как видит IDR(ничего не обрезано, это весь код):


Как есть на самом деле:


Т.е. Достаточно внутри своей функции поставить int1 и после него ничего не будет видно. Хотя как видно из кодеса, этот int1 банально не выполняется

з.ы.: на самом деле очень много опкодов, после которых анализатор отрезает код. Например еще префикс 0x3E. Возможно конечно это не баг, а фича, но на мой взгляд, в случае, если данные опкоды будут заюзаны в функции, то анализ станет невозможным.

| Сообщение посчитали полезным:

TryAga1n
На всякую хитрую жопу найдется хрен с винтом (Китайская мудрость)

| Сообщение посчитали полезным:

Стоит это понимать как: "я не буду это исправлять, это фича"?

| Сообщение посчитали полезным:

TryAga1n
В данной ситуации достаточно задать адрес конца процедуры (в диалоге Edit Prototype).

| Сообщение посчитали полезным:

Видимо я опять чего-то не понимаю, но это не помогает.


Сорцы получить естественно тоже не получится:


| Сообщение посчитали полезным:

TryAga1n
Лады, посмотрю, в чем дело.

| Сообщение посчитали полезным:

crypto, всё добавлено в подсветку. Требуются от тебя движения.
Подробнее у меня в блоге.
Для особо нетерпеливых: в последних моих сообщениях в блоге F_a_u_s_t.
Пофикшен креш в редакторе.

| Сообщение посчитали полезным:

Пофиксенная версия IDR
https://www.dropbox.com/s/ifo0g6ghbikgzk6/Idr.7z?dl=0
Заодно подправил уроки 1-2 под новую версию и все выложил на
https://www.dropbox.com/s/gezq1rurg3rxfi8/MsgPopupLessons1-2.7z?dl=0
ЗЫ
Не уверен, что уроки нужно продолжать.

| Сообщение посчитали полезным: Xlab0s, vden, sapog93, SReg, v00doo, 4kusNick, MarcElBichon, sierra, vaz21102, MacTep

А баг, о котором я говорил, так и не исправлен, хотя можно сказать является критическим, т.к. при использовании трика указанного выше, функции вообще не поддаются анализу в IDR.

Глядя в прототип функции я вижу, что IDR правильно определил начало окончание функции, только вот листинг не выводится. Если изменить прототип вручную, то не меняется ровным счетом ничего.

| Сообщение посчитали полезным: