IDR (Interactive Delphi Reconstructor) – декомпилятор исполняемых файлов (EXE) и динамических библиотек (DLL), написанных на языке Delphi и выполняемых в среде 32х-разрядных операционных систем Windows.



Программа, прежде всего, предназначена для компаний, занимающихся разработкой антивирусного программного обеспечения. Она также может в значительной мере помочь программистам в восстановлении утраченных исходных текстов программ.

Текущей версией программы могут обрабатываться файлы (как GUI, так и консольных приложений), скомпилированные компиляторами версий Delphi2 – Delphi2010. Ведется работа по поддержке Дельфи 2011.

Конечной целью проекта является разработка программы, способной восстановить большую часть исходных Delphi-текстов из скомпилированного файла, но пока IDR, как и другие Delphi-декомпиляторы, сделать этого не может. Тем не менее, IDR может значительно облегчить такой процесс. По сравнению с другими декомпиляторами анализ, выполненный IDR, отличается наибольшей полнотой и достоверностью. Кроме того, высокая интерактивность делает работу с программой комфортной и (не побоимся этого слова) приятной.

IDR выполняет статический анализ (анализируемый файл не запускается на выполнение), что позволяет безопасно изучать вирусы, трояны и прочие приложения, запуск которых опасен или нежелателен.

Программа не требует установки и не делает никаких записей в реестр Windows.


Официальный сайт:
kpnc.org/idr32
[Note] Недоступен после трагической гибели Криса (RIP)

Гитхаб
Github sources

Скачать:
Страница загрузки

Dropbox автора
https://www.dropbox.com/sh/9ran313nidqtagb/AADl_m_9GVYSiXUviZtDQWQHa?dl=0

Актуальная версия программы:

Исполняемый файл
Внимание! Требует наличия вспомогательных файлов и баз знаний!!!

Базы данных качать по
ссылке.

Для работы необходимо скачать базу знаний + последнюю версию программы

| Сообщение посчитали полезным:

Исправленная версия
https://www.dropbox.com/s/ifo0g6ghbikgzk6/Idr.7z?dl=0
На следующей неделе все базы знаний на офиц. сайте будут обновлены.

| Сообщение посчитали полезным: v00doo, SReg, MacTep, vaz21102

crypto, небольшая опечатка на сайте


| Сообщение посчитали полезным:

crypto с вкладкой SourceCode какая-то беда (шрифт изменен был в настройках на 11, масштаб стоит в 120dpi), точнее при нажатии на Src, стоя на EP вкладка просто заполняется пустыми полосами, при разборе любой аппы.

Только у меня так?
upd
Изменения шрифта\размера ни к чему не приводят, игрался с разными, к тому же в IDA такой же стоит (в предыдущей версии все на месте).
Скрины:
Тыц1
Тыц2

| Сообщение посчитали полезным:

v00doo
А шрифт прежний остался? Попробуй Courier, Courier New или любой другой равноширинный шрифт. По умолчанию у меня используется Fixedsys, а у него размера 11 кажись нет, но это ИМХО.

В данной ситуации надо либо подключить Highlight.dll, я сейчас скину на dropbox. Ранее в свойствах Style TListBox стояло lbStandard, теперь lbOwnerDrawFixed. Надо подправить, чтобы от нее не зависело.

Highlight.dll:
https://www.dropbox.com/s/w8iu7cdotjocrq2/Highlight.7z?dl=0

vovanre
Поправим, все равно базы знаний на следующей неделе обновятся под новый формат.

| Сообщение посчитали полезным:

crypto пишет:
Исправленная версия
А почему она требует права админа ?
Менял <requestedExecutionLevel level="requireAdministrator" />
на asInvoker, но толку 0, это просто пипец неудобно из-за того что Drag & Drop отвалился, если я тяну файл с тотала, который запущен не от админа в окно ИДРа, который от админа.

Добавлено спустя 2 минуты
В общем пришлось снести манифест, чтобы стало норм.

Добавлено спустя 13 минут
А нет, нихера не норм без манифеста
Не отображается список форм, в файле с манифестом отображается.



-----
ds

| Сообщение посчитали полезным:

DimitarSerg пишет:
А почему она требует права админа ?
Менял <requestedExecutionLevel level="requireAdministrator" />
на asInvoker, но толку 0
Убрать надо

И не будет требовать, все остальное останется так же.
crypto пишет:
Highlight.dll:
Спс.
И еще в лист окне формы (текстовое представление) и компонентов не меняет шрифт.
upd
С Highlight.dll текст есть, а вот шрифт его мелкий, не меняет размера.

DimitarSerg, dll подкинь, выше я про это как раз говорил.

| Сообщение посчитали полезным: DimitarSerg

v00doo
Вот тепеь всё в норме, спасибо (то ли поспешил, то ли ResHacker подвёл).

Добавлено спустя 7 минут
А с вкладкой source что случилось ? Код есть, но его не видно
http://i.piccy.info/i9/40525114b689c49def343c2561b70ef2/1427462420/2757/675026/2015_03_27_151947.png

Забыл ранее написать ось: win7x64

-----
ds

| Сообщение посчитали полезным:

у меня все работает как с манифестами так и без, и сурсы и формы, и вообще нет проблем.
winXP

| Сообщение посчитали полезным:

По-поводу шрифта в закладке SourceCode. Параметры отображения задаются в файле Hightlight.ini. Напоминаю, что данный модуль позаимствован у Error13Tracer

| Сообщение посчитали полезным:

crypto, ок, вопросов нет.
Может тогда idr будет сразу в него писать, если будет либа окраски возле? Удобно было бы.
Ну и про манифест и пара шрифтов в листах я уже писал выше, больше не нашел косяков из гуишных.

| Сообщение посчитали полезным:

v00doo
Для подсветки требуется задать номер соответствующей темы (для 16-ричного представления, ассемблерного кода, Дельфи,...). Наверное, имеет смысл в будущем переделать установки шрифтов под данные темы и исключить их из idr.ini.

| Сообщение посчитали полезным:

crypto, новую версию подсветки прикрути. Там Всё что нужно. Подробности у меня в блоге.
PS: если с временем проблемы, то ребятам дай, там всего пару if'ов добавить

Добавлено спустя 12 минут
crypto пишет:
Параметры отображения задаются в файле Hightlight.ini
К crypto не придирайтесь, ему с декомпилятором работы хватает. Все вопросы с подсветкой ко мне в блог или в ЛС.
Последняя версия пока не поддерживается IDR, берите предыдущую версию. Из новой разве-что можно подсветку под себя заделать и в папку с IDR закинуть. Там злостный баг был при сохранении...

| Сообщение посчитали полезным:

Error13Tracer
Я тебе отписал в твоем блоге.
И еще, в дополнение: подсветка для Дельфи работает, для ассемблера - уходит в бесконечный цикл. Пытался отследить по твоим исходникам - но там такая каша из case-ов, что без поллитра не разберешься.

| Сообщение посчитали полезным:

Error13Tracer пишет:
К crypto не придирайтесь
Уважаемый, где это я придерался? Я только рад, что он допиливает гуи, я лишь репортил, то что нашел\заметил.

| Сообщение посчитали полезным:

Error13Tracer
Подсветка виснет на имени процедуры
Unit95.TList<VCLTee.TeEngine.TTeeSeriesType>.Pack

| Сообщение посчитали полезным:

crypto, исправим. Не асмовская строка всё-же, не удивительно
Сделаю так наверно: Если первые 8 символов не HEX число, то рисуем как есть

| Сообщение посчитали полезным:

Я уже писал в прошлом году, но ситуация не изменилась.
При сохранении Delphi project создает только dfm файлы, а потом виснет.
Происходит не на всех программах, но стабильно.
Версии от 29.08.2013 и от 14.02.2013 тоже виснут, но успевают создать и .pas
Сегодня откопал старую версию 2.5.3 beta (17.10.2011), в ней сохранение работает без проблем.
Упёртые подопытные собраны в Delphi 7.
Образец посылал crypto в личку. Если надо, повторю.

Добавлено спустя 55 минут
И ещё, сравнивая старую версию с последней выяснил, что версия от 2011 года ЛУЧШЕ декомпилирует.
Вот скриншоты, на них видно, что новые версии не распознают большое число блоков:

Версия от 2011 года



Версия начиная с 2013 года до текущей



| Сообщение посчитали полезным:

olegpr пишет:
При сохранении Delphi project создает только dfm файлы, а потом виснет.
У товарища, скорее всего, бьется память и не в декомпиляторе дело.

| Сообщение посчитали полезным:

ThugboyZ пишет:
У товарища, скорее всего, бьется память и не в декомпиляторе дело.
Тестировал на одних и тех-же подопытных, на разных версиях idr.
Результат напрямую зависит от версии idr.
На одной версии с тем-же подопытным результат всегда одинаков.

Добавлено спустя 7 минут
Уточняю - происходит подобное не на всех exe.
Естественно есть и ребяты с примерным поведением, сохраняющиеся без проблем.

| Сообщение посчитали полезным:

olegpr пишет:
Сегодня откопал старую версию 2.5.3 beta (17.10.2011), в ней сохранение работает без проблем
Дякую...
у меня либа плуг, линкер не моложе рад студии 2010. делфи проект первый раз засейвил.В этом плане бетка 11 года воркает без траблов.
но разбор по типам и классам в нижнем окне последняя сборка идр на порядок лучше разбирает.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Тоже иногда падает, зависит от фазы луны, один раз нормально загружаются и сохраняются пару бинарей, а иной раз на память жалуется.
Стабильно валится в этом районе:
miSaveDelphiProjectClick
00455586 8B50 08 MOV EDX,DWORD PTR DS:[EAX+8]

| Сообщение посчитали полезным:

olegpr
F_a_u_s_t
Я уже что-то подправил в сохранении Дельфи-проекта, но не выкладывал, потому что реализую подсветку. Шлите подопытных, посмотрю. может уже исправлено.
olegpr
По-поводу степени разборки, тоже хотелось бы уточнить. Пришлите мне скрины по почте, не обязательно сюда их выкладывать, так даже лучше будет.

| Сообщение посчитали полезным:

crypto
На почту отправил скрины

| Сообщение посчитали полезным:

olegpr
Убрал лишнюю проверку (что InstanceSize класса не может быть в диапазоне адресов файла. Надо-же! Какие нынче здоровые классы могут создаваться!), после этого класс был распознан и соответственно появились все обработчики событий).
Сохранением в Дельфи-проект в понедельник займусь.

| Сообщение посчитали полезным: olegpr, v00doo, zNob

crypto Ты не думал автоматизировать систему отчетов об ошибках?!

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным: SReg

mak
Практически в каждом случае нужен файл, вызвавший эту ошибку.

Добавлено спустя 6 часов 58 минут
olegpr
Сохранение в Дельфи-проект: это не ошибка IDR, просто операционка не хочет открывать файл prn.dfm, пришлось поставить свой костыль.

| Сообщение посчитали полезным:

crypto
Ок. Понял.

| Сообщение посчитали полезным:

у меня какая-то беда стала с эбаутом.



-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Дык давно уже эта беда была.

| Сообщение посчитали полезным:

Выкладываю для тестирования новую версию с подсветкой синтаксиса ассемблера (пришлось самому написать, поскольку автор подсветки, которую я планировал использовать, шибко занят. Вспомнил, что у меня дизассемблер уже возвращает информацию о всех токенах, отсюда нетрудно эту подсветку реализовать, я ее еще усовершенствовал в стиле cnPack). Кроме того, исправлен страшный баг загрузки файла, который, правда, редко проявляется, но весьма гадит результат анализа.

Цель тестирования:
1. Собственно тестирование для вылова багов
2. Понять, почему при выделении разных строк в ассемблерном листинге меняется фрейм (то сплошной, то точками, цвет меняется - ерунда, конечно, но некошерно)
3. После выбора анализируемого файла и даже иногда в процессе работы стало появляться сообщение "Access violation at XXXXXXX in COMCTL32.DLL". Раньше такого не было. Я читал в Инете об этом сообщении, но пока не понял, почему оно стало возникать (причем возникает и в дебужной версси, и в релизе). Хотелось бы озадачить энтузиастов найти причину.

https://www.dropbox.com/s/ifo0g6ghbikgzk6/Idr.7z?dl=0

Hellspawn
Вроде уже выше обсуждалось, и вроде исправилось уже...

| Сообщение посчитали полезным: v00doo, SReg