IDR (Interactive Delphi Reconstructor) – декомпилятор исполняемых файлов (EXE) и динамических библиотек (DLL), написанных на языке Delphi и выполняемых в среде 32х-разрядных операционных систем Windows.



Программа, прежде всего, предназначена для компаний, занимающихся разработкой антивирусного программного обеспечения. Она также может в значительной мере помочь программистам в восстановлении утраченных исходных текстов программ.

Текущей версией программы могут обрабатываться файлы (как GUI, так и консольных приложений), скомпилированные компиляторами версий Delphi2 – Delphi2010. Ведется работа по поддержке Дельфи 2011.

Конечной целью проекта является разработка программы, способной восстановить большую часть исходных Delphi-текстов из скомпилированного файла, но пока IDR, как и другие Delphi-декомпиляторы, сделать этого не может. Тем не менее, IDR может значительно облегчить такой процесс. По сравнению с другими декомпиляторами анализ, выполненный IDR, отличается наибольшей полнотой и достоверностью. Кроме того, высокая интерактивность делает работу с программой комфортной и (не побоимся этого слова) приятной.

IDR выполняет статический анализ (анализируемый файл не запускается на выполнение), что позволяет безопасно изучать вирусы, трояны и прочие приложения, запуск которых опасен или нежелателен.

Программа не требует установки и не делает никаких записей в реестр Windows.


Официальный сайт:
kpnc.org/idr32
[Note] Недоступен после трагической гибели Криса (RIP)

Гитхаб
Github sources

Скачать:
Страница загрузки

Dropbox автора
https://www.dropbox.com/sh/9ran313nidqtagb/AADl_m_9GVYSiXUviZtDQWQHa?dl=0

Актуальная версия программы:

Исполняемый файл
Внимание! Требует наличия вспомогательных файлов и баз знаний!!!

Базы данных качать по
ссылке.

Для работы необходимо скачать базу знаний + последнюю версию программы

| Сообщение посчитали полезным:

Появилась новая версия программы от 29.09.16, добавлены база знаний + файл определения Delphi XE4 ;)

| Сообщение посчитали полезным:

А что случилось с последними версиями, что созданный map-файл не импортируется в ольке плагом mapimp ?!
Мапы Иды всегда норм работали с этим плагином, да и ранее ИДР создавал мапы, которые успешно применялись...

| Сообщение посчитали полезным:

Есть у кого скомпилированный вариант ?, если есть пожалуйста скиньте ссылку.

| Сообщение посчитали полезным:

crypto пишет:
Официальный сайт:kpnc.org/idr32

дожились........
http://prntscr.com/dfpdy4

тоска печалька

собрал билд с хаба
https://www.sendspace.com/file/f7i3aw

Добавлено спустя 20 минут
dsrabot пишет:
А что случилось с последними версиями, что созданный map-файл не импортируется в ольке плагом mapimp ?!

пример в студию (или ПМ)

| Сообщение посчитали полезным: cryptX

sendspace заипенил мой пров, или по всей ру? через тор ходится

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

У меня тоже
http://prntscr.com/dfpdy4

Есть у кого базы IDR ? (не могу найти)

| Сообщение посчитали полезным:

IDR от 29.09.2016 (от китайцев, 117 Mb).

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным: cryptX

IDR 2.6 (01.04.2017)
Пароль: www.exelab.ru

| Сообщение посчитали полезным:

sendersu пишет:
дожились........http://prntscr.com/dfpdy4
Я не понял. Открывается нормально

| Сообщение посчитали полезным:

SVLab
За домен проплатили.

| Сообщение посчитали полезным: sendersu

Последний рабочий билд и все базы лежат на офиц. сайте. На хабе только последние дополнения. Зачем плодить версии?

| Сообщение посчитали полезным: mak, MarcElBichon, =TS=

crypto
Просто народ перетрухнул, что проект того... Не пугайте больше так

| Сообщение посчитали полезным:

Народ здесь крепок нервами

| Сообщение посчитали полезным:

crypto
Ссылка на справочный файл дохлая:

--> Link <--

| Сообщение посчитали полезным:

Исправлено

| Сообщение посчитали полезным:

А как декомпилировать через ИДР код процедуры. Вот при нажатии на кнопку src такая ошибка, как исправить.
Кстати что там за чекбокс еще для чего он.

44c9_22.12.2016_EXELAB.rU.tgz - err.png

| Сообщение посчитали полезным:

roman921
Задать прототип функции на выделенной строке. Чекбокс (видимо имеется в виду рядом с кнопкой Src?) - если на нем поставить крест, в окне Code можно будет выделить интервалы строк (и скопировать в буфер обмена). Кто-то когда-то попросил такую фичу...

| Сообщение посчитали полезным:

crypto пишет:
Задать прототип функции на выделенной строке.
Вот это можешь объяснить как делать. Я в документации не нашел. На примере как там настроить.

| Сообщение посчитали полезным:

Переходишь на искомую функцию, правой клавишей вызываешь popup-menu, там выбираешь Edit function, в появившемся диалоге заполняешь прототип. Он там уже может быть почти законченный, только нужно определить тип аргументов и самой функции (если это функция). Важно: синтаксис не проверяется, поэтому не ошибаться.

| Сообщение посчитали полезным:

crypto, вот она требует прототип, останавливаясь на функции: call [edx+08]. Я в нее зашел, там:

Вот что тут на примере этой функции указать.
http://image.prntscr.com/image/b139b727dec4411d82e7bf9e09bc912a.png

| Сообщение посчитали полезным:

дико убивает невозможность анализа дампленых exe. даже с дебаг инфой. с этим реально что-то сделать?
и еще - x64 exe так же

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

roman921
1. Прототип данной функции должен иметь вид:
function TFirstPage.sub_004CB408:Byte;
Заходим в редактор прототипа и ставим галочку на Method (в combobox выбираем TFirstPage). Выбираем Function Kind - function, задаем тип возвращаемого значения, Ok.
2. В дереве классов находим класс TFirstPage, отмечаем член класса f8, в popup меню выбираем Edit и задаем имя, а тип тут скорее всего Boolen. Данный пункт не обязателен, поскольку имена членов классов не влияют на декомпиляцию, тут важен тип.
ajax
А в чем там фишка, с дамплеными файлами? Про второе могу сказать только, что есть человек, который пытается сделать версию для анализа 64-битных файлов.

| Сообщение посчитали полезным:

crypto, идею понял, но проблема в том, что много править руками. Возможно ли это автоматизировать пусть с ошибками.

| Сообщение посчитали полезным:

ajax пишет:
дико убивает невозможность анализа дампленых exe. даже с дебаг инфой. с этим реально что-то сделать?
Может у тебя дамп кривой ? IDR открывает дампленные ехе без проблем.

| Сообщение посчитали полезным:

roman921
Смотря, какую-цель ты преследуешь. Если восстанавливаешь фрагмент, то можно и руками, вряд-ли будет много работы. Если полный исходник, то все равно прототипы будешь восстанавливать. Но вообще ты прав, мне тут давали советы, как можно это сделать, но я уже и не вспомню, кто, а весь топик просматривать в лом.

| Сообщение посчитали полезным:

crypto cryptX
примеры. мож cff explorer криво дампит часто бывает что не нужна распаковка типа фимки и тп. дамп, загруз в IDR - и три веселых буквы

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

ajax
Ты какого-рода пример от меня хочешь? Наверное мне должны их давать.

| Сообщение посчитали полезным:

crypto
легко. простой upx

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

ajax
Доступ к файлу запрещен

Добавлено спустя 14 часов 16 минут
ajax
Валится на импорте. Если импорт не читать, работает нормально. Если есть конкретные и разумные предложения, что тут можно сделать, давайте.

| Сообщение посчитали полезным:

crypto
1) Может добавить сообщение что импорт кривой -> продолжать анализ без импорта ? Т.е юзер будет знать что нужно или поправить импорт или продолжать без него.

или

2) В процесс дампер добавить импорт фиксер (--> Link <--)

| Сообщение посчитали полезным: