IDR (Interactive Delphi Reconstructor) – декомпилятор исполняемых файлов (EXE) и динамических библиотек (DLL), написанных на языке Delphi и выполняемых в среде 32х-разрядных операционных систем Windows.



Программа, прежде всего, предназначена для компаний, занимающихся разработкой антивирусного программного обеспечения. Она также может в значительной мере помочь программистам в восстановлении утраченных исходных текстов программ.

Текущей версией программы могут обрабатываться файлы (как GUI, так и консольных приложений), скомпилированные компиляторами версий Delphi2 – Delphi2010. Ведется работа по поддержке Дельфи 2011.

Конечной целью проекта является разработка программы, способной восстановить большую часть исходных Delphi-текстов из скомпилированного файла, но пока IDR, как и другие Delphi-декомпиляторы, сделать этого не может. Тем не менее, IDR может значительно облегчить такой процесс. По сравнению с другими декомпиляторами анализ, выполненный IDR, отличается наибольшей полнотой и достоверностью. Кроме того, высокая интерактивность делает работу с программой комфортной и (не побоимся этого слова) приятной.

IDR выполняет статический анализ (анализируемый файл не запускается на выполнение), что позволяет безопасно изучать вирусы, трояны и прочие приложения, запуск которых опасен или нежелателен.

Программа не требует установки и не делает никаких записей в реестр Windows.


Официальный сайт:
kpnc.org/idr32
[Note] Недоступен после трагической гибели Криса (RIP)

Гитхаб
Github sources

Скачать:
Страница загрузки

Dropbox автора
https://www.dropbox.com/sh/9ran313nidqtagb/AADl_m_9GVYSiXUviZtDQWQHa?dl=0

Актуальная версия программы:

Исполняемый файл
Внимание! Требует наличия вспомогательных файлов и баз знаний!!!

Базы данных качать по
ссылке.

Для работы необходимо скачать базу знаний + последнюю версию программы

| Сообщение посчитали полезным:

crypto
да, первый вариант. без импорта анализировать. прикручивать смысла нет, кому надо - прикрутят заранее

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

cryptX
У меня пока процесс-дампер не работает. Поэтому остановимся на первом варианте.

| Сообщение посчитали полезным: cryptX

Бросил пока сюда --> Link <--, потестите, потом на сайт выложу.

| Сообщение посчитали полезным: ajax, zNob, sendersu

crypto пишет:
потестите, потом на сайт выложу.

Заменил файл для старой версии - ошибка в программе.
Проверил скачав последние версии и заменив файл - дампер работает.

| Сообщение посчитали полезным:

lsdmax
Если честно, ничего не понял.

| Сообщение посчитали полезным: SReg

Заметил, что как-то криво стали генерироваться MAP файлы - mapimp олькин их не понимает.


И вот так весь файл. Если убрать строки начинающиеся с виртуальных адресов, импортируется нормально.

И небольшое пожелание - возможность разбивать генерируемые IDC скрипты на несколько частей. Пару раз пытался запустить файлы по 400-500 метров весом. Ида надолго вешается и в результате плюётся ошибками при компиляции скрипта. Вручную их разбивать нудно.

| Сообщение посчитали полезным: Jaa

-=AkaBOSS=-
А в чем дело с этим типом? Подскажите, тогда исправлю.
Насчет разбиения - сделаю. Все равно, в каком месте прерывать? Если да, то могу генерить куски заданного объема. Опять же, какого лучше.

| Сообщение посчитали полезным:

crypto пишет:
А в чем дело с этим типом? Подскажите, тогда исправлю.

Как я уже писал - если убрать строки начинающиеся с виртуальных адресов (с прототипами функций), импортируется нормально.
Для примера, тот же кусок мапа от Иды:

Этот импортируется без проблем.

crypto пишет:
Если да, то могу генерить куски заданного объема. Опять же, какого лучше.
Ну можно давать юзеру выбор. У меня пару миллионов строк Ида переваривает, а у когото памяти и на это может не хватить.


Небольшой гуёвый баг - статусная строка ползает при прокрутке списка



И еще одна.. особенность.
Если в функции встречается мусорный кусок (после прыжка в вм, например), ИДР паникует "Assertion failed: Idx >= 0 && Idx < 32, file C:\PAPA\IDR\Misc.cpp, line 826" после чего выдаёт "Abnormal program termination" и закрывается.
Хотелось бы, чтобы она это как-то помягче обрабатывала.

| Сообщение посчитали полезным:

-=AkaBOSS=-
Я туплю: вот эта хрень
#include <idc.idc>
static clear(from){
auto ea;
ea = from;
while (1){
ea = NextFunction(ea);
if (ea == -1) break;
DelFunction(ea);
MakeNameEx(ea, "", 0);}
ea = from;
while (1){
ea = FindExplored(ea, SEARCH_DOWN | SEARCH_NEXT);
if (ea == -1) break;
MakeUnkn(ea, 1);}
}
должна быть в начале каждого куска или только в самом начале?

| Сообщение посчитали полезным:

crypto пишет:
должна быть в начале каждого куска или только в самом начале?

Я ее вообще выбрасываю, чтобы не портила уже проанализированный код.

| Сообщение посчитали полезным: reversecode

crypto, ну по идее - в начале каждого куска, так как они представляют собой самостоятельные скрипты и будут компилироваться отдельно друг от друга.

| Сообщение посчитали полезным:

Похоже этот скрипт чистит все, что уже сделано. Наверное его нужно оставить только в первом скрипте?

| Сообщение посчитали полезным:

crypto пишет: должна быть в начале каждого куска или только в самом начале?

только в начале, но я бы и туда его не ставил.
не нужно забывать, что delphi это не только pure object pascal, но и прилинкованные obj файлы писанные на православной сишке, здесь ваш декомпиль обломается, и анализ IDA убьете.

Добавлено спустя 10 минут
просмотрел исходники вашего декомпиля, может пока отложить добавление фич и сделать рефакторинг?
например избавиться от разношерстных типов, все свалено в кучу, типы билдера, системные, stl, в итоге каша которую сложно разгребать если не девелопил проект с самого начала.
у некоторых функций нет имен, стоят стандартные имена которые дает IDA.
перевести проект на unicode или жестко указывать AnsiString, не все же девелопят на древних версиях, а на новых не каждый полезет в реестр убирать юникод который по умолчанию и править самому то еще удовольствие, учитывая кашу из типов с отсутствием вменяемых инсрументов для рефакторинга у билдера.

| Сообщение посчитали полезным:

-=AkaBOSS=-
Выложил все изменения (в том числе исполняемый файл) на github
https://github.com/crypto2011/IDR/blob/master/Idr.exe

Не знаю, какой версией ты пользовался, но строки, начинающиеся с виртуальных адресов, у меня уже давно идут без прототипов в idc. Или я что-то не так понимаю? Объясни.

neshta
Лишние фичи не помешают. Кому надо, тот разберется

| Сообщение посчитали полезным:

crypto
Он про то, что .map файл генерится кривой для Olly

хороший файл, созданный в ранних версиях ИДР
--> Link <--

не годный файл, который генерят последние несколько билдов ИДР(включая этот)
--> Link <--

| Сообщение посчитали полезным: crypto

SReg
Семен Семеныч!
Поправил, выложил туда же (теперь все обновления ищите на github). Остальные замечания позже.

| Сообщение посчитали полезным:

crypto
Не совсем исправленный вариант вы выложили. Сначало немного нормальных строк, а потом тоже самое



--> map file <--

| Сообщение посчитали полезным:

Jaa
Тут какая-то "левая" процедура procedure kernel32.dll. Файл исходный выложите плиз
И я все-таки не совсем понимаю, каков признак процедур, для которых не нужны прототипы. А может вообще прототипы не выводить? От них только вред

| Сообщение посчитали полезным:

crypto
так на любом файле такая беда. вначале нормально а потом уже нет.
файл в аттаче как пример...

crypto пишет:
А может вообще прототипы не выводить? От них только вред
может и не выводить, просто сделать .map для Olly как в прежних версиях и всё.



e9ef_06.02.2017_EXELAB.rU.tgz - dcu32int.exe

| Сообщение посчитали полезным:

crypto
в принципе можно было и не править (я например, в 2 клика в AkelPad, можно и в другом нажимаю сортировку строк по имени, сохраняю, получается правильные строки мап-файла идут в начале, такой файл успешно применится mapimp'ом).

-----
ds

| Сообщение посчитали полезным:

DimitarSerg, любопытный способ)
я в том же акелпаде прохожу заменой на пустую строку через регэксп ^[0-9A-F]{6}.+?\n

| Сообщение посчитали полезным:

Убрал прототипы. Файл там же, на github

| Сообщение посчитали полезным: Jaa

Небольшой гуёвый баг - статусная строка ползает при прокрутке списка
Пришлось убрать из главного окна статус-бар и прогресс-бар. Положил на github. Возможны проблемы.
ЗЫ
Да, в дальнейшем лучше свои замечания фиксировать на github, а то здесь тема уже всем надоела. Подумаю, не закрыть ли ее совсем...

| Сообщение посчитали полезным:

crypto пишет:
Да, в дальнейшем лучше свои замечания фиксировать на github, а то здесь тема уже всем надоела. Подумаю, не закрыть ли ее совсем
Что-то я не заметил тут возмущений
Ничего не надо закрывать, я наоборот захожу с удовольствием почитать когда вижу тему IDR поднятую, как и любого иного инструмента.

| Сообщение посчитали полезным: yuryrce, SReg, zNob, Dart Raiden, 4kusNick, MacTep

лучше бы флирта для иды нормального нарезали
базы то для идр по такой же аналогии наверняка делаются

| Сообщение посчитали полезным:

reversecode
А зачем мне что-то делать для ИДЫ? Вполне хватит генератора IDC.
Исходники билдера баз знаний находятся на github, можете попробовать сами сделать сигнатуры.

| Сообщение посчитали полезным:

наверное потому что идр используется многими или рискну сказать всеми, как фронт для генерации idc или map
дальнейший анализ или разбор происходит в ida или ольке
причем даже как фронт, идр не может перенести кучу инфы в бекенд, все остальное делаем копи паст поиском в иде или олли

взглянем правде в глаза, полноценным декомпилером и тем более дебагером идр не станет, а если и станет то не в ближайшие 10 лет
так почему не поменять вектор развития идр в сторону стать лучшим фронтом или хорошим плагином ида или олли ?

| Сообщение посчитали полезным: gazlan

reversecode
Взглянем. А кто-нибудь пытался? Да, похоже большинство юзеров занимается кряками, поэтому им достаточно подобной технологии использования IDR. Я, к примеру, уже несколько больших проектов сделал с помощью моего инструмента и очень им доволен (последний проект состоит из 230 файлов объема 12М). ИДА в таких проектах слабо поможет, потому-что ее декомпилятор создает С-подобный текст. Не спорю, исходный текст, создаваемый IDR, нужно обрабатывать и здесь помог бы какой-нибудь плагин, зато он ориентирован на Дельфи. Исходники выложены, желающие могут менять что угодно в любую сторону.

| Сообщение посчитали полезным: ajax

>> наверное потому что идр используется многими или рискну сказать всеми, как фронт для генерации idc или map

Так и есть
https://habrahabr.ru/post/255767/

| Сообщение посчитали полезным:

crypto пишет:
исходный текст, создаваемый IDR

Гм. У меня там всегда пустое окно. Расскажите, plz, - где и что нажать, чтобы хоть что-то увидеть. (Текст на Delphi для меня все равно нечитаем, просто любопытно).

| Сообщение посчитали полезным: