IDR (Interactive Delphi Reconstructor) – декомпилятор исполняемых файлов (EXE) и динамических библиотек (DLL), написанных на языке Delphi и выполняемых в среде 32х-разрядных операционных систем Windows.



Программа, прежде всего, предназначена для компаний, занимающихся разработкой антивирусного программного обеспечения. Она также может в значительной мере помочь программистам в восстановлении утраченных исходных текстов программ.

Текущей версией программы могут обрабатываться файлы (как GUI, так и консольных приложений), скомпилированные компиляторами версий Delphi2 – Delphi2010. Ведется работа по поддержке Дельфи 2011.

Конечной целью проекта является разработка программы, способной восстановить большую часть исходных Delphi-текстов из скомпилированного файла, но пока IDR, как и другие Delphi-декомпиляторы, сделать этого не может. Тем не менее, IDR может значительно облегчить такой процесс. По сравнению с другими декомпиляторами анализ, выполненный IDR, отличается наибольшей полнотой и достоверностью. Кроме того, высокая интерактивность делает работу с программой комфортной и (не побоимся этого слова) приятной.

IDR выполняет статический анализ (анализируемый файл не запускается на выполнение), что позволяет безопасно изучать вирусы, трояны и прочие приложения, запуск которых опасен или нежелателен.

Программа не требует установки и не делает никаких записей в реестр Windows.


Официальный сайт:
kpnc.org/idr32
[Note] Недоступен после трагической гибели Криса (RIP)

Гитхаб
Github sources

Скачать:
Страница загрузки

Dropbox автора
https://www.dropbox.com/sh/9ran313nidqtagb/AADl_m_9GVYSiXUviZtDQWQHa?dl=0

Актуальная версия программы:

Исполняемый файл
Внимание! Требует наличия вспомогательных файлов и баз знаний!!!

Базы данных качать по
ссылке.

Для работы необходимо скачать базу знаний + последнюю версию программы

| Сообщение посчитали полезным:

microxa пишет:
А позвольте спросить "вы" это кто то, имеющие отношение к техникам реконструирования на дельфи? а тоб шлиб себе лесом мимо.. всем строем...
хотя бы я, и кто одобряет мои мессаги. как ваши посты относятся к разработке idr? расширение функционала? багрепорты? не заметно. в (офф)топике по хинтсам уже бреда хватило.
Для любопытствующих, этой тематикой, приведу пример отработаной техники в конкретном приеме хука
за такой кодес отрывают руки/дают пинка под зад. юзаю дельфи начиная с 3-й версии.

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

-

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

ajax,microxa
Оба ведете себя как школота.

-----
старый пень

| Сообщение посчитали полезным:

ajax Для когото это инструмент чтобы получить исходный текст а для когото ковырялка ломалка

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

r_e пишет:
ведете себя как школота.

Даже хуже



| Сообщение посчитали полезным:

-

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

Ну вы, блин, даете! Три дня на огороде пахал, а оказывается здесь уже все унавозили.
ЗЫ
Да, видимо хостинг уже закрыли, поэтому базы закачал сюда
https://www.dropbox.com/sh/9ran313nidqtagb/AADl_m_9GVYSiXUviZtDQWQHa?dl=0
ЗЫЗЫ
Может кто-то знает, как возобновить работу сайта (мыщъх тогда прокомментировал, что копейки стоит, с меня ничего не брал..., поэтому тонкостей я не знаю). Я готов оплатить, только не знаю, как это сделать.

| Сообщение посчитали полезным: mak, v00doo, ajax, zNob, shellstorm, gazlan, HandMill, Isaev, oooirbis

) Да пускай рулят, абы руль не поломался
.. а двадцать лет, они позволяют взглянуть взвешенно, без ажиотажа.



| Сообщение посчитали полезным:

ребят, оно до какой версии работает? XE2+ уже умеет?

и сам idr последний киньте, какой он там был. А то у меня древняя версия 2.4

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

Isaev пишет: XE2+ уже умеет?

XE4 уже поддерживается, последняя собранная версия на гхабе https://github.com/crypto2011/IDR
среди сурсов лежит и бинарник.

| Сообщение посчитали полезным: Isaev

Isaev
В принципе оно уже и ХЕ6 поддерживает (синхронно с утилитой Хмельнова), однако я уже и не знаю, откровенно говоря, какие dcu брать для баз, шибко их (dcu) много.

| Сообщение посчитали полезным: sendersu, Isaev

crypto пишет: откровенно говоря, какие dcu брать для баз, шибко их (dcu) много

Которые виндовс и стандартные, без всяких огнеобезьян, андроидов и остальной фигни, поскольку все остальное скорее экзотика, чем что то повседневное, такое можно самому сбилдить, кому надо.

| Сообщение посчитали полезным:

Улучшена обработка полей структур в декомпиляторе (есть соответствующие изменения в закладке Vars диалога редактирования функции - можно удалять все, выделенные, изменять тип), в некоторых местах убрал See Ya later, по умолчанию в этих местах тип Pointer. Окончательная цель начатой цепочки изменений - добиться изменения типов непосредственно в окне Source (как это делается в IDA). Исходники и последняя сборка - на github.

| Сообщение посчитали полезным: zNob, shellstorm, sendersu

Относительно либы дизасма: на которую, в немалой степени завернут движок.
А то вот, некоторые, 5 копеек, в копилку "открытости"..

В аттаче пример, собран средствами BCB6 (270кил простыня на tasm32
с рипом CbDisassemble/ dcc32, фейк класса и обертка dis.dll)

Заменяет либу от м$, но требуется фикс, т.к порт с версии 1.12/9438 (хоть и древность но достаточно
полно покрывающий 32битку).



Это из за добавления одного элемента в
>> enum OPRNDT // Operand type <<
(какого точно пока хз..)
А так, функа CbDisassemble весьма автономна, rtl с костылями не тянет,
хотя, в таком сыром виде не слишком презентабельна...


0897_24.05.2017_EXELAB.rU.tgz - dis112.zip

Добавлено спустя 19 часов 48 минут
судя по информации из имеющихся артефатов древности

8-ой элемент это oprndtIbv


И видимо там еще есть нюансы, и расхождения. Но это инфа с отладочных символов
что шли в комплекте с VC71NET (полная, а не поскипованая с символьного сервера)
кстати.. умела уже х64



c48d_25.05.2017_EXELAB.rU.tgz - msdis140.zip

| Сообщение посчитали полезным:

Народ, я извиняюсь за нубский вопрос от человека, который ничего не знает о реверс-инжиниринге, открыл прогу и нифига не понял. Но мне понадобилось посмотреть пару функций в старой делфячей проге, я нагуглил Interactive Delphi Reconstructor, скормил ей файлы проги, все вроде распозналось, я несколько процедур с событиями на клик посмотрел - ок. Вижу в меню "Save Delphi project", жмякаю н него, идет полоска прогресса, и ничего не происходит. Это нормально? Я вообще надеялся на исходники делфи, пусть и спеченные, например, в один файл или типа того. Я ошибался, все сложнее? Я пробовал разобраться с прогой, погуглить - никаких инструкций не нашел. Гуглю по теме реверс-нжиниринга - вижу разные статьи с ollydbg, ассамблером и с++. У меня нет желания становится крякером, я хотел просто посмотреть пару функций в старой программе на делфи. Разбираться с асамблером или лезть в изучение плюсов это как-то круто больно для моего интереса. Вообще как бы выглядел процесс декомпеляции программы на делфи без упаковки и защиты? Что нужно почитать, чтобы этому научится, насколько оно сложно и как составить план чтоль какой-то для обучения?

| Сообщение посчитали полезным:

MisterN
"Дельфи-проект" сохраняется в поддиректории IDR\Projects, в юнитах в секции implementation - ассемблерные коды функций и процедур. Чтобы получить псевдокод конкретной функции, нужно нажать кнопку Src.
ЗЫ
Полоска прогресса при сохранении Дельфи-проекта не должна идти...

| Сообщение посчитали полезным:

crypto, спасибо. Завтра попробую.

| Сообщение посчитали полезным:

Офсайт лежит. Может кто выложить куда нибудь саму программу с базами?
Нужна иногда. Как то качал, но не найду, по видимому удалил за ненадобностью

| Сообщение посчитали полезным:

Adler
https://www.dropbox.com/sh/9ran313nidqtagb/AADl_m_9GVYSiXUviZtDQWQHa?dl=0
Саму программу можно скачать с https://github.com/crypto2011/IDR
PS
Сайт накрылся после гибели мыщъха

| Сообщение посчитали полезным: gajemuxi, RevCred

здравствуйте! есть несколько вопросов по программе.
1) старая версия(примерно от 11.2015) разбирала проги собранные borland builder, и довольно таки прилично, а новая не хочет.
2) что с плагинами? менюшка есть в проге, а в инете ничего не нашёл.
3) вопрос про 64 бит. видно что попытки что-то сделать были ещё в конце марта.
заранее спасибо!

| Сообщение посчитали полезным:

RevCred
1. Версии теперь надо брать на github (я восстановил возможность обработки BCB, as is!)
2. Плагины только для загрузки шифрованных форм, более ни для чего. Пример на github
3. Попытки сильно далеко не продвинулись, поскольку декомпилятор приходится переписывать практически полностью.

| Сообщение посчитали полезным: RevCred

опять я.
1) Спасибо за обработку BCB.
2) Highlight.dll - будет ли он работать в новых версиях? и где его скачать?(в теме только одно упоминание, и то мёртвая ссылка).
3) IDR иногда не может определить версию делфи файла, и пишет "выберите версию вручную от делфи 3 до делфи 2007", если мне известно что версия делфи 4(die подсказал) - что лучше выбрать, точную версию, или самую новую версию? ведь чисто по логике последняя версия баз знаний должна содержать и все предыдущие "знания". Но на деле если так сделать(использовать последнюю базу - XE4), то IDR выдаёт ошибку "EAccessViolation".
4) простая(ИМХО), но очень удобная фича - при нажатии "Save Delphi Project" сохранять проект в папке с именем файла(delphi_file.exe -> <IDR>/Projects/delphi_file)

| Сообщение посчитали полезным:

RevCred
2. Highlight.dll более не используется, подсветку в ассемблере я сам сделал, осталось в Дельфи, но там и так кругом одни проблемы...
3. Если IDR так пишет, значит я не смог определить эвристику для таких случаев ("File " + FileName + " is probably Delphi 4, 5, 6, 7, 2005, 2006 or 2007 file, try manual selection"), если die определил как 4, то последуйте его совету. А вообще можно попробовать перебрать их все, какая лучше подойдет. Утверждение "последняя версия баз знаний должна содержать и все предыдущие "знания"" верно лишь отчасти, поскольку меняются форматы метаданных, вот вы и получили "EAccessViolation, задав слишком большую версию.
4. Хорошо, сделаю такую фичу.

| Сообщение посчитали полезным:

Есть ли возможность реализации открывать IDR на нужном адресе памяти вкладки 'CodeView' из другого приложения ( например из IDA ) ?

| Сообщение посчитали полезным:

MacTep пишет:
например из IDA
копируете адрес в IDA, в IDR наживаете Ctrl+G, переходите, в чём проблема?

MacTep пишет:
из IDA перейти в IDR
интересно услышать, как вы себе представляете реализацию?
в IDR нет же никакого апи, по этому в нём переход тольку вручную

| Сообщение посчитали полезным:

Задача работая в IDA по хоткею Alt + I перейти в IDR на адрес который указывает курсор IDA.

| Сообщение посчитали полезным:

MacTep пишет:
Задача работая в IDA по хоткею Alt + I перейти в IDR на адрес который указывает курсор IDA.
Напишите плагин к ida на питоне, который будет получать текущий адрес и через findwindow/sendmessage будет эмулировать нажатие ctrl+g в idr

| Сообщение посчитали полезным:

Можете посмотреть сырки oSpy и переделать под ваш случай и поправить скрипты под новую IDA, там именно такой функционал реализован.

| Сообщение посчитали полезным:

под х64 версия планируется ?

| Сообщение посчитали полезным:

Xlab0s
Анализ реализован, а с декомпилятором пока ступор...

| Сообщение посчитали полезным: