IDR (Interactive Delphi Reconstructor) – декомпилятор исполняемых файлов (EXE) и динамических библиотек (DLL), написанных на языке Delphi и выполняемых в среде 32х-разрядных операционных систем Windows.



Программа, прежде всего, предназначена для компаний, занимающихся разработкой антивирусного программного обеспечения. Она также может в значительной мере помочь программистам в восстановлении утраченных исходных текстов программ.

Текущей версией программы могут обрабатываться файлы (как GUI, так и консольных приложений), скомпилированные компиляторами версий Delphi2 – Delphi2010. Ведется работа по поддержке Дельфи 2011.

Конечной целью проекта является разработка программы, способной восстановить большую часть исходных Delphi-текстов из скомпилированного файла, но пока IDR, как и другие Delphi-декомпиляторы, сделать этого не может. Тем не менее, IDR может значительно облегчить такой процесс. По сравнению с другими декомпиляторами анализ, выполненный IDR, отличается наибольшей полнотой и достоверностью. Кроме того, высокая интерактивность делает работу с программой комфортной и (не побоимся этого слова) приятной.

IDR выполняет статический анализ (анализируемый файл не запускается на выполнение), что позволяет безопасно изучать вирусы, трояны и прочие приложения, запуск которых опасен или нежелателен.

Программа не требует установки и не делает никаких записей в реестр Windows.


Официальный сайт:
kpnc.org/idr32
[Note] Недоступен после трагической гибели Криса (RIP)

Гитхаб
Github sources

Скачать:
Страница загрузки

Dropbox автора
https://www.dropbox.com/sh/9ran313nidqtagb/AADl_m_9GVYSiXUviZtDQWQHa?dl=0

Актуальная версия программы:

Исполняемый файл
Внимание! Требует наличия вспомогательных файлов и баз знаний!!!

Базы данных качать по
ссылке.

Для работы необходимо скачать базу знаний + последнюю версию программы

| Сообщение посчитали полезным:

[DEL]

| Сообщение посчитали полезным:

hoyux пишет:
Сделай под 64 IDR, реально не хватает.
ето не поддержка (а-ля дописать пару строк), ето равносильно новому прожекту, про что автор уже писал

| Сообщение посчитали полезным: shellstorm, hoyux

hoyux
https://github.com/crypto2011/IDR

Пилите pull request, помогите автору, проект может улучшать любой желающий.

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным: sendersu

hoyux пишет: Сделай под 64 IDR, реально не хватает. Вычленяй мою подсветку Delphi. Сырки открыты.

О да, подсветка это как раз самая сложная часть. Мало того, что нужно переписать практически полностью парсер, так и clang это не древний delphi компилятор, он уже не оставляет такой роскоши в виде избыточности кода.

| Сообщение посчитали полезным:

проект чтоб работал в RAD STUDIO насколько сложно?

| Сообщение посчитали полезным:

Xlab0s пишет:
проект чтоб работал в RAD STUDIO насколько сложно?
Там гору кода под юникод надо затачивать. Я хотел в RAD скомпилить из сырков, потом плюнул и на виртуалке Builder 6 поставил. Возни много - лучше не трогать.

| Сообщение посчитали полезным:

Камрады, доброй ночи.

Вопрос от чайника. Необходимо добыть алгоритм одного расчета из проги (D2014).
Загнал в IDR, наметился было прогресс, но знаний не хватает. Ассемблер последний раз в руках держал от Z80...
На чтение учебников много времени нет, так как вопрос надо решить оперативно. В общем, не пинайте сильно, а лучше подскажите... пардон, что вопросы дурацкие.

1. После обработки, IDR нашел sub_XXXX с вызовом где-то глубоко внутри функции @System.@UStrEqual, для которой код не генерится, но выдается сообщение об ошибке "I -> Loop -> Loop still unknown". В KB находится до буквы идентичная функция, ее использование результата не дает.
2. Есть ли какая-то возможность использовать то, что делает IDR в IDA? По сути, мне не нужен дельфийский код, вполне хватило бы С, дизассемблированного Идой, но ИДА не видит дельфийских названий, а без них на выходе только вермишель из 15 тысяч безымянных сабов. Последние сигнатуры FLIRT есть только для BDS2010, но их использование толку в моих руках не дает. Но руки кривые в данном вопросе, что есть, то есть.
Использую IDR 01.04.2017 и IDA 6.6

Заранее спасибо.

| Сообщение посчитали полезным:

Incitatus в IDR есть экспорт idc скрипта

| Сообщение посчитали полезным: Incitatus

SReg, спасибо за помощь, нашел, получилось.

Можно еще вопрос? Не ругайтесь, если он глупый...
Анализируемый код содержит строковые ресурсы, которые используются алгоритмом, в основном это текстовый xml. Дайте плз наводку, как распознать обращения к ним из анализируемых функций?

И еще небольшой
Часть кода той или иной процедуры в IDR помечается розовым цветом. Как я понимаю, ее наличие не позволяет реконструктору получить исходный код... когда в этом сегменте есть вызовы call - мн понятно, что это указывает на то, что в вызываемом прототипе не все хорошо, правильно? Но что IDRу не нравится в таком коде?


....а дальше везде белый бэк...

Спасибо

| Сообщение посчитали полезным:

Incitatus
Розовым помечается код, несущественный с точки зрения компиляции (в вашем примере это пролог - сохранение в стеке регистров и инициализация локальных переменных типа string), это историческая фича, сейчас она вроде как бы и не нужна. Тем более, в ней часто наблюдаются промахи.
Строковые ресурсы: открываем закладку Strings, при выборе строки справа появляется список референсов

| Сообщение посчитали полезным:

crypto
Спасибо за разъяснение. Большую часть нашел. Связанный с этим вопрос - в теле ресурса XML содержатся символы китайского алфавита, которые отображаются не корректно. Различные эксперименты с режимами отображения строк и шрифтами эффекта не дали, при том, что в других местах, скажем если открыть данный exe в VisualStudio - они читаются отлично. Можно ли как то помочь этому делу, поскольку сопоставлять китайский текст с некорректно отображаемым китайским текстом как-то уж очень непросто?

| Сообщение посчитали полезным:

Incitatus
Нужно заменить контролы, используемые в IDR, на те, которые поддерживают юникод. Ну и кое-что поменять в коде.

| Сообщение посчитали полезным:

Здравствуйте! Помогите разобраться. Декомпилировал одну программу с помощью IDR, пытаюсь ее собрать в Delphe 7 и получаю ошибку: [Fatal Error] SysUtils.pas(10): Program or unit 'sysutils' recursively uses itself
Подскажите, в чем моя ошибка и как ее обойти?


1d59_06.01.2018_EXELAB.rU.tgz - 2018-01-06_120752.png

| Сообщение посчитали полезным:

eu8cc пишет:
Здравствуйте! Помогите разобраться. Декомпилировал одну программу с помощью IDR, пытаюсь ее собрать в Delphe 7 и получаю ошибку: [Fatal Error] SysUtils.pas(10): Program or unit 'sysutils' recursively uses itself
Подскажите, в чем моя ошибка и как ее обойти?
Если вы думаете, что декомпилятор выплюнет для вас прекрасно рабочий код, то это заблуждение. Читайте доки и юзайте отладчики. А касательно ошибки. Что там, собственно, непонятно ? Рекурсия или незнание английского ? Все там достаточно понятно - юнит sysutils рекурсивно используется в самом себе. Этого быть не должно. Учите и как кодить на делфи в довесок.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

Извините что заставляю вас нервничать) А можно по подробнее, что нужно подкорректировать чтобы не ругалась на sysuils?

| Сообщение посчитали полезным:

eu8cc пишет:

Извините что заставляю вас нервничать) А можно по подробнее, что нужно подкорректировать чтобы не ругалась на sysuils?
Переименовать целевой юнит на все, что угодно, кроме sysutils. Директиву uses не трогать.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным: eu8cc

crypto, пробую эту прогу http://rgho.st/8ZS8GBgFK декомплировать в идр, получаю EAcessViolation.
Можешь посмотреть, почему ошибка случается.

| Сообщение посчитали полезным:

mazaxaker пишет:
Можешь посмотреть, почему ошибка случается.

Перепиши её на Delphi - ошибок не будет.
Сейчас она на BorlandC++Builder'е.

mazaxaker пишет:
Я просто думал, что IDR умеет борланд декомпилить

Да. Borland Delphi, но не C++. Тема-то как называется?



| Сообщение посчитали полезным:

dosprog пишет:
Сейчас она на BorlandC++Builder'е.
Я просто думал, что IDR умеет борланд декомпилить, делфи ведь основан на борланде.

Добавлено спустя 13 часов 10 минут
dosprog пишет:
Да. Borland Delphi, но не C++.
Но я заметил, что он вполне успешно разбирает некоторые проги из борланд с++ именно, вот ultraiso написана на борланд с++, он нашел все формы, все обработчики смотрю.
Вот эту http://rgho.st/8vv6yn94D разобрал.

| Сообщение посчитали полезным:

Борланд - это компания, которая разработала язык, а речь идет о BCC. BCC структурно очень сход с Delphi, потому что разработан той же самой Борланд. Борланд же "декомпильнули" на стадии банкротства еще. Idr хорош для своих целей, но только в том случае, если требуется полный разбор функционала софта. Делфисту разобрать делфовый код итак труда не составит, так что использование idr для узких задач - моветон. А делфи основан на паскале, а не на борланде

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

unknownproject пишет:
Idr хорош для своих целей, но только в том случае, если требуется полный разбор функционала софта.
Мне им нравится быстро находить обработчики контролов, ну и плюс распознавание системных вызовов делфи вроде GetText, которые олька не видит.
Кстати по борланд с++ ищу туторы с информацией о том, как отличать в коде те куски кода, которые всунул компилятор, чтобы их не изучать.
Разбираю прогу на борланд с++ и вижу, что код, который там писал разраб периодически разбавляется каким-то непонятным кодом, который очевидно компилятор напихал. Вот такое хочу отличать, есть ли по этой теме туторы.
До этого исследовал проги на visual c++ и заметил, что их ассемблерный вид намного приятнее для реверсера. А борланд смотрю кучу всякого пихают мусора какого-то)

| Сообщение посчитали полезным:

mazaxaker пишет: Но я заметил, что он вполне успешно разбирает некоторые проги из борланд с++ именно, вот ultraiso написана на борланд с++, он нашел все формы, все обработчики смотрю

Некоторые это еще не все, для уверенного разбора билдера нужно дописывать парсер, как вариант попробуй вручную выбрать другую версию базы vcl, иногда помогает.

| Сообщение посчитали полезным:

Для ленивых. Добавил возможность пункта в контекстное меню проводника для exe / dll файлов из меню, чуток иконок и вызов калькулятора, блокнота и ...

--> Link IDR<--

PS:
Для внесения данных в реестр ( Help - Settings - Shell Integration ) запустить приложение с правами Администратора.

| Сообщение посчитали полезным: Gideon Vi

MacTep
Проект открыт на github, было бы лучше изменения внести туда, чтобы всем были доступны.

| Сообщение посчитали полезным: sendersu, HandMill

При работе IDR вкладка - Code View - popup меню пункт Copy Address вызывается исключение ' List index out of bounds (-1)'. Если не выбран ни один элемент списка lbCode свойство ItemIndex = -1.



Добавлено спустя 8 часов 46 минут
Поправил ошибку, добавил пункт popup меню Copy Line вкладки Code View. Архив с сорцами тут --> IDR <--

| Сообщение посчитали полезным:

Собрал новую сборку. Исправлены ошибки кода, добавлен пункт в poup меню 'Copy Line' вкладки 'Strings'.

--> IDR 21/04/18 <--

| Сообщение посчитали полезным:

Салют All !
--> Версия IDR от 23.04.2018 <--

- Исправлены ошибки в коде
- Добавлена секция TrustInfo с разделом Security для поддержки управления учетными записями (UAC) в манифест приложения

| Сообщение посчитали полезным:

--> IDR 25.04.2018 <--

+ Добавлена поддержка копирования несколько элементов списка в буфер обмена, пункт 'Copy Lines' во вкладках 'Code Viewer', 'Strings'.

| Сообщение посчитали полезным:

Пилите фикс сразу на гитхаб, он для етого и опенсорсился..

| Сообщение посчитали полезным: d745150

--> Форк на github <--

| Сообщение посчитали полезным: sendersu, 4kusNick