IDA Pro 6.8 + All Decompilers Full Leak
https://mega.nz/#!3wsXSSqR!hDLuTpwk4jE8Wguwt-ohlyE_3ZlxOfZ4MX_TpN048K8
http://forum.exetools.com/showthread.php?t=17269

Релиз дистрибутивов из компаний, занимающихся безопасностью (APTguy, IDA 6.1 OS X, IDA 5.7 linux):
New IDA, please (re)distribute ASAP:
http://pastebin.com/r8fA3Vta
Ссылка больше не работает. Релиз можно найти в Google по ключевым словам: apt-surprise ida
Пароль: APT-APT_fuck_the_world_security!

От модератора: для особо непонятливых вынесено отдельно: не надо здесь канючить новые версии, как будут, так и появятся, персонально их вам никто не выкатит

| Сообщение посчитали полезным:

Sp0Raw пишет:
возможно билд чуть другой

Конечно, другой. Или вы считаете, что он вручную компилит персональные версии для каждого клиента?

В любом случае, я не вижу смысла во всей этой затее. Что толку? Всё равно недостающие файлы вам никто не даст.

| Сообщение посчитали полезным:

насчёт реверснуть иду
как-то подсчитывал для ida.wll 5.5 это примерно 2000 часов неспеша (субъективно, исходя из 4500 функций, некоторые функции это просто переходники, некоторые даже корявым hex-rays 1.1 можно декомпильнуть и копипастить.

идея масштабная, но реализуемая если взяться за это серьёзно.

и мне действительно жаль Ильфака, если аналог его ida окажется в исходниках на googlecode )

| Сообщение посчитали полезным:

Replicant пишет:
возможно билд чуть другой
Конечно, другой. Или вы считаете, что он вручную компилит персональные версии для каждого клиента?
Дело не в ручной перекомпиляции или перекомпиляции вообще. Основной вопрос: есть ли watermarks по коду (например, по расположению) или нет. На текущий момент такие подозрения есть относительно ida.wll и никого более.

Replicant пишет:
В любом случае, я не вижу смысла во всей этой затее. Что толку? Всё равно недостающие файлы вам никто не даст.
Я не предлагаю участвовать в этой затее тем, кто не видит в этом смысла. Те, кто видят - дадут и еще поддадут Все зависит от той ситуации и условий, которые покажет анализ.

| Сообщение посчитали полезным:

Sp0Raw пишет:
Ребят, вы по фото болезни не диагностируете случаем?
да, блин, уже научились такие темы поднимают, что хоть стой, хоть падай
Код по entry point разный. Адреса entry point разные
"йес оф коз " но ~20 байт oep них не показатель. типа для сравнивающих

Sp0Raw пишет:
Основной вопрос: есть ли watermarks по коду
имхо, не думаю, бат ху ноус...

на что следует обратить внимание:
- тайм файла
- байты до хеадер, после хеадер
- тайм компиляции
- что-то в секциях

хз, что еще параноикам в башню придет

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

ajax пишет:
- тайм файла
На это не стоит. Мы просто их сбросим. Чтобы даже не заморачиваться.

Так же еще case файлов, расположение. Это уж на всякий реально параноидальный случай.

Про результаты анализа отпишу чуть позже сегодня.

| Сообщение посчитали полезным:

Replicant пишет:
Конечно, другой. Или вы считаете, что он вручную компилит персональные версии для каждого клиента?

А что, с этим есть проблемы?

Пара ребят выдерживают линию топика, относительно остального контента, считаю, глупо обсуждать жадность / паранойю Ильфака, тема плавно стекает во флуд. Обсуждать RE IDA/HR тоже не лучшая идея: во-первых, работать над такой задачей можно только под адекватным финансированием; во-вторых, потраченное на RE время приблизительно равно времени написания продукта с нуля. Кто работал над коммерческими проектами должен отдавать себе отчет.

vden пишет:
некоторые даже корявым hex-rays 1.1

Не вижу "корявости" HR 1.1, абсолютно адекватный продукт, такого уровня - единственный в своей нише. И если и поднимать вопрос о RE IDA+HR, стоит однозначно рассчитывать только на HR. Относительно 2000 часов - смело умножайте на 3. Еще раз - развернуть подобный продукт и осуществлять его саппорт задача посильная исключительно прикрытой финансами команды в рамках организации с поставленной иерархией. В следствие чего - продукт 100% должен быть коммерческим.

Тут уже однажды писали дебаггер под ms-rem'ом. Я был в команде и видел развал-схождение, зато флуда было достаточно + малая эффективность. Для народа это был фан, а не профиль, со всеми вытекающими.

Sp0Raw дело бормочет, он не витает в облаках и говорит о вещах приземленных, реализация которых возможна в достаточно сжатые сроки и с выхлопом для коммунити. Пускай не столь "феерично", но это лучше сбора очередной "команды".

Имхо, не стоит столь активно обсуждать выявление ватермарков на паблике, пока есть свободное место, чтобы развернуться и начать "партизанскую войну". Сам обломался с покупкой IDA+HR на контору (не профиль), хотя это основной инструмент в моей работе.

| Сообщение посчитали полезным: IlyaNelson

Дописал: Первичный анализ IDA v6.1 на предмет watermarks

В общем, побольше бы активных людей. Самоорганизации побольше.
А то все самому приходится делать, насколько это возможно.

| Сообщение посчитали полезным:

вы там хекс реи сравнивали 1.1
а в моем хексрее

91 8A 16
при этом мой хексрей с такого же паблика как и у других
и это не просто wt, потому что код используется
и значения от туда читаются и дальше крутятся....
хотя возможно они вписываются в базу idb, о том какой хекрей используется в Ida для анализа
но почему у меня значение в нём другие?
паблик HR 1.1 настолько разные??

в HR 1.0 там нули
и эти значения используются для сравнения с time(0)
и если условие проходит то выполняется какая то виртуальная функция

NaumLeNet
мнения разделяются
мне например ida как таковая вообще не нужна, и дебагером в ней я никогда в жизни не пользовался и не буду пользоватся
только HR

а есть те кому именно ida нужна

| Сообщение посчитали полезным:

reversecode пишет:
паблик HR 1.1 настолько разные??
Все проще. Есть у меня предположение, что hexrays.plw будет по структуре похож на ida.wll.
А те сравнения 5.5 vs 6.1 china -- так тупо в 6.1 china мог оказаться краденный hexrays.

Что касается почему они отличаются - см. кейген от IDA 5.50. Мне было лениво ставить заново и проверять куда именно он впатчивает параметры лицензии. Вероятно, в тот самый watermark тоже. Соответственно, кто ключ делал на другое имя - у того другие данные.

Можете проверить, дважды поставить IDA 5.50 в разные каталоги и сделать разные ключи.

| Сообщение посчитали полезным:

reversecode пишет:
мне например ida как таковая вообще не нужна, и дебагером в ней я никогда в жизни не пользовался и не буду пользоватся
только HR
а есть те кому именно ida нужна
Как простой пример: я пользуюсь и IDA как таковой, и HexRays, и отладчиком ее.

| Сообщение посчитали полезным: NaumLeNet

больше похоже что сравнивая HR, вы нашли не WT
а один скрытый параметр который по времени может что то портить в самой работе HR

потому что wt не может быть временем которое меняется при установке и сравнивается при работе с _time(0)

посему полагаю что в HR, как минимум до версии 1.1 включительно
никогда небыло никаких WT
можно сравнить с еще одной офф купленой
если и там такой же diff будет
тогда не понятно чего пользователи трясутся над HR

| Сообщение посчитали полезным:

reversecode пишет:
потому что wt не может быть временем которое меняется при установке и сравнивается при работе с _time(0)
Я не смотрел. Вы анализировали код, как эти данные используются? (Я даже не смотрел пока, есть ли ссылки на них вообще откуда-либо).

reversecode пишет:
можно сравнить с еще одной офф купленой
если и там такой же diff будет
тогда не понятно чего пользователи трясутся над HR
Смогу ответить на вопрос, как только получу ответ на вопрос выше.
Ну и не забываем, что 1.1 - это 1.1, а 1.2 и далее - черт его знает, что он там сделал. Нужно сравнивать. Как будет возможность сравнить - отпишу.

| Сообщение посчитали полезным:

конечно анализировал
этот код работает в классе Replace_operands_t
и там dword значение
которое
если не ноль то сравнивается с _time(0) <= htonl(dword_10127DC4)
и если условие выполняется то в какую то переменную по смешещению что то вписывается при работе
но не время и не значение с переменной dword_

| Сообщение посчитали полезным:

Тем, кому важна эстетическая красота, поправте у себя безусловный прыжок


на словный


Случайно заметил очередные проделки китайцев

-----
Research For Food

| Сообщение посчитали полезным: 4kusNick

daFix пишет:Тем, кому важна эстетическая красота, поправте у себя безусловный прыжок
А зачем править, когда в этом и так всё на месте?

ADD: HR1.1 addr 10127DC4 = 54 C5 DB 60, а HR1.2 стартует с 17001000, так что у него своё тело...

-----
Everything is relative...

| Сообщение посчитали полезным:

Vamit пишет:
ADD: HR1.1 addr 10127DC4 = 54 C5 DB 60, а HR1.2 стартует с 17001000, так что у него своё тело...
Если это мне, то сравнивать между собой, конечно, нужно одинаковые версии и билды.

| Сообщение посчитали полезным:

reversecode пишет:
если не ноль то сравнивается с _time(0) <= htonl(dword_10127DC4)
и если условие выполняется то в какую то переменную по смешещению что то вписывается при работе
но не время и не значение с переменной dword_
Хорошо. Но это никак не противоречит watermarks (это к вопросу с чего это началось). Почему они не могут быть сколь-либо функциональными (я имею в виду как константы из определенного множества).

| Сообщение посчитали полезным:

скорее всего это timestamp который отодвигается при каждой последующей установке HR

кстати насчет реверса ida.wll
если не целиком то часть которыя отвечает за формат idb, была бы в любом случае полезна
это помогалобы перепатчивать demo для сохранения
хотя не избавит от паранои ильфака, совсем не выкладывать демо

| Сообщение посчитали полезным:

Sp0Raw пишет:
Если это мне, то сравнивать между собой, конечно, нужно одинаковые версии и билды.
Это понятно, но если имею по одному экземпляру каждой версии, то и сравнивать не с чем...

-----
Everything is relative...

| Сообщение посчитали полезным:

по поводу hexrays
reversecodereversecode пишет:
скорее всего это timestamp
да.

--------------

то есть эта константа является датой окончания поддержки. Ее можно посмотреть в about плугина hexrays.
например, для hex-rays 1.1, который давно доступен в паблике
Time in seconds since UTC 1/1/70: 54a70983
UNIX time and date: Sat Jan 03 00:11:31 2015

для hexrays из китайской ida6.1
Time in seconds since UTC 1/1/70: 54a13d62
UNIX time and date: Mon Dec 29 14:39:14 2014

| Сообщение посчитали полезным:

Jonny
Совершенно верно. А так же там д.б. серийный номер и кол-во пользователей.

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

Скорее всего китайский HexRays - пиратка из 5.5.
В общем, нужно две легальные (любые) версии сравнить. Пока этого не сделал со своей стороны. Еще жду людей...

| Сообщение посчитали полезным:

ajax
А так-же поддерживаемые процы и ещё много разной инфы. Все поля разобрал? Можно в личку

Vamit
Не хочу пускать дезинформацию, но эти уникумы вроде тянули это с кряклаба, а этот патч мы все дружно пропустили

-----
Research For Food

| Сообщение посчитали полезным:

А с IDA Free не сравнивали? У меня например 5-я free говорит что она 6.0 Т.е. я не удивлюсь если они не только текст забыли поменять.

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным:

Текущая задача по разбору ida.wll / ida64.wll - по сути интересный crackme. Подробное описание задачи. Подключайтесь, кому интересно, к обсуждению и реализации

| Сообщение посчитали полезным:

Sp0Raw
интересно а много желающих?
все свои остальные мысли, я отписал в ЖЖ

daFix пишет:
А так-же поддерживаемые процы и ещё много разной инфы. Все поля разобрал? Можно в личку
там одно поле int64 с битовой маской на каждый проц
интересно, что ильфак будет делать когда биты закончатся? ROLF



daFix пишет:
Не хочу пускать дезинформацию, но эти уникумы вроде тянули это с кряклаба, а этот патч мы все дружно пропустили
не не пропустили
обсуждали мы его
я с Valiant'ом
и я же потом сказал что ida64.wll скомпилена в 32битном режиме, и асолютно не патченная!

| Сообщение посчитали полезным:

reversecode пишет:
интересно а много желающих?
Я только запостил, не могу судить
Или желающих посравнивать?

reversecode пишет:
все свои остальные мысли, я отписал в ЖЖ
Да, я уже ответил. Если несложно, кстати, -- подписывайтесь. Чтобы понимать кто пишет, кому отвечаешь.

| Сообщение посчитали полезным:

Sp0Raw пишет:
Я только запостил, не могу судить
Или желающих посравнивать?
нет я имел ввиду желающих с оффициальными ida/hexrays которые обратились к вам для всей этой идеи
пока что помоему всего 3 человека?

я веду к тому что если через месяц - два, это не принесет никаких результатов
имеет смысл начинать новую акцию
реверсеры и хакеры собираемся вместе что бы сделать ida открытой для всех

http://exelab.ru/f/action=vthread&forum=1&topic=16791
вот реальный пример ревреса игрушки, когда делают люди не сильно в этом разбирающееся
но люди профи, то наверняка не испугаются сделать тоже самое с ida.wll?

| Сообщение посчитали полезным:

reversecode пишет:
нет я имел ввиду желающих с оффициальными ida/hexrays которые обратились к вам для всей этой идеи
пока что помоему всего 3 человека?
На текущий момент я общаюсь с тремя компаниями. Это лично мои контакты, т.е. инициировано с моей стороны.

Еще несколько человек (2-4) находятся в разной стадии желания помочь.

| Сообщение посчитали полезным:

reversecode пишет:
вот реальный пример ревреса игрушки

Судя по их SVN... они уже забили на этот реальный реверс ....

| Сообщение посчитали полезным: Oleg_Kaa