IDA Pro 6.8 + All Decompilers Full Leak
https://mega.nz/#!3wsXSSqR!hDLuTpwk4jE8Wguwt-ohlyE_3ZlxOfZ4MX_TpN048K8
http://forum.exetools.com/showthread.php?t=17269

Релиз дистрибутивов из компаний, занимающихся безопасностью (APTguy, IDA 6.1 OS X, IDA 5.7 linux):
New IDA, please (re)distribute ASAP:
http://pastebin.com/r8fA3Vta
Ссылка больше не работает. Релиз можно найти в Google по ключевым словам: apt-surprise ida
Пароль: APT-APT_fuck_the_world_security!

От модератора: для особо непонятливых вынесено отдельно: не надо здесь канючить новые версии, как будут, так и появятся, персонально их вам никто не выкатит

| Сообщение посчитали полезным:

reversecode пишет:
реверсеры и хакеры собираемся вместе что бы сделать ida открытой для всех

а почему б и нет, зачем тратить время на найти и скачать, лучше чтото делать чем сидеть и искать всё готовое, ктото ARM, ктото дизассемблирование под линукс ... , про это тоже можно поговорить.

| Сообщение посчитали полезным:

в 2004-м меня никто с этой мыслью не поддержал думаю и сейчас все заглохнет

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным:

я прикинул
макисмум используемых архитектур ~5, и где то ~5 форматов файлов используемых при анализе
остальное это какая то екзотика
что то уже есть в SDK

если взять SDK, настроить типы
применить типы стурктур к глобальным статическим переменным типа ph (процессор) итд
потом получить выхлоп через HR 1.5
и полученый выхлоп довести до компилируемости и рабочей версии
то дальше разобирать по чуть чуть уже рабочий выхлоп ida.wll, не будет большой проблемой
каждый по функции или по две, кто то быстрее кто то медленнее
за год при 10 активных учасниках, это более чем реально

вот по примеру скайпа, реверснули выхлопом HR, и довели до компилирумеого рабочего состояния
даже не понимая что там происходит

но это только ida.wll
насчет гуи, и вкусностей типа дебаггера... я пока хз

организационные вопросы могут быть уже проблемой
например хостинг даного проекта
ведь это не создание аналога, а реверс существующего,
ильфак будет бегать и брыжя слюной писать хостерам кляузы, что бы удалили проект итд

к тому же реверс 1:1 это вроде бы преследуется законом?
add: и если это будет нарушение, то всем можно будет уйти а андеграунд)
и даже если исходный код уйдет в паблик, наказывать будет некого
фио под кодом не будет)
а писать бинарную совместимость это еще больше времени года три.. и то не факт


насчет примера той игрушки
насколько я понял тот выхлоп довели до состояния компилируемости?
а уже потом разбирали
а почему забросили, можно поинтересоватся у автров, которые бывают и здесь и на ру-борде

в 2004-м меня никто с этой мыслью не поддержал думаю и сейчас все заглохнет
сечас это общие прикиды, и я думаю единственный вариант после того что предложил SpoRaw
если через месяц два у него ничего не выйдет.. то можно обдумывать этот

add: да и делать это в 2004 году не имея HR, было бы сложновато
я помню как я реверсил распечатывая тонны asm листинга своих реверсов, и потом месяцами сидел переводил в C/C++

| Сообщение посчитали полезным:

реверс 1:1 это точно нарушение, а насколько легально будет написание бинарно совместимого ядра (ida.wll)?

| Сообщение посчитали полезным:

reversecode с хостингом не проблема, а вот нельяз чтоб не реверсировать IDA, начать с 0ля или есть проэкты типа BORG связатся из автором и поговорить, взять пример роботы розроботки ОС FreeBSD, там у них групы и каждый делает свое, ктото беспроводной связью, ктото драйверами, они между собой спорят или принимают решения и так далее, почему б не сделать, чтото подобное?

upd: Люди давайте обговрим варианты, кто как и что думает и преставляет, может тему другую создадим?
и там обсудим?

| Сообщение посчитали полезным:

Проще дописать проекты с открытым кодом ( bastard, ht, beye), чем чтото доказывать автору ИДА. Если и реверсить то тока hexrays. Да и тоже особо не нужно. Так как такой выхлоп как у hexrays 1.1 умеет и boomerang.
UPD.
Bastard, как я понимаю, был спроектирован по подобию ида. И архитектура проекта хорошая. Нужны просто программисты, чтобы развить его.

| Сообщение посчитали полезным:

Думается мне если все затевается ради Hex rays можно начать с плагина для оли - хотя не все могут согласится, гуи в оле не так нагляден

| Сообщение посчитали полезным:

А может разработчики Boomerang и ушли к Ильфаку...
У них на сайте последние новости от 3/Nov/2006
А вот 20 Aug 2007 Hex-Rays web site is open.

| Сообщение посчитали полезным:

вставлю свои N слов...
для реверсирования софта (не хитро обфусцированной малвари) нужен только HR, а дизасм смотреть обычно незачем (только если HR накосячит), так что и IDA как дизассемблер не нужна, на как отладчик тем более (ИМО).
HR - это таки плагин, а значит взаимодействует с ИДА через ее АПИ (его полезная часть по кр. мере)
Если реверсить HR - то надо либо ИДА чтоб его к ней подцепить, либо надо писать штуку с АПИ похожим на ее АПИ (не 1в1, но архитектурно оно будет тем же самым).
к чему это я? - да вобщем-то ни к чему. Можно реверснуть HR за полгода, еще за полгода довести код до читабельного\поддерживаемого состояния. За это же время выйдет еще три версии HR, а мы не сможем переделать\пофиксить\улучшить код который реверснули, т.к. там будет каша из *(DWORD*)(*(DWORD*)+0x345)

| Сообщение посчитали полезным:

Что вы все заладили, отреверсим, получим компилируемые сорсы, рабочий вариант... а потом выйдут новые версии и заново реверсить... А почему потом просто самим не поддерживать этот готовый отреверсиный проект, и не зависить от кого.

И как бы продолжая мысль, а не проще самим написать, а не повторять чужой говнокод. Есть же тот самый REC, который тоже был еще до НR.

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

Слушайте, хватит трепаться. Все идем помогать Sp0Raw


| Сообщение посчитали полезным:

Хернёй вы тут занялись... Вот в ЖЖ дали ссылку, там и реверсите!

-----
z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh

| Сообщение посчитали полезным:

vden пишет:
реверс 1:1 это точно нарушение
Это смотря "как лодку назвать". Правильное название "мы пишем продукт совместимый с IDA", см. ReactOS. А как получены знания, никого не касается.

reversecode пишет:
add: да и делать это в 2004 году не имея HR, было бы сложновато
Ага больше ламеров вольется, с Hex rays у нас теперь на кого не глянь - ниибацо хакер. А на деле толку от него при восстановлении структур как от козла молока. А это будет 90% работы при декомпиляции ida.wll
p.s. вот уж длинное название, "Hex Rays" что приходится его до HR сокращать. Меня каждый раз дергает когда вижу: причем тут менеджер по персоналу...

GoldFinch пишет:
для реверсирования софта (не хитро обфусцированной малвари) нужен только HR
(facepalm)

BoRoV пишет:
Что вы все заладили, отреверсим, получим компилируемые сорсы, рабочий вариант... а потом выйдут новые версии и заново реверсить... А почему потом просто самим не поддерживать этот готовый отреверсиный проект, и не зависить от кого.
правильная мысль, но начинать в данном случае надо не с ida.wll, а с процессорных модулей. Потом уже ida.wll. А потом свое GUI и гудбай ильфак. Баги-то в основном не в движке, а в модулях.

BoRoV пишет:
И как бы продолжая мысль, а не проще самим написать, а не повторять чужой говнокод. Есть же тот самый REC, который тоже был еще до НR.
Не проще. Этот говнокод уже оттестирован годами. Мы знаем какие в нем есть проблемы.

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным: Vamit, ajax

reversecode пишет:
насчет гуи, и вкусностей типа дебаггера... я пока хз
Eclipse?

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным:

Sp0Row а создай у себя в ЖЖ темку, типа "реверс IDA, или создания аналога?"
ну или что то насчет реверса IDA
пофлудим там
а то как бы нас всех дружно в этой теме и на форуме не забанили

Hexxx пишет:
Eclipse?
нее, я имел ввиду реверсить ATL старый интерфейс, или сегодняшний QTшный

Hexxx пишет:
правильная мысль, но начинать в данном случае надо не с ida.wll, а с процессорных модулей. Потом уже ida.wll. А потом свое GUI и гудбай ильфак. Баги-то в основном не в движке, а в модулях.
начинать нужно с ida.wll по той простой причине, там формат idb, и там алго сохранения
и на тот случай если до конца не добьем реверс ida.wll
процедуру сохранения можно будет инжектить в следующие демо версии

GoldFinch пишет:
Можно реверснуть HR за полгода, еще за полгода довести код до читабельного\поддерживаемого состояния. За это же время выйдет еще три версии HR, а мы не сможем переделать\пофиксить\улучшить код который реверснули, т.к. там будет каша из *(DWORD*)(*(DWORD*)+0x345)
HR реверснуть не просто, особено версию 1.1 и последующие
наиболее реально 1.0
ну а дальше или кусками разбирать новые 1.1 1.2 1.3 итд, пользователи которых подключатся
либо самим развивать
почему реверсить HR вообще надо? там свой своеобразный алго) очень интересный
в плане анализа инструкций
плюс он уже работает с базой idb, и сохраняет свои даные туда
бросать IDA и начинать новый поект, а это значит и бросать годами проанализированые IDB - я не готов

Jonny пишет:
Так как такой выхлоп как у hexrays 1.1 умеет и boomerang.
бумеранг и половины не умеет что делает HR.
если у вас выхлопы HR и бумеранга одинаковые, значит HR вы пользоватся не умеете

add с нуля никто ничего создавать не будет,посчитайте сколько нужно разработчиков, кодо-часов, финансов? это года три
реверснуть же одну только ida.wll можно в течении года

насчет выхлопов, я имел ввиду довести первый выхлоп HR, от ida.wll до компилируемого состояния
как это сделали по примеру алго декодинга атрибутов в скайпе unpack/pack-4142.c
а уже доведя до компилируемого и рабочего состояния
можно каждому желающему разбирать по чуть чуть функции до нормального состояния
ptr->field_345
а не когда это выглядит *(DWORD*)(*(DWORD*)+0x345)

| Сообщение посчитали полезным:

Логи выравнивания
1st - demo 6.1
2nd - leaked 6.1

Первый шаг к тому, что просил Sp0Raw. Сейчас сгенерирую листинги удобные для сравнения каким-нибудь BC и можно двигаться дальше.

Update:
Немного скорректировано, если все-таки кому-то понадобится

| Сообщение посчитали полезным:

Не могу понять, какие вы там вотермарки ищите:
Archer пишет:
И, походу, имела место перекомпиляция бинаря вообще, некоторые процедуры вообще сдвинуты были, что потребует полной декомпиляции всех этих файлов.
Поясню, что написал Арчи. Для разных кастомеров происходит ПЕРЕСБОРКА из исходников, причем нумерация процедур меняется случайным образом или каким-либо строгим алгоритмом. Часть процедур вообще пустышки, в одном билде есть, в другом - нет (и в каждой сборке свои пустышки). В коде произвольных процедур вставлены "ничего не делающие" конструкции, но это не банальные нопы или их аналоги, это код, который оптимизатор компилятора не удалит, т.к. данный код может быть убран лишь после логического анализа, т.е. это действия, отсутствие которых не повлияет на работоспособность кода.

Поэтому поиск "вотермарков" бесполезное занятие, гораздо полезнее (если у кого-то много свободного времени и желание) разреверсить до состояния, чтобы можно было собрать компилятором, и при этом без тупых ассемблерных вставок. Вот с такими исходниками уже много можно будет сделать хорошего.

| Сообщение посчитали полезным:

Коллеги, слушайте Naum'а, он дело говорит (точнее - не только говорит, но и делает).
Я еще кое-что придумал по бинарному сравнению, чуть позже отпишу по этому поводу.

| Сообщение посчитали полезным:

int пишет:
Поясню, что написал Арчи. Для разных кастомеров происходит ПЕРЕСБОРКА из исходников, причем нумерация процедур меняется случайным образом или каким-либо строгим алгоритмом. Часть процедур вообще пустышки, в одном билде есть, в другом - нет (и в каждой сборке свои пустышки). В коде произвольных процедур вставлены "ничего не делающие" конструкции, но это не банальные нопы или их аналоги, это код, который оптимизатор компилятора не удалит, т.к. данный код может быть убран лишь после логического анализа, т.е. это действия, отсутствие которых не повлияет на работоспособность кода.
Текущий сравнительный анализ, по описанной мною схеме, показывает несовсем такую ситуацию. Про перестановки функций и данных я описывал в своем втором посте, поэтому я это знаю, видел все.

Я по результатам анализа напишу более подробно. Пока нет времени.

Еще напишу идею (по сути спецификацию по разработке) одной утилиты, которая так же потребуется для бинарного анализа.

int пишет:
Поэтому поиск "вотермарков" бесполезное занятие,
С этим категорически несогласен.

int пишет:
гораздо полезнее (если у кого-то много свободного времени и желание) разреверсить до состояния, чтобы можно было собрать компилятором, и при этом без тупых ассемблерных вставок. Вот с такими исходниками уже много можно будет сделать хорошего.
А в эти беседы я даже не ввязываюсь. Потому что дальше бесед дело не пойдет. Не хотелось бы впустую сотрясать воздух. Все эти разговоры длятся уже около 10 лет. OpenSource [аналог] IDA и вообще любой более-менее серьезный проект такого плана выглядит примерно так.
Именно поэтому я стараюсь просто не комментировать подобные обсуждения, никак не ввязываться в них (в том числе - здесь).

| Сообщение посчитали полезным:

оффтоп:
int пишет:
гораздо полезнее (если у кого-то много свободного времени и желание) разреверсить до состояния, чтобы можно было собрать компилятором, и при этом без тупых ассемблерных вставок. Вот с такими исходниками уже много можно будет сделать хорошего
И получится как обычно,пару человек будут реверсить а остальная толпа дружно хлопать в лодоши, по оконцовке проект осядет в привате и его никто неувидет

| Сообщение посчитали полезным:

Владелец этой версии объявлена ​​в нескольких форумах, что он владеет последним IDA и в конце ему взломали китайские его кличка wsgtrsys. (Простите мой плохой русский)

| Сообщение посчитали полезным:

Wally пишет: по оконцовке проект осядет в привате и его никто неувидет
Ну что сказать - Любишь кататься, люби и саночки возить...

int пишет: В коде произвольных процедур вставлены "ничего не делающие" конструкции, но это не банальные нопы или их аналоги, это код, который оптимизатор компилятора не удалит
Дизассемблировал ida.wll самой Ида (всё версии 6.1), пролистал весь листинг кода вручную (мозоль на пальце натер), код чистый и понятный, скомпилен VC 10.0, никаких вотермарок и вставок в секции кода нет, секцию дата до конца не осилил, ида не идеал, много данных нужно ручками приводить в порядок...
Возникла идея натравить свой декомпилятор на этот файлик, но в нем нет отладочной инфы, но её можно частично восстановить из SDK, что будет достаточно для декомпиля. В связи с этим возникают два вопроса:
1. Нужен SDK 6.1 как для получения дебаг инфы, так и для сборки самого декомпилятора, где взять?
2. Каким образом по максимуму скомпилить СДК, чтобы получить pdb файл с отладочной инфой? В СДК есть две либы ida.lib и pro.lib, последняя с бедаг инфой, по pdb файлы отсутствуют... Есть у кого-нибудь полезные идеи?
Заодно будет повод продолжить работу над декомпилятором, кому интересно, может ознакомиться с ним здесь...

-----
Everything is relative...

| Сообщение посчитали полезным:

Vamit пишет:
1. Нужен SDK 6.1 как для получения дебаг инфы, так и для сборки самого декомпилятора, где взять?
Может SDK 5.7 юзнуть? Отличия в 6.1 :
+ SDK: added begin_type_updating() / end_type_updating() functions to allow faster updates to the types
+ SDK: added get_strmem2()
+ SDK: added support for asynchronious execute_sync() calls (MFF_NOWAIT)
+ SDK: added system-independent functions to work with pipes
+ SDK: added process_ui_command()
+ SDK: IDC engine is thread safe. However, multiple threads should not access/modify the same IDC variables, this is not supported
+ SDK: implemented choosers embeddable in forms
+ SDK: introduced get_full_data_elsize(), useful for wide-byte processors
+ SDK: introduced qisspace and similar functions to avoid problems with signed chars
+ SDK: introduced thread-local functions to handle error codes (set_qerrno/get_qerrno)
+ SDK: renamed init_process() to launch_process()
+ SDK: trim() removes all whitespace at the string end (before it was removing only spaces and tabs)
-----------------------------------
6.0:
+ SDK: added idb events for segment name/class modifications
+ SDK: get_many_bytes_ex() to retrieve bytes and information about initialized and unitialized bytes from the database

-----------------------------------

Vamit пишет:
2. Каким образом по максимуму скомпилить СДК, чтобы получить pdb файл с отладочной инфой?
Вручную создать тестовые файлы с вызовом всех функций и созданием обьектов для всех классов из заг. файлов sdk.

[/ASM]

| Сообщение посчитали полезным:

Jonny пишет: Может SDK 5.7 юзнуть?
Его сейчас и юзаю...
Вручную создать тестовые файлы с вызовом всех функций
Это долго, там не один десяток hpp файлов, а функций вообще - сотни... Причем symbol info нахрен не нужна, нужен только pdb с type info... Ещё идеи?

-----
Everything is relative...

| Сообщение посчитали полезным:

типы подходят по 5.2 - 6.1 ida

e2c3_17.06.2011_EXELAB.rU.tgz - IDA_type.idc

| Сообщение посчитали полезным:

Vamit пишет:
Это долго, там не один десяток hpp файлов, а функций вообще - сотни... Причем symbol info нахрен не нужна, нужен только pdb с type info...
максимум на день работы. Да и полезно покопаться в сдк, если уж собрался разбирать бинарник.

| Сообщение посчитали полезным:

типы подходят по 5.2 - 6.1 ida
Пардон, но эти типы не для меня, слишком упрощены - пусть ХексРей с ними работает

Да и полезно покопаться в сдк, если уж собрался разбирать бинарник.
SDK я и так знаю, если декомпиль написан с его помощью, оставим этот вариант на крайний случай.

-----
Everything is relative...

| Сообщение посчитали полезным:

Идиоты мля. Топик закрыть. Флудеров забанить.

PS. На бан согласен.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным: zeppe1in, Lo

Sp0Raw пишет:
А в эти беседы я даже не ввязываюсь.
Ну может быть, а вот я реверсил 1-ую и 2-ую ольку. Очень многие вещи у меня есть в исходниках (не просите выслать - мне не жалко, просто сейчас кроме рабочего компьютера ничего не вижу в своей жизни, до домашнего доберусь только в следующей жизни). Знаю слабые места, знаю сильные места. Видел много ошибок, допущенных и Ильфаком, и Олегом (интересно друг у друга сдули, у кого-то третьего или одинаково недальновидно мыслят?).

На тему того, что со мной не соглашаются по поводу перестройки кода - ну я не заставляю мне верить. У нас с Арчером было две лицензии на IDA 5.7, которые сравнивали bindiff'ом. Как сейчас Ильфак делает, сложный вопрос, я даже демку 6-ки не качал, ибо ида сейчас стала ацтой.

Sp0Raw пишет:
С этим категорически несогласен.
А комментарии будут? Вот реально интересно, что это даст? Кто-то рискнет своей лицензией и попробует затереть вотермарки?

| Сообщение посчитали полезным:

>> IDA Pro v6.1 <<

Баян или фейк ? Если не фейк то насколько это можно юзать (никаким боком не вылезет ?) ?

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным: