IDA Pro 6.8 + All Decompilers Full Leak
https://mega.nz/#!3wsXSSqR!hDLuTpwk4jE8Wguwt-ohlyE_3ZlxOfZ4MX_TpN048K8
http://forum.exetools.com/showthread.php?t=17269

Релиз дистрибутивов из компаний, занимающихся безопасностью (APTguy, IDA 6.1 OS X, IDA 5.7 linux):
New IDA, please (re)distribute ASAP:
http://pastebin.com/r8fA3Vta
Ссылка больше не работает. Релиз можно найти в Google по ключевым словам: apt-surprise ida
Пароль: APT-APT_fuck_the_world_security!

От модератора: для особо непонятливых вынесено отдельно: не надо здесь канючить новые версии, как будут, так и появятся, персонально их вам никто не выкатит

| Сообщение посчитали полезным:

mysterio, это наша (клабовский кряк) версия, просто пизженая. Ее нукнули по этой же причине, кается дважды. Разницы нет.

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным: DimitarSerg

у кого то еще наблюдается глюк в 6.1
к примеру секция .text почемуто превращается в seg-01
и бекграунд становится красого цвета
hexrays перестает работать
и сбросить это состояние можно только заново переоткрыв idb базу
у меня это часто наблюдается при поиске какой либо asm комманды Alt+T / Ctrl+T

| Сообщение посчитали полезным:

reversecode пишет:
у кого то еще наблюдается глюк в 6.1к примеру секция .text почемуто превращается в seg-01и бекграунд становится красого цветаhexrays перестает работатьи сбросить это состояние можно только заново переоткрыв idb базуу меня это часто наблюдается при поиске какой либо asm комманды Alt+T / Ctrl+T

Пробуйте другие варианты запуска idaq.exe / ida.wll (в разных «поставках» 6.1 они могут слегка отличаться, что легко проверяется бинарным сравнением). И глючат они по-разному, например, не показывают начало листинга «Иды».

| Сообщение посчитали полезным:

reversecode пишет:
у кого то еще наблюдается глюк в 6.1
Erfaren пишет:
в разных «поставках» 6.1 они могут слегка отличаться
Использую ИДА часто и подолгу из этой поставки никаких глюков замечено не было - система WinXP SP3

-----
Everything is relative...

| Сообщение посчитали полезным:

reversecode пишет:
если посчитать сколько "реверсеров" в мире, то сделать реверс хексрея и дополнять и илучшать - это намного лучше, чем ждать от ильфака очередного баг фикса

Hexrays.plw это «обычный» плагин, но сила его в математике, точнее в очень математизированном алгоритме перевода нижнеуровневых инструкций в высокоуровневые. Похоже тут Ильфак пользуется собственными математическими наработками, мало кому известными. Реверсить его алгоритм почти бесполезно без хорошего знания математики. Но я бы сформулировал задачу на математическом языке. Есть низкоуровневый (машинный) код, порожденный компиляцией высокоуровнего кода. В принципе, множество инструкций машинного кода известно. Известны также многие высокоуровневые конструкции ЯВУ (языков высокого уровня), которые, правда, могут многими разными способами компилироваться в наборы (шаблоны?) инструкций машинного кода. Берем, на первых порах, бинарный код скомпилированный ограниченным набором компиляторов (скажем, С / С++). В общем случае задача решается обращением алгоритма компиляции этих компиляторов. Но нам такая точность восстановления бинарного кода не нужна. Нам достаточно научиться распознавать хотя бы простейшие ассемблерные инструкции высокоуровнего кода: циклы, переключатели, операторы выбора, определение и инициализацию различных типов данных на уровне некоторого псевдокода. При всей свободе действий компиляторов, эти конструкции будут иметь некую общую «маску», возможно «плавающую». Вот мы и должны создать алгоритм распознавания этих «плавающих масок» высокоуровнего кода в низкоуровневом. А это уже задача практически чисто математическая и поручать ее надо математикам. Они выдают свой ответ в виде абстрактного алгоритма, а мы затем реализуем его как обычный плагин к «Иде», что уже и проделал наш Ильфак. Что смог сделать один математик – программист, то смогут сделать и другие математики и программисты, если четко сформулируют проблему и методы ее решения.

| Сообщение посчитали полезным:

Erfaren пишет:
Hexrays.plw это «обычный» плагин, но сила его в математике, точнее в очень математизированном алгоритме перевода нижнеуровневых инструкций в высокоуровневые. Похоже тут Ильфак пользуется собственными математическими наработками, мало кому известными.
)))

| Сообщение посчитали полезным:

что-то я за всей этой свистопляской с реверсом упустил здешние релизы
так понимаю, что UNIQUE украли у ajax (впервые на моей памяти Wzor выкладывает давно нюкнутый релиз)?

daFix пишет:
Сейчас добью одну шнягу и консольки будут работать

а вот этого не было?

| Сообщение посчитали полезным:

Erfaren

Слова дёшевы, а виски стоит денег (с).

| Сообщение посчитали полезным:

Erfaren
учитывая что ламалих их мы все вместе здесь на форуме, то я и так знаю чем они отличаются
я еще понаблюдаю.. за глюками, похоже такие глюки на оной idb базе когда я ее конвертирую в 6.1 (но я пока не уверен)

Erfaren пишет:
Hexrays.plw это «обычный» плагин, но сила его в математике, точнее в очень математизированном алгоритме перевода нижнеуровневых инструкций в высокоуровневые. Похоже тут Ильфак пользуется собственными математическими наработками, мало кому известными. Реверсить его алгоритм почти бесполезно без хорошего знания математики.
)) выдохните, я его уже ревернул (но не до уровня что бы уже можно компилировать свой)
математика как математика, ничего сложного как оказалось
я жду когда Vamit откроет исходники своего, что бы сравнить его с hexrays
понять где логика лучше

| Сообщение посчитали полезным:

reversecode пишет:
выдохните, я его уже ревернул (но не до уровня что бы уже можно компилировать свой)

Т.е. вы просто пропустили плагин через «Иду» и пока не смогли перекомпилировать его обратно. Но эти действия доступны и любому школьнику, а в чем именно ваша заслуга?

reversecode пишет:
математика как математика, ничего сложного как оказалосья жду когда Vamit откроет исходники своего, что бы сравнить его с hexraysпонять где логика лучше

Интересно, хотел бы я знать, а как вы определяете математику по ассемблерному листингу? По командам сопроцессора? Так я не про математику «плавающей точки» говорю. Даже если вы восстановили hexrays через hexrays, то это тоже не даст вам понимания математики реализованного алгоритма. Ну, а если вы все же можете похвастаться пониманием этой самой математики в алгоритме хексрея, то почему бы вам на пальцах не объяснить ее форуму? Хотя бы на уровне, что использует Ильфак при этом, нетривиальные теоремы теории графов или нечетких множеств, какие-нибудь экзотические теоремы существования и т.п.? Для этого не надо даже писать никаких формул.

| Сообщение посчитали полезным:

Erfaren
нет не до уровня ассемблера
а до уровня C++ исходников с его классами
но в исходники не переводил(все настроено в hr, с типами, классами итд)
говорю же жду решения от Vamit, потом буду думать, переводить в исходники , или присоеденятся к проекту Vamit

Erfaren пишет:
Ну, а если вы все же можете похвастаться пониманием этой самой математики в алгоритме хексрея, то почему бы вам на пальцах не объяснить ее форуму?
зачем всем? что бы потом каждый крутил пальцами "я знаю как работает hexrays"
и как потом отличить тех кто реально его реверсил от тех кто читал как работает hr?
а логику я вчера предлагал обьяснить crypto, поскольку он занимается сечас преобразованием псевдокода в IDR для делфи
но он увы пишет на делфи,и там похоже уже своя устаканеная логика

Erfaren
вам кстати тоже никто не мешает сесть и реверснуть
плагины у вас такие же как у меня, ida такая же как у меня
мы на равных

| Сообщение посчитали полезным:

reversecode
Я пишу на Билдере и от интересных идей по декомпиляции не откажусь.

| Сообщение посчитали полезным:

reversecode пишет:
нет не до уровня ассемблераа до уровня C++ исходников с его классами но в исходники не переводил

Это конечно замечательно, но особенно круто будет, если исходники заработают и не просто заработают, а заработают без принципиальных ошибок.

reversecode пишет:
зачем всем? что бы потом каждый крутил пальцами "я знаю как работает hexrays"и как потом отличить тех кто реально его реверсил от тех кто читал как работает hr?а логику я вчера предлагал обьяснить crypto, поскольку он занимается сечас преобразованием псевдокода в IDR для делфино он увы пишет на делфи,и там похоже уже своя устаканеная логика

Если вы назовете просто раздел математики, на который существенно завязан алгоритм хексрея, то окажите мало пользы непосвященным, что толку от «умного» слова, если тонкостей они все равно не узнают. Но специалисты поймут, насколько глубоко вы освоили математический аппарат алгоритма хексрея. Впрочем, не хотите, не говорите, можете ограничиться фразой, что там нет математической специфики, если не считать арифметику .

reversecode пишет:
Erfaren вам кстати тоже никто не мешает сесть и реверснуть плагины у вас такие же как у меня, ida такая же как у меня мы на равных

Я уже сформулировал свою мысль, что проще будет найти или написать самому некую математическую статью по принципиальной работе алгоритма типа хексрея, а затем просто реализовать его в виде плагина в IDA SDK. Так будет даже круче, ломать ничего не надо и потенциально алгоритм можно реализовать даже лучше, чем у Ильфака, особенно если не полениться обсудить математику данного алгоритма на соответствующих математических форумах. А там тоже есть увлекающиеся ребята .

| Сообщение посчитали полезным:

crypto
в привате ты проигнорировал,поэтому я решил что делфи

Erfaren пишет:
Это конечно замечательно, но особенно круто будет, если исходники заработают и не просто заработают, а заработают без принципиальных ошибок.
мои исходники всегда работают

ок в двух словах про "математику hr"

есть тип - микроинструкции состоящей в себе массив из 3 базовых примитивов (их около 13 штук, регистры процессора, всякие переменные ...)
каждую комманду asm можно представить одной или несколькими микроинструкциями с установлеными или пропущеными примитивами
к примеру
комманду xchg a, b
можно представить в виде 3 микроинструкциями
t = a
a = b
b = t

в такой логике разбирается каждая asm комманда
некоторые asm комманды не разбираются а сохраняются "как есть" к примеру lidt, итд - это те которые мы видим в листинге hr как asm { ..... }

разбираясь asm комманды на микроинструкции создается некоторое подобия дерева AST микроинструкций
далее это дерево через класс minsn_visitor для микроинструкций оптимизируется

все, микрокод готов
что бы отобразить этот микрокод микроинструкций существует другое дерево приминивов cinsn_t
которое переводится из дерева микроинструкций в дерево cinsn_t
оно в дальнейшем тоже может оптимизироватся класом визиторов ctree_visitor
после того как дерево сгенерировано и прооптимизировано его можно отображать в том виде который мы его наблюдаем в плагине по F5

о принципе работы дерева cinsn_t читаем здесь http://www.hexblog.com/?p=107

классы minsn_visitor и tree_visitor имеют много наследников
каждый из наследников по своему улучшает свое дерево

плагин для arm посмотреть нет возможности
но там такая же "математика"
каждая arm комманда кодируется в микроинструкции итд итп

vden пишет:
какая супер математика? hexrays переводит asm в микрокод
эт точно

vden пишет:
вон кстати китайцы уже замутили более мощный декомпилер, академический как я понимаю
где?
мощнее hr я пока ничего не видел

| Сообщение посчитали полезным:

Erfaren
какая супер математика? hexrays переводит asm в микрокод, строит из него cfg, оптимизирует и генерирует pseudo-c.
посмотри исходники desquirr, boomerang. hex-rays просто более усовершенствован.

Ильфак пользуется собственными математическими наработками, мало кому известными
кроме Intel и AMD, у них эти секретные наработки называются Instruction Reference Manual. Там даже псевдокод инструкций дан.

вон кстати китайцы уже замутили более мощный декомпилер, академический как я понимаю


6081_08.07.2011_EXELAB.rU.tgz - A Refined Decompiler to Generate C Code with High Readability.pdf

reversecode
где? мощнее hr я пока ничего не видел
не уверен что можно будет скачать сам инструмент. в аттаче только презентация.
там есть сравнения с hex-rays. вкратце, их декомпилятор точнее генерирует циклы, создаёт меньше временных переменных, более читабельный текст.

| Сообщение посчитали полезным:

Gideon Vi пишет:
а вот этого не было?

Я тогда временно забил на IDA. Пропатчил только функцию, читающую инфу о лицензии из лицензионного файла. Но осталась ошибка при открытии проекта "Database is corrupt". Пока нет времени закончить с этой ошибкой

-----
Research For Food

| Сообщение посчитали полезным:

reversecode пишет:
мои исходники всегда работают

Скромное обаяние профессионала

reversecode пишет:
ок в двух словах про "математику hr"

vden пишет:
Erfaren
какая супер математика? hexrays это recompiler. переводит asm в микрокод, строит из него cfg, оптимизирует и генерирует pseudo-c.

Первый пункт алгоритма HR – перевод инструкций ассемблера на уровень микрокода – вполне предсказуемая идея. Я уже успел о ней подумать, но еще не успел ее сформулировать . На первом этапе разбора не так важно, сколько именно там инструкций и даже каковы они. Тут, пока еще нет никакой математики.

Второй пункт алгоритма HR – перевод инструкций микрокода в «дерево AST» и его оптимизация. С абстрактным синтаксическим деревом я пока еще не сталкивался, но его свойства, реализация и оптимизация уже связаны с математикой (деревья в теории графов).

Третий пункт алгоритма HR – преобразование дерева микрокода в дерево примитивов псевдокода. Математическая сторона этой части алгоритма пока еще для меня не ясна. Из ваших рассуждений следует только, что эти алгоритмические примитивы реализованы в the Hex-Rays Decompiler SDK. Согласен, что если пользоваться этими готовыми примитивами, что чистой математики уже как бы и не видно .

Четвертый пункт алгоритма HR – отображение псевдокода. Тут уже чистое программирование без математики.

vden пишет:
посмотри исходники desquirr, boomerang. в hex-rays ничего нового не изобретено.
. . .
кроме Intel и AMD, у них эти секретные наработки называются Instruction Reference Manual. Там даже псевдокод инструкций дан.

Вижу, продвинутые вы ребята .

vden пишет:
вон кстати китайцы уже замутили более мощный декомпилер, академический как я понимаю

Будем иметь в виду.

| Сообщение посчитали полезным:

vden пишет:
не уверен что можно будет скачать сам инструмент. в аттаче только презентация.
С-Decompiler ?)) он умер еще не родившись
тема есть на форуме

vden пишет:
там есть сравнения с hex-rays. вкратце, их декомпилятор точнее генерирует циклы, создаёт меньше временных переменных, более читабельный текст
хекс рей тоже это оптимизирует, для этого и есть класс visitor, который рекурсивно обходит все дерево и улучшает в нужных местах
либо удаляет ненужные ветвления и создает более простую конструкцию

и наследуя(visitor) ильфак и создает оптимизаторы
улучшая в каждой новой версии hr

Erfaren пишет:
Первый пункт алгоритма HR
Erfaren пишет:
Второй пункт алгоритма HR
это один пункт
но в новостях о hr 1.2 ильфак сказал что это типа медленно, и он это как то сопримизировал в последующих версиях hr

+ New microcode preoptimization algorithm with O(n) complexity. It is much faster, especially on long basic blocks. For long basic blocks, it really makes a big difference, the analysis can be faster hundreds of times because the long basic block immediately gets optimized into something small without using the main propagation mechanism, which has O(n**2) complexity.
но я могу и ошибатся, поскольку версии после 1.1 я не видел

кстати ильфак сам рассказывает как работает декомпилер
http://www.hex-rays.com/idapro/ppt/decompilers_and_beyond_white_paper.pdf

| Сообщение посчитали полезным:

Ищите на 0day, читайте .nfo.
Дальше знаете, что делать (оставляйте .nfo, пожалуйста).
Всем привет и удачи.

Hex-Rays.IDA.Pro.Advanced.v6.1.Windows.incl.Hex-Rays.x86.Decompiler.v1.5.READ.NFO-RDW
Hex-Rays.IDA.Pro.Advanced.SDK.v6.1-RDW
Hex-Rays.IDA.Pro.Advanced.FLAIR.v6.1-RDW
Hex-Rays.IDA.Pro.Advanced.IDS.Utilities.v6.1-RDW
Hex-Rays.IDA.Pro.Advanced.LOADINT.v6.1-RDW
Hex-Rays.IDA.Pro.Advanced.TILIB.v6.1-RDW
Hex-Rays.IDA.Pro.Advanced.v6.1.TVision.v2009b.Source-RDW

| Сообщение посчитали полезным: BAHEK, Bit-hack, zeppe1in, [Nomad], bitgame, antipod, Gideon Vi, Vintersorg, Airenikus, DimitarSerg, n0name, 4kusNick, reversecode, HandMill, _ruzmaz_, kioresk, newborn, NaumLeNet, Artem_N, GoldFinch, Kindly, FrenFolio, SwordBack, canopus, obfuskator, tihiy_grom, NikolayD, Bad_guy, daFix, Runtime_err0r, gsx3000, SReg, Chrysalis, XQuader, mr_yoda2, bkeaxer, ZeVS, ressa, arnix, Dart Sergius, VanHelsing, Zahar-AV, v00doo, G100M, DICI BF

Блджад! Уже все нашлось, кроме Hex-Rays.IDA.Pro.Advanced.v6.1.Windows.incl.Hex-Rays.x86.Decompiler.v1.5.READ.NFO-RDW.

Кто нашел, выложите.

-----
SaNX

| Сообщение посчитали полезным:

а ее видимо и не выкладывали пока

| Сообщение посчитали полезным:

А шо там в nfo-то пишут? Пересобрали?

-----
старый пень

| Сообщение посчитали полезным:

в nfo пишут, что supplier ESET, более ничего необычного замечено не было

| Сообщение посчитали полезным:

Русский в cp866

bcf7_13.07.2011_EXELAB.rU.tgz - rdw.nfo

| Сообщение посчитали полезным:

ну что ж, пока нет ссылок почитаем nfo

| Сообщение посчитали полезным:

Do not make Kaspersky Lab fail (hello to a "climber" and the April-May holidays) or the second Stuxnet.

для мимоходящих - wtf?

| Сообщение посчитали полезным:

Утёкшие сырки каспера.

| Сообщение посчитали полезным:

Gideon Vi

Читайте русский вариант в cp866, а то на английском там корявый перевод.

| Сообщение посчитали полезным:

Да нормальный перевод, вполне доступный для чтения.
Дартаньянский слив

-----
старый пень

| Сообщение посчитали полезным:

Runner пишет:
Читайте русский вариант в cp866, а то на английском там корявый перевод.

терпимо, я просто забыл о сливе тех сырков

| Сообщение посчитали полезным: