IDA Pro 6.8 + All Decompilers Full Leak
https://mega.nz/#!3wsXSSqR!hDLuTpwk4jE8Wguwt-ohlyE_3ZlxOfZ4MX_TpN048K8
http://forum.exetools.com/showthread.php?t=17269

Релиз дистрибутивов из компаний, занимающихся безопасностью (APTguy, IDA 6.1 OS X, IDA 5.7 linux):
New IDA, please (re)distribute ASAP:
http://pastebin.com/r8fA3Vta
Ссылка больше не работает. Релиз можно найти в Google по ключевым словам: apt-surprise ida
Пароль: APT-APT_fuck_the_world_security!

От модератора: для особо непонятливых вынесено отдельно: не надо здесь канючить новые версии, как будут, так и появятся, персонально их вам никто не выкатит

| Сообщение посчитали полезным:

tilib /? там есть вроде опция -d для дефайнов + семплы в пакете тоже есть.

-----
старый пень

| Сообщение посчитали полезным:

Короче почему с моим патчем падает я разобрался.
Оно падает не во время загрузки - распаковывает и грузит всё нормально, а при проверке рег. данных.
Если база была сохранена в состоянии когда на экране рег. инфо не видно (не начало файла) - падает не сразу, но падает.
Варианта два: или запатчить ещё один байт как gazlan написал, но при этом в шапке в Licensed to: будет мусор всякий (декрипт не с тем ключом), либо использовать решение из релиза - там в случае неудачного декрипта подставляется RSA ключ от релиза 5.5 (который патчился инсталлятором) - и всё будет показывать нормально.
Это только 5.5 касается.

| Сообщение посчитали полезным:

Вопрос глупый, но меня это уже достало, поэтому все-таки спрошу. Вот есть в листинге, скажем, call sub_abcdef. При наведении курсора на sub_abcdef появляется простыня с содержимым этой функции - ну все в курсе, как это работает. В версии с традиционным гуем горизонтальное положение этой простыни не меняется в зависимости от того, был ли наведен курсор на s, a или, допустим, f. А в Qt-версии меняется - чем правее курсор, тем правее оказывается простыня. Не знаю, как там на широкоформатных мониках, но на моем монике, если специально не прицеливаться, часть простыни с листингом может оказаться отрезанной правым краем экрана. Можно как-нибудь сделать так, чтобы Qt-версия вела себя в этом отношении аналогично версии со старым гуем?

| Сообщение посчитали полезным:

BoRoV пишет:
Останавливаем анализ, меняем компилятор вручную, выгружаем те сигнатуры и загружаем свои, и запускаем анализ дальше, или реанализ.
Ну эт понятно ...
Со строками BSTR осталась та же беда - ну да бог с ней

| Сообщение посчитали полезным:

r_e пишет:
tilib /? там есть вроде опция -d для дефайнов + семплы в пакете тоже есть.
Я знаю что там -d есть, но она для того чтобы руками задать один конкретный дефайн типа:
-d_WIN32_
A должен быть способ заюзать файлы vc32.cfg, bcc32.cfg и прочие. В которых уже забиты все нужные дефайны.

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным:

cfg файлы это параметры для утилиты, которые ты можешь задавать в коммандной строке

Hexxx пишет:
A должен быть способ заюзать файлы vc32.cfg, bcc32.cfg и прочие. В которых уже забиты все нужные дефайны
-@... parse a response file with switches

без '-' попробуй
@vc32.cfg
к примеру

tilib.exe @vc32.cfg -c -hfile.h file.til
все работает

VoLT
используй IDR для анализа и генерации idc
а потом idc накладывай в IDA
разбор облегчится намного

| Сообщение посчитали полезным: VoLT

reversecode пишет:
-@... parse a response file with switches
Error: bad switch -@

-----
Реверсивная инженерия - написание кода идентичного натуральному

| Сообщение посчитали полезным:

cppasm пишет:Варианта два: или запатчить ещё один байт как gazlan написал, но при этом в шапке в Licensed to: будет мусор всякий (декрипт не с тем ключом), либо использовать решение из релиза

Вариантов ровно один

"Мусор" зависит от корректности версии IDA, которая была использована при создании базы. А вот работать с базами от китайской UNiQUE без обоих дополнительных патчей не удастся. Без первого не открыть базу, без второго - не работает, например, поиск.

Кстати, вот еще по теме (не проверял): http://forum.exetools.com/showpost.php?p=73526&postcount=48

ajron
I've written a small "plugin" for Idapro 6.1 to fix a problem with blacklisted databases. Just copy it to the ida plugins folder and enjoy loading old databases


7ab0_15.07.2011_EXELAB.rU.tgz - dbfix.zip

| Сообщение посчитали полезным:

Плагин питона в 6.1 не хочет грузится. Кто то еще сталкивался с этим?
Пишет что python.plw не найден, хотя он есть

| Сообщение посчитали полезным:

Rustem

если это RDW релиз, то
в nfo написано как исправить это

| Сообщение посчитали полезным: Rustem

Мне кажется что уже пора создать и перейти в новую ветку: IDA Pro Advanced 6.1 with Hex-Rays 1.5
А то получается что все в кучу.
Что думают уважаемые администраторы?

-----
.[ rE! p0w4 ].

| Сообщение посчитали полезным: [Nomad]

да лучше бы эту переименовать

| Сообщение посчитали полезным:

зачем переименовывать?
разделить ее можно?

| Сообщение посчитали полезным:

Переименовал, шапку править было лень. Разделять/мёржить топики нельзя.

| Сообщение посчитали полезным:

Посидел немного - навёл красивости
Последния версия фикса: http://www.multiupload.com/TMGDD10XOA
Для баз созданных каржеными версиями IDA (с валидным ключом) - пишет рег инфо на которое был ключ, для патченных (5.5, 6.1 китайская + доработка exelab) - вместо имени пользователя пишет "public"
Базы проверялись от 5.2, 5.5 и 6.1 exelab edition - всё открывается и работает, поиск тоже (писали что бывают проблемы).
Если кто будет сравнивать с оригиналом - изменения в коде там в одном месте (байт 16), просто пришлось убить один релок - из-за этого остальные сдвинулись в таблице и различий больше если сравнивать бинарно.

gazlan пишет:
Кстати, вот еще по теме (не проверял): http://forum.exetools.com/showpost.php?p=73526&postcount=48
На Win7 x64 вообще не грузится, IDA в лог ругается.
И по сути это то же самое что и фикс от RDW - патчит либы в памяти.
Только RDW свою dll-ку прицепили через импорт, а плаг грузится самой идой и без этого.

| Сообщение посчитали полезным: 4kusNick, Vamit, XQuader, Hexxx, _ruzmaz_, Vintersorg, obfuskator, Chrysalis

cppasm
А реально ли после конверта старой базы перебить ватермарки на нодовские ?

| Сообщение посчитали полезным:

New version of dbfix plugin. I've added "Wrong user credentials" fix, to make possible to load databases with corrupted user credentials record in idb file (created with cracked ida 5.5 release). Plugin works perfectly with new eset ida version (non cracked or cracked). Plugin is only for 32-bit version of Idapro. Just copy it to the ida plugins folder, and don't add it to plugins.cfg.

-->http://www.multiupload.com/KFMLELZSHU<--

From ajron[exetools]

0b25_16.07.2011_EXELAB.rU.tgz - dbfix2.zip

| Сообщение посчитали полезным:

adfamily пишет:
From ajron[exetools]

ajron
Senior Member

New version I've added support for ida64 but I have no wrong database to test it. I've also pack it like version 1 to get rid off false positive alert of memo-5 antivirus


adba_17.07.2011_EXELAB.rU.tgz - dbfix3.zip

| Сообщение посчитали полезным:

А у кого есть Hexrays for ARM? Поделитесь пожалуйста!

| Сообщение посчитали полезным:

кинте исходники сюда
http://forum.exetools.com/showpost.php?p=74089&postcount=131
посмотрим что они там патчат

add
ааа
так они только патчат, ключ не подменяют..


cppasm пишет:
А ключ в принципе и не надо подменять.
Достаточно патча для открытия любых баз (даже с перебитыми ключами RSA), при условия наличия валидного ключа на саму IDA
я знаю,я об этом уже говорил
но интересно было глянуть как и что они патчат
у Sp0Raw меньше по коду получается

| Сообщение посчитали полезным:

reversecode пишет:
кинте исходники сюда
сам патч в байтах в массиве patch_61[], надо разбираться


e6f5_19.07.2011_EXELAB.rU.tgz - dbfix_src.zip

| Сообщение посчитали полезным:

Обновил шапку, убрал битые ссылки.
Если есть проверенный патч без лишних движений (плагинов) - пишите, добавлю.

-----
EnJoy!

| Сообщение посчитали полезным: 4kusNick

reversecode пишет:
так они только патчат, ключ не подменяют..
А ключ в принципе и не надо подменять.
Достаточно патча для открытия любых баз (даже с перебитыми ключами RSA), при условия наличия валидного ключа на саму IDA.

Jupiter пишет:
Если есть проверенный патч без лишних движений (плагинов) - пишите, добавлю.

Вот это моё творение вроди работает со всеми базами, включая базы от китайской 6.1:
http://www.multiupload.com/TMGDD10XOA
Но это не патч, а сразу патченные либы.

| Сообщение посчитали полезным:

cppasm пишет:
Вот это моё творение вроди работает со всеми базами, включая базы от китайской 6.1:

Вопрос:
в патченных либах применён такой метод: Datarescue IDA pirated .idb database?

-----
EnJoy!

| Сообщение посчитали полезным:

хак от Sp0Raw тоже работает без проблем
вот только его хак и ключик перебивает в самой idb
а ваши? пишут в базы idb ключи от eset?)

| Сообщение посчитали полезным:

Jupiter пишет:
Вопрос:в патченных либах применён такой метод: Datarescue IDA pirated .idb database?
Можно и проще - вычистить блеклист: список MD5 хешей, на которые ссылается данная (или похожая) процедура. Но не забывайте еще про проблему неподдерживаемости "русских" баз в "нерусской" ИДЕ и наоборот.

| Сообщение посчитали полезным:

Jupiter пишет:
в патченных либах применён такой метод: Datarescue IDA pirated .idb database?
Частично да, для баз от IDA с патченным ключом (5.5 к примеру) этого не достаточно.
Проверка по MD5 из чёрного списка убрана вообще, для баз от пачтенных IDA (там где ключ перебит) имя пользователя не расшифровывается - вместо него прописано "public", результат расшифровки заменяется на успешный.
Т.е. чёрный список не проверяется, если IDA была с валидным ключом - показывается на кого был ключ, если патченная - вместо имени пользователя "public".

reversecode пишет:
а ваши? пишут в базы idb ключи от eset?)
На создание новых баз патч не влияет - ключ будет от ESET, для старых обновлённых - ключ остаётся в базе тот с которым она была создана.

| Сообщение посчитали полезным:

yagello пишет:
Можно и проще - вычистить блеклист: список MD5 хешей,
Чем же это тереть весь проще, чем патч в 1 байт?
В решении по моей ссылке указатель на список хэшей смещается на 1 байт - поэтому все хэши автоматически становятся невалидными из-за этой сдвижки.

cppasm
Добавил твои пропатченные либы в шапку.

-----
EnJoy!

| Сообщение посчитали полезным:

Пожалуйста, скажите где есть отдельно плагин hexrays 1.5? Спасибо!

| Сообщение посчитали полезным:

ksol пишет:
Пожалуйста, скажите где есть отдельно плагин hexrays 1.5? Спасибо!
Здесь торрент (можешь выбрать только hexrays)

| Сообщение посчитали полезным: ksol, Dart Sergius, sivorog