IDA Pro 6.8 + All Decompilers Full Leak
https://mega.nz/#!3wsXSSqR!hDLuTpwk4jE8Wguwt-ohlyE_3ZlxOfZ4MX_TpN048K8
http://forum.exetools.com/showthread.php?t=17269

Релиз дистрибутивов из компаний, занимающихся безопасностью (APTguy, IDA 6.1 OS X, IDA 5.7 linux):
New IDA, please (re)distribute ASAP:
http://pastebin.com/r8fA3Vta
Ссылка больше не работает. Релиз можно найти в Google по ключевым словам: apt-surprise ida
Пароль: APT-APT_fuck_the_world_security!

От модератора: для особо непонятливых вынесено отдельно: не надо здесь канючить новые версии, как будут, так и появятся, персонально их вам никто не выкатит

| Сообщение посчитали полезным:

Вся благодать в одном месте
-->Яндекс.Диск <--

| Сообщение посчитали полезным: Jaa, agrep, zNob, verdizela, Shtorm, MacTep, badzed

Я бы не заливал подобный софт со своей машины. Тем более на наши обменники. Следите за собой, будьте осторожны

| Сообщение посчитали полезным: ClockMan

Поняш то там подарочных нет?

| Сообщение посчитали полезным:

инсталлятор оригинальный, разве что ильфак спецом засаживает
а все остальное это уже китайский спам, чекайте сами

Добавлено спустя 1 минуту
хотя помню какие то аверы ругались раньше на инсталлер, видимо пасс хотели

Добавлено спустя 7 минут
есть мнение что иду увели или ильфака надули
ильфак строго настрого не регистрирует иду на левые меилы
а тут прям какой то паблик домен для всех китаез
http://www.05273.com/
а владелец Zhou Tao, Jiangsu Australia Sinuo Network Technology Co., Ltd
бред же

| Сообщение посчитали полезным:

Я про тоже эта фирмочка неизвестна и гуглю. Я бы не рискнул это запускать ни на чем кроме вм пока что.

| Сообщение посчитали полезным:

IDAKEY
USER Zhou Tao, Jiangsu Australia Sinuo Network Technology Co., Ltd.
EMAIL bbhsky@05273.com

#whois 05273.com
Domain Name:05273.com

Registrar URL:http://www.xinnet.com
Updated Date:2014-04-02 13:45:47
Creation Date:2007-01-29 16:00:00

Domain Status:clientTransferProhibited

Registrant Name:zhoutao
Registrant Organization:zhou tao
Registrant Street:shuyang city,China
Registrant City:suqianshi
Registrant State/Province:jiangsusheng


Admin Name:zhoutao
Admin Organization:zhou tao
Admin Street:shuyang city,China
Admin City:suqianshi
Admin State/Province:jiangsusheng

Tech Name:zhoutao
Tech Organization:zhou tao
Tech Street:shuyang city,China
Tech City:suqianshi
Tech State/Province:jiangsusheng


не такая но похожая
http://en.b2b168.com/c168-8952456.html
Company Name:
Taiyuan Sinuo Network Technology Co., Ltd.

китайский переплет всяких компаний, вот ильфаку голову и задурили

redlord
я так медитирую что ильфак все равно лично будет перепроверять покупателя
реселлер там только для составления договора и трансфера бабла

| Сообщение посчитали полезным:

reversecode


Preferred Resellers
Here are a few of the resellers we have dealt with smoothly.
China
Xlsoft
Qast

может реселлер помог

| Сообщение посчитали полезным:

Китайцы сделали крутую ТРЕЩИНУ под Новый Китайский год

reversecode пишет:
Jiangsu Australia Sinuo Network Technology Co., Ltd.
reversecode пишет:
Company Name:
Taiyuan Sinuo Network Technology Co., Ltd.

Сы нуо - кажется в переводе будет снег или переносный смысл белоснежные технологии , они еще Сноудена тоже примерно так называют ... Сы нуо .. бла бла.. или как-то так.

Интересно, не та ли эта неуловимая версия, которая по австралийским обменникам шастала уже с целые месяцы.

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

reversecode пишет:
насчет патча
лучше бы кто то поправил этот старый дбфикс от 6.1 иды, под новые иды
и пересобрал plw в двух версиях
http://pastebin.com/cYJ6yMqp
а то мне лениво

dbfix.plw (dynamic linking)
dbfix.plw (static linking)
Для IDA 6.6.140604/6.6.141224 с оригинальными ida.wll/ida64.wll.

| Сообщение посчитали полезным:

чел bbhsky на форуме 05273.com есть и был активен с 2011 до 2013 года
домен 05273.com вряд ли как то менялся, общая китайская свалка NNNN царского года

название Zhou Tao, Jiangsu Australia Sinuo Network Technology Co., Ltd.
выглядит бредово
потому что Zhou Tao - фИО чела
Jiangsu Australia - два разных региона, в названии фирмы конечно могут присутствовать
Sinuo Network Technology Co., Ltd. - общее название вообще всего чего попало

итого, сменить название организации после на кого куплена ида вряд ли можно
если мифическая Jiangsu Australia Sinuo Network Technology Co., Ltd. все же была, и она прикрылась,
а чел мог перевести с одного меила на другой(в нычку), такое ильфак вполне разрешил бы,
но даже в китайском гугле такой организации нет

вердит, ильфак или реселлеры прое....Л(и) когда продавал(и) иду левому челу
а тот дал от балды какую то фирму-организацию


версии про брут РСА или перебивание рса кей и генерации левого key файла и клепания фейкового дистра выглядят как натягивание сами знаете кого на что
а потом еще и перебивать в каждом файле все это.. да ну
файлы все равно некриптованы, наличие вирусни под сомнением

все конечно знает ильфак, но он вряд ли скажет
Добавлено спустя 1 минуту
TOM_RUS пишет:
dbfix.plw, вроде работает. База от 5.5 иды во всяком случае открылась.
да там надо убрать с фикса второй паттерн
и поправить какой то из первого или третьего, один точно не срабатывает хз какой

| Сообщение посчитали полезным:

Dart Raiden пишет:
Вся благодать в одном месте
А что там в апдейте? update_to_20141224.zip

Это официальный апдейт до 24 декабря или кряк существующей версии?

| Сообщение посчитали полезным:

6.6.140604 это оригинальная инсталляция

потом видимо был скачан секьюрити фикс
и добавлено кучу левых плагинов
так появился архив 7z 6.6.141224

секьюрити фикс != апдейт
но в него включались мини фиксы общих компонент без вотремарков

апдейтов на 6.6 версию иды официально не было
кроме тех случаев когда ильфак персонально отправлял исправленные модули

секьюрити фикс может скачать любой у кого есть ключ и ключ не забанен,
никаких подтверждений на меил итд не требуется

к сожалению этот ключ уже давно в бане

| Сообщение посчитали полезным:

reversecode пишет:
Australia Sinuo Network Technology
--> Link <--

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Мне кажется, если уж и искать малварь, то в каком-то из 100500 плагинов, ибо их как-то уж слишком там многовато.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

reversecode пишет:
все конечно знает ильфак, но он вряд ли скажет
не тыли выкладывал фото ильфака? может его прихватило? движения в ноль.. по апдейтам.. я уже даже сорцам иды на гитхабе не удивлюсь.. на тот свет всЁ не утащиш.. а как было сказано людьми зарабатывающими денег.. эта софта нужна всетаки узкому кругу интузиастов. даже не специалистов. а интузиастов. специалистов больше не учат, они нах не кому не вперлись. из них слишком много инакомыслящих рождается, а косынку раскинуть или паука можно уже на существующей базе

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

--> Link <--
да жив он жив)
я к тому что раньше он устраивал показательные порки, а сейчас уже как то интереса видимо у него поубавилось

| Сообщение посчитали полезным:

reversecode пишет:
да там надо убрать с фикса второй паттерн
и поправить какой то из первого или третьего, один точно не срабатывает хз какой
Первый и третий паттерны как раз все еще совпадают, а вот второй нет. Для того чтобы загрузить нужную мне базу (была ошибка database is corrupt) пришлось второй паттерн обновить. Первый и третий на ее загрузку никакого эффекта не оказывали.

reversecode пишет:
что то очень странно
берем иду 6.6, закидываем ей оригинальный этот плаг и после запуска иды месседж бокс всплывает два раза
тоесть два паттерна на иде в пролете
у меня месседж бокс всплывает 1 раз с оригинальным плагином, IDA 6.6+апдейт 6.6.141224

| Сообщение посчитали полезным:

что то очень странно
берем иду 6.6, закидываем ей оригинальный этот плаг и после запуска иды месседж бокс всплывает два раза
тоесть два паттерна на иде в пролете

| Сообщение посчитали полезным:

Какая то команда iND сделала релиз

| Сообщение посчитали полезным:

Так делаются релизы на Сцене, если автором является неизвестный релизер. iND = Independent, т.е. независимый релизер. Т.е. это не команда.

| Сообщение посчитали полезным: neoBlinXaker

Чет я не понял.
При нажатии Ф5 показывает псевдокод самой 1й (по адресу) функции в исследуемом файле.
Если кликать в окне с именами функций - показыват то, что надо.
Но нужно из ассемблерного листинга чтоб получало псевдокод.
Это новая фича такая или что?
ида 6.6, рейс версии 2

| Сообщение посчитали полезным:

awlost пишет:
ида 6.6, рейс версии 2
само собой понятно))) а архитектура какая? билд иды какой? оригинал или другой там где в архиве?

| Сообщение посчитали полезным:

awlost пишет:
При нажатии Ф5 показывает псевдокод самой 1й (по адресу) функции в исследуемом файле.
Был такой баг, увы сохраняется и при открытии этой базы снова

| Сообщение посчитали полезным:

reversecode пишет:
архитектура какая? билд иды какой? оригинал или другой там где в архиве?
Архитектура intel x32/x64
Билд - сначала из инсталятора, затем проапдейтил до 6.6.14.1224

Файлы открывал исполняемые (не ранее сохраненные базы) на новый анализ.
Есть слабая надежда/подозрение, что это из-за запуска в vmware

| Сообщение посчитали полезным:

да не, народ подтвердил на руборде что у них тоже самое
чет я только не помню такой баги

| Сообщение посчитали полезным:

reversecode пишет:
да не, народ подтвердил на руборде что у них тоже самоечет я только не помню такой баги
Вот, возможно, оно:
Changelog 2014/12/29
BUGFIX: pressing F5 while staying in the IDA View could lead to the wrong function's decompilation to be displayed

| Сообщение посчитали полезным:

ее в 6.6 еще поправили
а это ченж лог уже для 6.7
вспомнил я про этот баг
это в первых билдах 6.6 было
рейсы помоему фиксить надо, что именно врядли скажу, вменяемого asmdiff нету

| Сообщение посчитали полезным:

Спасибо на добром слове ))
Нашел, что TAB работает (типа)

| Сообщение посчитали полезным:

просите Veliant'a что бы задифал свои билды рейсов на предмет фикса )))


awlost
версию с фиксами запускаете или с голой инсталляции?

Добавлено спустя 9 часов 28 минут
awlost
на руборде проверили, рейсы фиксить не надо, достаточно секьюрити апдейтов и баг исчезает

| Сообщение посчитали полезным:

оказывается в архиве, 605 дистр(в котором уже обновленный рейс итд) + содержащий секюрити апдейты
а инсталл дистр это 604 и рейсы тоже 604

так что увы
инсталл дистриб + секьюрити апдейты с архива != дистриб в архиве

| Сообщение посчитали полезным: