Сейчас на форуме: -Sanchez-, Alf, Adler, Rio (+6 невидимых)

 eXeL@B —› Софт, инструменты —› DRX: Delphi 2010/XE RTTI eXtractor
<< . 1 . 2 . 3 . >>
Посл.ответ Сообщение

Ранг: 10.0 (новичок), 44thx
Активность: 0.010
Статус: Участник

Создано: 06 ноября 2010 16:20
· Личное сообщение · #1

Начиная с delphi2010, в exe включается расширенная RTTI-информация, теперь это не только секция published, но по умолчанию, для полей начиная с private, для свойств и методов - начиная с public.
Т.к на паблике тулзов для 2010+ не видно, решил сделать свою:
zalil.ru/29925555

Процесс при анализе не запускается, так что запакованные фалы не поддерживает.

| Сообщение посчитали полезным: vden, Wald

Ранг: 129.0 (ветеран), 116thx
Активность: 0.060
Статус: Участник

Создано: 04 июня 2012 15:23
· Личное сообщение · #2

kingmonstr пишет:
Пожалуйста, перезалейте.

DRX Delphi 2010+ RTTI eXtractor v0.5.0
--> Link <--

-----
We do what we want because we can.


| Сообщение посчитали полезным: hlmadip, kingmonstr

Ранг: 10.0 (новичок), 44thx
Активность: 0.010
Статус: Участник

Создано: 06 июня 2012 00:09
· Личное сообщение · #3

kingmonstr
verdizela
та версия, 0.5.0 RC1 сильно глюкавая, эта должна быть по-стабильней:

version 0.5.1 [03.04.2012]
+ recognition of attributes in fields, props and methods params
* fixes in detecting float methods params in disasm
* fixes in detecting references to fields in disasm
* a little bit faster

http://rghost.ru/38500321

+ текущая бета 0.5.2:

http://rghost.ru/38500244

| Сообщение посчитали полезным: SReg, NikolayD, drone, verdizela, 4kusNick, kingmonstr, Dart Raiden, Xa-Xa

Ранг: 0.6 (гость)
Активность: 0=0
Статус: Участник

Создано: 22 июня 2012 18:28 · Поправил: Модератор
· Личное сообщение · #4

Очень приятно.
Зеркальце http://www.sendspace.com/file/didsoo
http://yadisk.cc/d/N1v5xtUt2Nz




Ранг: 469.0 (мудрец), 100thx
Активность: 0.250
Статус: Участник
[www.AHTeam.org]

Создано: 28 октября 2012 04:18
· Личное сообщение · #5

GUI для drx32.exe

Может кому пригодится.



--> drx 0.5.2beta <--

af41_28.10.2012_EXELAB.rU.tgz - RTTI eXtractorGUI.exe

-----
-=истина где-то рядом=-


| Сообщение посчитали полезным: BAHEK, A V


Ранг: 469.0 (мудрец), 100thx
Активность: 0.250
Статус: Участник
[www.AHTeam.org]

Создано: 31 октября 2012 22:47 · Поправил: KingSise
· Личное сообщение · #6

Мкто то может зарегится и/или --> Link <-- и выложить Пaрoль к aрxиву c KBD2010.bin или лучше сам файл.


З.Ы. я в упор не понимаю, как у них зарегестрироваться....

-----
-=истина где-то рядом=-




Ранг: 31.0 (посетитель), 70thx
Активность: 0.140
Статус: Участник

Создано: 31 октября 2012 23:44 · Поправил: schokk_m4ks1k
· Личное сообщение · #7

KingSise
напиши автору в личку он тебе пришлёт пароль! мне недавно прислал по просьбе в личке)

KingSise пишет:
З.Ы. я в упор не понимаю, как у них зарегестрироваться....

машинку собрал при регистрации (типа антиспам такой)?
add: хз, я только что зарегился без проблем! чето ты просто наверное не так делаешь или хз!




Ранг: 127.3 (ветеран), 44thx
Активность: 0.090
Статус: Участник

Создано: 31 октября 2012 23:46
· Личное сообщение · #8

KingSise
https://ssl.exelab.ru/f/action=vthread&forum=3&topic=15434

-----
zzz





Ранг: 469.0 (мудрец), 100thx
Активность: 0.250
Статус: Участник
[www.AHTeam.org]

Создано: 01 ноября 2012 00:06
· Личное сообщение · #9

zeppe1in, ну эту тему я видел и прочитал... как скачать то что мне нужно я не нашел...

schokk_m4ks1k пишет:
напиши автору в личку он тебе пришлёт пароль! мне недавно прислал по просьбе в личке)


млин, только что проверил почту, ответ пришол, видимо занят был...

-----
-=истина где-то рядом=-




Ранг: 10.0 (новичок), 44thx
Активность: 0.010
Статус: Участник

Создано: 20 декабря 2012 23:55
· Личное сообщение · #10

version 0.5.2 [15.09.2012]
+ Delphi XE3 is supported
* fixed crash on some record types
* fixed crash on some methods with float params
* fixed recognition of calls to imported functions
* improved recognition of private/protected methods and references to class fields
* fixed output of dispinterfaces
+ recognition of attributes in enum types

http://rghost.ru/42392686

| Сообщение посчитали полезным: NikolayD, SReg, 4kusNick, Dart Raiden

Ранг: 11.3 (новичок), 2thx
Активность: 0.020
Статус: Участник

Создано: 21 декабря 2012 12:08
· Личное сообщение · #11

одну прогу декомпилил,на второй - Fatal error: Access violation at address 004E7D89 in module 'drx32.exe'. Read of address 00000000



Ранг: 10.0 (новичок), 44thx
Активность: 0.010
Статус: Участник

Создано: 21 декабря 2012 13:56
· Личное сообщение · #12

upss
выложи эту вторую, или кинь на av.junk2007 [at] гмэйл.ком
будет время, посмотрю



Ранг: 11.3 (новичок), 2thx
Активность: 0.020
Статус: Участник

Создано: 21 декабря 2012 18:21 · Поправил: upss
· Личное сообщение · #13

A V я конечно тупанул - скачал drx 0.5.0 на ней и вылезла такая хрень
щас качнул DRX.0.5.2final -и снова облом на той же проге - Error: Can't find InitTable, probably file is not compiled with Delphi 2010/XE/XE2/XE3 or is packed
вот подопытная



Ранг: 10.0 (новичок), 44thx
Активность: 0.010
Статус: Участник

Создано: 21 декабря 2012 21:52 · Поправил: A V
· Личное сообщение · #14

upss
этот файлик обработан c помощью HidePE - там код на EP малость покорежен.
а для drx важна ссылка на таблицу инициализации. в отладчике видно, что реально она находится по адресу 4F9158.
Добавил в drx параметр +p, после которого можно указать свой адрес инициализации, вроде разбирает с ним этот файл.
вот тестовая 0.5.3a-32bit: http://rghost.ru/42412755
usage: "drx32 Комарик.exe +p$4F9158"
(этот InitTable - это параметр который передается в SysInit.InitExe - самая первая процедура в программе, так что его руками всегда легко найти)

| Сообщение посчитали полезным: BAHEK, upss

Ранг: 11.3 (новичок), 2thx
Активность: 0.020
Статус: Участник

Создано: 21 декабря 2012 23:55
· Личное сообщение · #15

A V спасибо разобрался вроде декомпилил



Ранг: -0.5 (гость)
Активность: 0=0
Статус: Участник

Создано: 17 января 2013 18:39
· Личное сообщение · #16

A V
выложите актуальную версию пожалуйста. а то с ргхоста удаляется быстро



Ранг: 88.6 (постоянный), 50thx
Активность: 0.040.02
Статус: Участник

Создано: 17 января 2013 18:45
· Личное сообщение · #17

igrmik
--> Link <--



Ранг: 456.3 (мудрец), 340thx
Активность: 0.280.02
Статус: Участник
Android Reverser

Создано: 17 января 2013 19:10
· Личное сообщение · #18

А есть для борланд с типа такого? чтоб показывала формы и адреса обработчиков onchange, onkeypress ну и подобное.

-----
SaNX




Ранг: 188.1 (ветеран), 419thx
Активность: 0.140
Статус: Участник

Создано: 17 января 2013 19:14
· Личное сообщение · #19

SaNX
Формы покажет IDR, адреса - нет.



Ранг: 456.3 (мудрец), 340thx
Активность: 0.280.02
Статус: Участник
Android Reverser

Создано: 17 января 2013 20:06 · Поправил: SaNX
· Личное сообщение · #20

crypto
да как то нет, пробовал - пишет инвалид оеп, сам предлагает ввести 0.
софт http://www.personalfinances.ru/downloads/PersonalFinancesPro_setup.exe

ЗЫ: для дельфей - нормально кажет.

-----
SaNX




Ранг: 512.7 (!), 360thx
Активность: 0.270.03
Статус: Модератор

Создано: 17 января 2013 20:13
· Личное сообщение · #21

SaNX
чай упаковано чем?....



Ранг: 456.3 (мудрец), 340thx
Активность: 0.280.02
Статус: Участник
Android Reverser

Создано: 17 января 2013 20:15
· Личное сообщение · #22

sendersu
ну ОЕП чистое

-----
SaNX




Ранг: 301.4 (мудрец), 194thx
Активность: 0.170.01
Статус: Участник

Создано: 17 января 2013 20:19
· Личное сообщение · #23

SaNX пишет:
А есть для борланд с типа такого? чтоб показывала формы и адреса обработчиков onchange, onkeypress ну и подобное.

ems source rescuer



Ранг: 188.1 (ветеран), 419thx
Активность: 0.140
Статус: Участник

Создано: 18 января 2013 08:37
· Личное сообщение · #24

SaNX
Так введите ему нормальную точку входа. Я для Билдера не изучал ситуацию, почему EP не определяется.



Ранг: 456.3 (мудрец), 340thx
Активность: 0.280.02
Статус: Участник
Android Reverser

Создано: 18 января 2013 10:13 · Поправил: SaNX
· Личное сообщение · #25

crypto
А что есть нормальный оеп?
Вот в этом файле ОЕП 00401B18:
Code:
  1. 00401B18: EB10                           jmps       .000401B2A
  2. 00401B1A: 66623A                         bound       di,[edx]
  3. 00401B1D: 43                             inc         ebx
  4. 00401B1E: 2B2B                           sub         ebp,[ebx]
  5. 00401B20: 48                             dec         eax
  6. 00401B21: 4F                             dec         edi
  7. 00401B22: 4F                             dec         edi
  8. 00401B23: 4B                             dec         ebx
  9. 00401B24: 90                             nop
  10. 00401B25: E9AC90CD00                     jmp        .0010DABD6
  11. 00401B2A: A19F90CD00                    1mov         eax,[000CD909F]
  12. 00401B2F: C1E002                         shl         eax,2
  13. 00401B32: A3A390CD00                     mov         [000CD90A3],eax
  14. 00401B37: 52                             push        edx
  15. 00401B38: 6A00                           push        0
  16. 00401B3A: E84B548D00                     call        GetModuleHandleA
  17. 00401B3F: 8BD0                           mov         edx,eax
  18. 00401B41: E8E65A8C00                     call       .000CC762C
  19. 00401B46: 5A                             pop         edx
  20. 00401B47: E8E0568C00                     call       .000CC722C
  21. 00401B4C: E81B5F8C00                     call       .000CC7A6C
  22. 00401B51: 6A00                           push        0
  23. 00401B53: E828728C00                     call       .000CC8D80


а вот мессэдж IDR:
---------------------------
Confirm
---------------------------
Invalid EP (401B18). Input valid EP?
---------------------------
Да Нет
---------------------------

Если ввести вручную 401B18, то он ругаеццо:
---------------------------
Error
---------------------------
Cannot find table of initialization and finalization procedures
---------------------------
ОК
---------------------------


Veliant
тоже не робит, говорит файл криптован

ЗЫ: ДЕДЕ с ним работает, показывает классы, но форм и кода нет. GPcH-ный декомпилер показывает формы, а код - нет

-----
SaNX




Ранг: 315.1 (мудрец), 631thx
Активность: 0.30.33
Статус: Модератор
CrackLab

Создано: 18 января 2013 10:16 · Поправил: SReg
· Личное сообщение · #26

SaNX
для borland c++ только DeDe есть
SaNX пишет:
дык тоже не работает сцуко

хз... на IDRе воркает



Ранг: 456.3 (мудрец), 340thx
Активность: 0.280.02
Статус: Участник
Android Reverser

Создано: 18 января 2013 10:19
· Личное сообщение · #27

SReg
дык тоже не работает сцуко

-----
SaNX





Ранг: 170.1 (ветеран), 96thx
Активность: 0.090.01
Статус: Участник

Создано: 18 января 2013 11:04
· Личное сообщение · #28

Еще вот такое есть:
EXE2DPR - Delphi project sources Rescuer. Version 3.1 (23/09/99)
http://www.multiupload.nl/RU1ARN336N

Code:
  1. If you lose your Delphi 1.0-4.0 or C++Builder 3.0 project sources, but 
  2. have an executable file, then this tool can rescue part of lost sources.
  3.  
  4. Rescuer produces all project forms and data modules with all assigned
  5. properties and events. Produced event procedures don't have a body (it is
  6. not a decompiler), but have an address of code in executable file.
  7.  
  8. For C++Builder executables Rescuer make Delphi-compatible sources.




Ранг: 456.3 (мудрец), 340thx
Активность: 0.280.02
Статус: Участник
Android Reverser

Создано: 18 января 2013 11:42
· Личное сообщение · #29

gazlan
это совсем уж старье. ожидаемо: Forms not found

-----
SaNX




Ранг: 188.1 (ветеран), 419thx
Активность: 0.140
Статус: Участник

Создано: 18 января 2013 12:28
· Личное сообщение · #30

SaNX
Дык после того как IDR ругнется, не пробовали зайти в закладку Forms?



Ранг: 456.3 (мудрец), 340thx
Активность: 0.280.02
Статус: Участник
Android Reverser

Создано: 18 января 2013 12:50 · Поправил: SaNX
· Личное сообщение · #31

crypto
дык одни формы бесполезны.
Классвьювер бы работал

ЗЫ: перечитал твой первый мессадж, теперь понял, что ты имел ввиду

-----
SaNX



<< . 1 . 2 . 3 . >>
 eXeL@B —› Софт, инструменты —› DRX: Delphi 2010/XE RTTI eXtractor
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати