Наверняка многих интересовало как устроен hexrays.
Извесно что ильфак еще с 2001 года его развивает,
пример по ссылке http://www.datarescue.com/laboratory/vd.htm (надеюсь ильфак линк не удалит?)
но похоже никто до оффициального выхода версии hexrays 1.0 в 2007 году, наработок никогда не щупал.
но тем неменее, наработки рейса всегда были в ранних версиях IDA, но их ильфак скрывал,
потер с SDK и самой IDA все упоминания о микрокод представлении данных.
Мне удалось найти старую версию IDA 4.17 в которой есть именно эта наработка! хотя и скрыта от глаз.

да, это не полноценных хекс рейс, но именно на этом и работает современный hex-rays.
Микрокод представление, с дальнейшей его опитизацией и переводом в псевдо-код(в этой версии нет).


немного доков по этой теме,
http://www.hex-rays.com/products/ida/support/ppt/decompilers_and_beyond.ppt
http://www.hex-rays.com/products/ida/support/ppt/decompilers_and_beyond_white_paper.pdf
как по мне две разные доки, поэтому ppt лучше еще в pdf перевести.

патчики открывают микрокод инструкции, и включают скрытый пункт меню в IDA
View -> Open subview -> Microinstruction (F11)

сама ida417 http://rghost.ru/39614844
патчики http://www.sendspace.com/file/l1b2dq

дифы патчиков, после анпака ASPack утилитой PE_Kill

fc /b ida.wll & ida.crk.wll
000A2020: 09 F9

fc /b Idag.exe & Idag.crk.exe
00013E6E: 33 B2
00013E6F: D2 01

надеюсь кому то это будет очень интересным или полезным!
IDASDK 4.17 в розыске! найден! вместе с графами!

PS: спасибо парню с ru-board который подкинул ida 4.17 версию!

| Сообщение посчитали полезным: plutos, _ruzmaz_, Rustem, sendersu, Artem_N, obfuskator, antipod, =TS=, HOMEZ, WildGoblin, ressa, fobos_n_deimos

У вамита далеко не единственный. Даже если и отложить чисто шаблонные (а некоторые и опенсорсные) общие CodeDoctor, Optimice и тд или частные, типа CodeUnvirtualizer, был и неплохой фреймворк Ariadne https://ssl.exelab.ru/f/action=vthread&forum=3&topic=19314 И тоже там была трансляция в промежуточный язык, и эмуляция, и оптимизация на нём. И много там было людей, кому это оказалось нужно?

| Сообщение посчитали полезным: DimitarSerg

Archer именно очень четко подмеченно.. что идей много, а нормального деобфускатора до сих пор нет. по крайней мере в паблике. И по этой причине все протекторы глумяца над этой темой и срут срут срут говнокод

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

Почему идей? Все отмеченные выше вещи-это не просто статьи с идеями, а именно продукты, которые даже как-то работают. Суть в том, что никому это не нужно, и проекты дохнут. Так же и с другими областями, типа анпака, например. Я и сам так анпакер забросил. 95% хотят просто тыкать кнопочку и всё. А разбираться или хотя бы поддерживать разрабатываемый другими проект никому особо не интересно, не смотря на иногда раздающиеся крики, типа да мы бы и купили, если б было. Пруф линк был выше.

| Сообщение посчитали полезным:

Archer вопрос глобально стоит в зарабатывании денег за проджект? я этот форум много лет назад полюбил за людей, которые решают задачи и горят идеей. Тут больше принципиальный вопрос.. готовые результаты востребованы видимо только антивир-конторами, НО тут же больше вызов самому себе!
офтоп..тебе лично.. как модератору...
за последний год два форум превратился в кучу бредавопросов задаваемых хз кем и хз зачем.. типа опен/клоуз тема. может както это все ограничить? раньше был полет мысли, читал, зачитывался.. щаз.. КАК ДОБАВИТЬ БАБОК ВВКОНТАКТЕ. может люди меняюца?
З.Ы. потом почисть флуд.. но зацепило блин, сори, вокруге одна быдлота. этот форум какоето время был отдушенной
З.Ы.Ы я тут сижу в своей норе и пытаюсь чтото сделать для себя, и мне особо не важно кому это нужно. ЭТО нужно МНЕ.

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным: Carpe DiEm, Vnv, vptrlx, DimitarSerg, ressa, SWR

Проект бывает для себя и для людей. Вот если для себя и вызов самому себе, то и собирают свой велосипед с квадратными колёсами, без сиденья и руля и где отталкиваться надо ногами. Собирают, пока не вырастут, и дела поважнее не найдутся. Если для людей, то это уже игра не в одни ворота, и не помешает поддержка. Вообще под поддержкой понимается поддержка в общем смысле. Как минимум интерес, тестирование и багрепорты. Как максимум, да, финансирование. Реалии жизни таковы, что жратву бесплатно никто не даёт. А проект пишется лучше, если девелопер до этого не торчал часов 9 в офисе на работе с каким-нибудь 1с и не ехал потом час в полном метро/стоял в пробках.
Может и люди меняются. Толковые как раз становятся старше и уходят, у них других дел хватает. А новичкам лень что-то делать, им проще в контактике посидеть. В любом случае это уже явный оффтоп и вопрос не ко мне. Какие топики совсем левые, по возможности закрываю.

| Сообщение посчитали полезным: VodoleY, r_e, sendersu, Maximus

Archer пишет:
Реалии жизни таковы, что жратву бесплатно никто не даёт.
Я с тобой согласен, но человек не только материальное существо, бывает как раз таки после девятичасового рабочего дня выделяешь время семье, делаешь дела по дому и чтобы это все не превращалось в конвеерную ленту бытовухи - человек как-то пытается разнообразить свою жизнь, помимо совместных похождений с супругой\подругой в кино\театр и занятий спортом - человек пытается развиваться творчески и бить какие-то рекорды в постижениях поставленных самих себе задач. Вот тут то и приходит момент написания "для себя" и "не так, как у всех". Большая часть достойных и бесплатных проэктов, написанных на постсоветском пространстве писалось далеко не в лучшие времена (даже, если взять пять лет назад и более) и писались на голом энтузиазме. За, в лучшем случае за благодарность. Но кроме материального вознаграждения и простых благодарностей - для каждого человека важны свои внутренние победы, которые как ни как - но делают человека сильнее и придают красок и интереса к его жизни.
Господа, желаю всем удачи в Ваших начинаниях и продолжениях, сохраняйте этот интерес в любом своем деле, и делая для себя - не жадничайте и выкладывайте на всеобщее обозрение (конечно то, что не жалко) приходит на ум цитата из Хагакурэ "Писать письма нужно так, чтобы адресат мог не стесняясь повесить его на стену и показывать гостям" Так же и с проектами, вроде для себя (внутренние победы), а вроде и приятно, если проект будет оценен и востребован остальными. Archer - так же как и твой анпакер, как бы то ни было - ты вошел с ним в эту нишу и он до сих пор востребован, не смотря на то, что не поддерживается.
С уважением.

| Сообщение посчитали полезным: Vamit, OnLyOnE, sendersu, VodoleY, TrueLies, SWR, kioresk

Предлагаю жизненую установку от ressa дать почитать всем женам\подругам с целью межполовой консолидации с представителями реверс-кодинг комьюнити.

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным: mak, _ruzmaz_

OKOB
Для того, чтобы было понимание - нужно изначально выбирать себе не просто девушку, а именно будущую супругу и мать детей. Опять вспоминается чьё-то выражение - "За каждым великим мужчиной стояла не менее великая женщина". Ведь когда бывает накипит на работе - запара или облом финансовый, когда ну совсем хуево, а ты приходишь домой никакой, а к тебе просто прижмутся, обнимут и скажут "Дорогой, ты у меня самый лучший, все будет хорошо, я тебя очень люблю!" и вот после этих слов и хочется жить и творить дальше. Ведь нельзя любить человека за что-то, нужно любить человека в целом, а все бывает и провалы и неудачи и просто настроения нет - поэтому и нужно разделять его увлечения и хобби, как просто отвлечение от мирской суеты. И не только со стороны женщин, но и со стороны нас - Мужчин!
Конечно хобби не должно отнимать бОльшую часть времени, ибо наши женщины от природы своей требуют внимание, но если это хобби так или иначе еще и является средством дохода - предъява в духе "ты постоянно торчишь за компом" - не принимается.
А вообще среди Вас есть один человек (мое ему уважение) у которого и девушка тоже кодер))Вот мне так интересно было, думал что здорово, когда интересы пересекаются, а оказалось, что они вовсе не торчат сутками у компа, и сами далеко не прочь "побыть в реале". Девушкам надо четко давать понять, что все-таки мужчина стоит во главе семьи и чтобы те поубавили свои капризы, если их накопилось много.

| Сообщение посчитали полезным:

VodoleY, ты не прав на счет топов, Арчи все правильно делает, был бы я модером, я бы еще жосче темы закрывал.

Вот пример бесмысленного топа, который я бы закрыл сразу:
http://exelab.ru/f/action=vthread&forum=5&topic=20218

А вот пример бесмысленного поста в бысмысленном топе, который оставил человек, ничего в крякинге не смыслящий, но уже пытающийся учить модератора что надо делать:
http://exelab.ru/f/action=vthread&forum=5&topic=20218#5

Что выходит, что бессмысленным форум делают те люди, которые всех громче кричат о том, что форум бесмысленный...

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus ты чето не дочитал что ли? я ОБ ЭТИХ топах и писал. ЧТОБ ИХ НЕ БЫЛО ВООБЩЕ или были в отдельном топике, типа флуда. большие буквы это плохо но это крик. еще 2 года назад такие топы были редкость и то в разделе новичков. я рыдаю. я предлагал арчи и не только я сделать както отделение воды от сообщений. подымись по постам высше и вчитайся.
З.Ы.Ы. reversecode спасибо за созданный топ, и сори за созданный флуд. Арчи, спасибо за ссыль на Ariadne .. пол дня вникал 1900у.е зачет.. год почти проджект мертв. я отчасти твои высказывания поддерживаю.

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

Ariadne нацелен на запуск какойто секции в рабочем приложении,
снимать обфускацию не запуская приложения он не умеет.
да и с нужным снятием обфускаци он не справился - потому что не для этого.
практического применения я ей не увидел.

Optimize скрипты на питоне для IDA живые всех живых, и обновляюстся регулярно на svn

| Сообщение посчитали полезным:

может немного не в тему.. но если начали уже перечислять.. то вот
http://forum.tuts4you.com/topic/29189-vdisasm-interactive-disassembler/
наткнулся.. проджект свежий.. парень с украины, пишет на дилфе диплом.. вроде пока красиво, сам вроде не справляеца ищет единомышленников
З.Ы. если не ошибаюсь то у нас это пробегало с год назад как
http://forum.exelab.ru/f/action=vthread&forum=6&topic=18101&page=1

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

VodoleY для альфы очень не дурно. хотя почитал каменты, народ как-то не воодушевился.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Если не изменяет память, то автор хочет сделать коммерческий vdisasm xD Может ошибаюсь.

| Сообщение посчитали полезным:

на гугл код зайти нельзя без гугл аккаунта, печалька

crypto пишет:
А что, аккаунт на Гугле теперь сложно завести?
гугл акканут?! фу фу фу

| Сообщение посчитали полезным:

reversecode
А что, аккаунт на Гугле теперь сложно завести?

| Сообщение посчитали полезным:

reversecode я пробывал, доступ ограничен. Сегодня общался с автором, вроде ждем на сентябрь тест релиз
З.Ы.NikolayD а зачем? автор вроде не сильно скрываеца. он дорабатывает тулзу

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

new: нашёл у себя, только там 4 мегабайта. Постараюсь залить.

| Сообщение посчитали полезным:

reversecode пишет:
llvm вообще туфта.

Интересно почему ?
Я наоборот склонен думать, что если и будет создан нормальный деобфускатор , то он будет на базе llvm.

| Сообщение посчитали полезным:

Getorix пишет:
Hexxx пишет:
Насколько я слышал. Был куплен open-source проект boomerang decompiler и соединен с этим самым микрокодом. Именно поэтому его (бумеранг) перестали развивать в 2006-м
У меня другая информация
Бумеранг никто не покупал, уж тем более Ильфак. Разработка встала после того как Майк Эммерик ушел в Veracode. Естественно по контракту он не имел права дальше кодить бумеранг или давать советы по развитию, но мог отвечать на вопросы по поводу того что уже работает. Скажу больше, он даже уговаривал народ продолжить работу над бумерангом, тогда еще реально было допинать его до уровня hexrays 1.0
Короче без Майка, людей которые бы шарили по теме, или хотя бы прочитали его диссертацию или работы Кристины - не нашлось. Вот бобик и сдох...

Кто может дать ссылку на эту самую диссертацию или работы Кристины?

| Сообщение посчитали полезным:

YarikTH пишет:
Кто может дать ссылку на эту самую диссертацию или работы Кристины?

Интересные ссылки можно найти по запросам:

Cristina Cifuentes reverse compilation techniques

Van Emmerik decompilation

И ещё

http://www.program-transformation.org/Transform/CristinaCifuentes

Ещё интересная статья по арм
http://yourcmc.ru/wiki/ARM-декомпилятор

| Сообщение посчитали полезным: =TS=, Veliant, _ruzmaz_

vden пишет:
Ещё интересная статья по арм
http://yourcmc.ru/wiki/ARM-декомпилятор
а чьи это выкладки? интересно они чем то закончились? а то резюме я не понял.. создал автор что то или просто описал теорию?

| Сообщение посчитали полезным:

Надо совокупить IDR (http://kpnc.org/idr32/ru/) и проект vdisasm
Первому до исходного текста один шаг по сути остался. Тем более что они оба на дельфе писаны.

А про статью АРМ-декомпилятор - это все ерунда и понятно само собой. Разделение на блоки нельзя на основе jump-ов делать, собственно нужно сравнивать контекст (наборы регистров) между инструкциями. В случае деобфускации нужно еще сравнивать контексты не только двух ближайших, но и более удаленных инструкций, в этом вся разница. Заводить свои мнемоники для этого тоже не обязательно - нужно просто построить дерево выполнения кода, выстроить дерево изменения величин каждого регистра, и потом парсить все это в обратном порядке начиная с ret. Логика не очень сложная.

| Сообщение посчитали полезным:

reversecode пишет:
а чьи это выкладки? интересно они чем то закончились? а то резюме я не понял.. создал автор что то или просто описал теорию?
Чьи точно не помню, автора там можно найти в livejournal. Чем закончилось тоже не в курсе. Я так понял, что у автора не было конечной цели сделать декомпилер. Статья вроде родилась в процессе реверса какой-то прошивки, хотя могу ошибаться.


brill davis пишет:
Надо совокупить...
Уточню. VDisAsm на делфе, а IDR на билдере. В VDisAsm ещё не достроена инфраструктура, поэтому объединять что-либо ещё немного рано.

В статье, конечно, описано в упрощённой форме. .. Логика декомпилятора в принципе не сложная (как и компилятора), весь вопрос в реализации



btw,
если кому-то будет интересно, есть книжки по теории компиляции (и немного по декомпиляции)

| Сообщение посчитали полезным: antipod

brill davis пишет:
Разделение на блоки нельзя на основе jump-ов делать, собственно нужно сравнивать контекст (наборы регистров) между инструкциями. В случае деобфускации нужно еще сравнивать контексты не только двух ближайших, но и более удаленных инструкций, в этом вся разница. Заводить свои мнемоники для этого тоже не обязательно - нужно просто построить дерево выполнения кода, выстроить дерево изменения величин каждого регистра, и потом парсить все это в обратном порядке начиная с ret. Логика не очень сложная.
лол, ильфаку расскажи а то он не знает
блоки парсятся не на основе jmp а на основе условий,
ret у функции может быть много, с какого начинать парсить? ))

регистры.. причем здесь регистры? клерк залогинся что ли

| Сообщение посчитали полезным:

vden
Спасибо за информацию!

| Сообщение посчитали полезным:

Еще одна статья по декомпиляции hxxp://rghost.ru/private/41431062/7f73891a20c07c0bc164113dfd14fc01
Хоть и старая, но с описанием алго, примерами.

Add (30.12.12)
Проект аналог бумеранга с сорцами и доками http://www.jakstab.org/

| Сообщение посчитали полезным: vden, _ruzmaz_, daFix

Никто не знает, где в файле idb лежит номер версии ida в которой этой файл создан ?
Или как обойти эту проверку ?

| Сообщение посчитали полезным:

sfinks_2002 а смысл? ида падает частенько и на базах той же версии, если версию подмениш, имхо ты хрен базу откроеш.. структуры послетают

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным: