Встречайте новый релиз старого-доброго PE Tools
Прошло много лет с тех пор, как NEOx выложил последнюю публичную версию PE Tools в 2006 году, и вы уже могли сто раз подумать, что PET мёртв, но он ожил на некоторое время, чтобы предстать перед вами в 2018 году!

Основной анонс на русском: petoolse.github.io/petools/Announce-RU

ОСНОВНЫЕ ИЗМЕНЕНИЯ

Исправления

В первую очередь новый релиз - это огромное количество багфиксов. Везде, до куда дотянулись наши ручки, были исправлены ошибки, утечки памяти, пофикшена логика работы.
Не исключено, что при исправлении старых ошибок были добавлены новые, но мы старались, чтобы количество исправленных ошибок не влияло на появление новых ))


Новые возможности

Было добавлено несколько приятных фич, которые сделают работу с исполняемыми файлами ещё более наглядной:



Пачка мелких, но полезных фич:



Get high

Добавлена поддержка высокого разрешения экрана (High DPI), что позволяет не вглядываться в иконки и текст, а наслаждаться комфортными пропорциями интерфейса.

Чистка

Были убраны лишние на наш взгляд фичи типа старой обновлялки и старой системы плагинов (которые, откровенно говоря, особым функционалом похвастаться не могли, да и выпущено их было всего ничего), сокращено количество внешних библиотек, объединены модули с базовым функционалом.

Другие изменения

Полный список изменений смотри на сайте PE Tools на Github:

HISTORY

Разумеется, было ещё много чего исправлено и добавлено по мелочи, о чём нет смысла писать подробно (да и не всё упомнишь), поэтому проще скачать и убедиться самостоятельно.

Ссылки

Сайт проекта на Github:

petoolse.github.io/petools

Новости проекта:
@petoolse

СКАЧАТЬ

github.com/petoolse/petools/releases


--


2018.03.30

| Сообщение посчитали полезным: Jupiter, batter-f, readt, Haoose-GP, mysterio, Kindly, CyberGod, r_e, Bronco, red0x, TRPD, mak, deniskore, hors, digger70, plutos, Gideon Vi, yashechka, BlackCode, sefkrd, Jaa, CKAP, DICI BF, -=AkaBOSS=-, sendersu, Orlyonok, ELF_7719116, YDS, void, MarcElBichon, Rio, HandMill, sashka2002, GPcH, shellstorm, UniSoft, Vamit, mkdev, mushr00m, Deluser, MacTep, d745150, ==DJ==[ZLO], hypn0, dosprog, SReg, ntldr, LinXP, random, ALSSL, Jim DiGriz, Nightshade, icerix, Smitis, Dr_Di0NiS, nar100, n0x90, KomatoZ, guga, FalseMaster, LordGarfio, yoza

Alchemistry пишет:
выключите это _по умолчанию_, а не наоборот как у вас. Либо куда логичнее было бы вывести это в тайтл приложение, но не идиотскими месадж боксами на старте.
Выключи, параметр есть в настройках.

Lambda, с чувством юмора прям всеплохо я смотрю, ответ выше же:
Jupiter пишет:
PE Tools - это инструмент, который работает с exe и dll файлами, проверяет заголовок PE, удаляет и добавляет секции, модифицирует точку входа, модифицирует импорт, экспорт, другие директории - в общем делает всё то, от чего антивирусные эксперты ощущают болезненный жим-жим.

А вообще, мы не будем тратить время, чтобы искать что там аверам не нравится, только ресурсы тратить.

Ps Я смотрю все в топе быстро забывают, что это фикс старого пета, а не писанный с нуля тул, что-то будем фиксить, что-то останется, смиритесь. Но фидбеки мы рассмотрим все, так или иначе.

| Сообщение посчитали полезным: mushr00m, Orlyonok

[offtop]
Антивирусы реагируют болезненно на любое непонятное им битоверчение.
Это нормально.

) Помню, выложил на одном форуме безобидную демку, "эффект дождя",
- так пипл взвыл, влепили "нарушение" за "распространение вирусни".
Проверил на тотале - ёёёпть - 32 детекта какой-то опаснейшей хуйни.
Там и видеть в той демке было нечего, на асме - а поди ж ты..

Словом, гандоны.
[/offtop]

| Сообщение посчитали полезным: d745150, gazlan

dosprog

Ну так в этом и проблема как и в данном случае, хоть это был и немного иной софт - вы его криптуете, это подозрительно не только аверам, а им особенно, вылазит куча generic и мнение толпы хомяков. Поэтому нужно вылаживать только чистый софт в паблик. Разобрать не проблема, но на это нужно время, а учитывая что новый софт растёт как грибы поле дождя, то всё не проверишь, тогда проще тупо мнение авера выслушать.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Поэтому нужно вылаживать только чистый софт в паблик.

Только это всё равно не гарантирует того, что кто-то обосрёт и чистый файл, как в твоём случае было (да, я знаю, что ты уже признал ошибку).

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter

Ну я бы не назвал это обосрать". Просто одновременно отладчиком открылось несколько апп, немного запутался, там у нас есчо праздники были.. Я извинился за свою ошибку. Это совсем иной случай

Создают сразу кучи тем с новым софтом, не удивительно что могут быть ошибки. Да и по мойму почему то никто не стал доказывать обратное, хотя бы тупо открыли олькой и показали скрин, странно.

-----
vx

| Сообщение посчитали полезным:

difexacaw

Во-первых, я ценю, что ты признал ошибку.

Во-вторых, ты сказал совершенно на ровном месте, цитирую: "Вот только автор его сомнительный" и "Между тем оно накрыто слоем протектора, что подразумевает скрытый функционал".

Хоты никакими слоями протектора оно не было накрыто.

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter

Это цепочка событий от васм. Посмотрите там, я же говорил, несколько новых тулз отлаживалось одновременно. Я обычно ошибаюсь редко, но так получилось(не внимательность). Да и вообще зачем такое внимание этому уделять. Это глупая ошибка, забудьте про это.

-----
vx

| Сообщение посчитали полезным:

где можно скачать старые версии 1.7-1.8, чтобы.. сравнить..? Думаю, многие параноики предпочли бы их..

вот версия 1.5 на всякий случай - версия 1.5 общедоступна, легко гуглится. Размер exe'шника 465Кб, ничем не накрыт. Потом были произведены "косметические правки" и размер вырос более 1Мб. Вот я и спрашиваю, может, имеются версии 1.7-1.8 (ничем не накрытые)? Если программа бесплатна - поделитесь "старыми" версиями... Да и антивирусы реагируют намного спокойнее (хотя программа делает то же самое?!):
https://www.virustotal.com/ru/file/75d10652167b0ca2eae0404f247831616643749c7479ad4e209745fb902ef18d/analysis/1523426301/

| Сообщение посчитали полезным:

parfetka пишет:
где можно скачать старые версии

вот версия 1.5 на всякий случай

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

| Сообщение посчитали полезным: v00doo

parfetka пишет:
где можно скачать старые версии 1.7-1.8, чтобы.. сравнить..? Думаю, многие параноики предпочли бы их..
И не забудьте, обязательно, все версии, которые найдете, проверить на Virustotal))

Lambda пишет:
Понял, что Вам пофиг на эту ситуацию с детектом. Но от Вас никто ничего не требовал и не спрашивал Ваше отношение к этой ситуации. Так что Вы выглядите как минимум глупо.


P.S. Сервис Virustotal не заменит отсутствие мозгов)

| Сообщение посчитали полезным:

то неловкое чувство, когда зашел на форум исследователей защиты и av аларм испугал исследователей, если что, сабж неплохо декомпелируется, убедится самому гораздо эффективней чем читать авторское мамой клянусь всё в лучшем виде, все братья живы.

| Сообщение посчитали полезным:

да с каких пор людям, заикающемся о самостоятельной проверке файлов, требуются сырки/прошлые версии/etc? Я хоть как-то понимаю человека, сказавшего о фолсах на виртотале, но остальные - это ппц.
Ну и, конечно, разговоры о активном комьюнити "только_дай_сырки" так греют душу в холодные апрельские деньки.

| Сообщение посчитали полезным: plutos

Если есть "старые версии", то почему бы их не выложить (без исходников)? Имхо, они были не накрыты. Сейчас накрывать их уже поздно - у кого они были это заметят. Что, там (между 1.5 и 1.9) появились очень ценные функции, которые могут декомпиллировать и украсть? Отказ расшарить старые версии только усиливает подозрения.. Если прога приватная, то зачем свободно выкладывать 1.9?

| Сообщение посчитали полезным:

Jupiter
32-bit exe
Region Dump
Любой регион со state==COMMIT, доступно "Disassemble region", не доступно "View in HEX Editor", хотя это основная трубуемая информация

-----
DREAMS CALL US

| Сообщение посчитали полезным: Jupiter

Вобщем для интереса скачал исходники этой тулзени 1.5 чето там 2006 года.

Сами исходники лежат на форуме reserve4you и у китайцев, проблем найти и скачать их нет.

Собрал это все добро в 2013 студии (чтоб как у чотких пацанчиков), предварительно потратив время на конверт и правки чтобы это просто скомпилировалось ибо проект от старого VC6.

Заценил код. Ожидал худшего, че то уровня исходников антивируса касперского или асм-гавнюшек инди клерка. Судя по количеству модулей в старой версии и жирной новой - код и проект претерпели сильные структурные изменения. Часть функционала из модулей переехала в сам ехе плюс новый движок дизамсма + новая графика увеличили размер, который все равно еще маленький.

Сразу скажу, что поскольку этот код 12 летней давности и писался в стародавние махровые времена, большинство ошибок в нем могут быть списаны и прощены.

Ну кроме той где афтар не знает как работает new/delete в С++

Procs32 маленькая дллка обертка вокруг Toolhelp и Psapi. Раньше тулза предполагала запуск на вин9х поэтому решение сделать это так понятно.

Поскольку новый автор решил не выкладывать не то что сорс, а хотя бы PDB скомпиленного ехе (это хоть можно?) сравнение этих кусков кода с актуальной версией проблематично потому что это нудно, долго и скучно.

Ну давайте попробуем сравнить и посмотреть что нового, а заодно поищем троянчеги, вдруг. Крч теперь этот модуль выпилен и код из него частично интегрирован в ехе. Я еще понимаю QueryFullProcessImageNameA, в каком-нибудь реактосе (чья поддержка заявлена) действительно отсутствует набор тулхелп апи, но вот во всей линейке НТ он есть и никуда не денется. Тут же (это как я понимаю InitProc32) инициализация PSAPI, код друг друга дублирует и зачем это вообще оставлено неизвестно даже автору, ибо если бы было известно этого бы не было. Бессмысленный набор мертвого дублирующего друг друга по функционалу кода.

Следующий RebBase32.dll

В сорсах - неинициализированные переменные, бессмысленные проверки, не знание как работает C++ delete, CreateFileMapping возращает NULL при ошибке, а не то что автор думал.

Смотрим новый RebBase32.dll - те же ошибки, либо вообще не правили. Вообще там какой-то феерический бред местами в этой длл, меня не хватило это биндифить полностью.

PeSniffer - null ptr dereferencы, new/delete. У меня создалось впечатление что проверки здесь стоят обильно там где не надо, а где надо их нет. Искать этот модуль в новом ехешники (а он судя по всему переехал туда) мне лень.

NDump - модуль для дампа процессов.
OpenProcess возвращает NULL если не смогла открыть процесс, а не то что думал автор. И документация была и в 1999 году. Ищем этот модуль в новом PeTools - какой сюрприз, эта дичайшая бредятина на месте. IsBadWritePtr вы это серьезно?

Сам PeTools.
Null ptr dereference в lstrcpy, общие проблемы с new/delete, использование неинциализованных переменных и бессмысленные проверки. Простой пример, если вы выделили память, проверили ее на NULL и прыгнули на аварийный кейс не имеет смысла терзать этот поинтер проверками под этим if так как его значение там никем не меняется. Это бессмысленные проверки. Дальше идет стандартная авторская дичь с OpenProcess и его возвращаемым значением.

Ну просто ищем OpenProcess в новом PeTools 1.9, 29 референсов и везде этот же мега код. CreateFileMapping тоже самое.

А это просто щедевр.



Другой шедевр.




Мощно, в новой версии вроде выпилено.


ImportTableDlg.cpp @ GenerateNewIT очевидный мемлик.

Двойное присваивание, видимо, со скрытым смыслом.




DWORD не может быть меньше нуля. Он unsigned long.

Просто дичь.



Все, мне надоело, слишком много багов даже просто чтобы собрать это, а я еще не запускал на нем статик анализаторы, там наверное вообще листинги будут килобайтовые. Троянчеги чего-то не нашлись, послал мс письмо с запросом насчет кукарека их авера, мб они это исправят. Либо троянчеги слишком хорошо замаскированы под слоем багов старого кода.

Мой вам честный совет - делайте это опенсурс, либо хотя бы кидайте пдб файлы иначе реверсить и дебажить это когда оно рухнет (а оно рухнет) нет никакого желания. И меньше слушайте глуповатых местных подхалимов, у которых одни лайкосики и "ну ты даешь бро!".

Успехов.

| Сообщение посчитали полезным:

//OFFTOP

... Некоторые спрашивают: "Как бороться с запахом изо рта?".
Очень простой метод.. Отойди к чертовой матери. И запах вместе с тобой
(ц.) М.Жванецкий.

это я к чему? Да ведь все просто: не нравится тулза, не веришь автору - ну не качай, прошел мимо и все.

//OFFTOP

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: red0x, DrVB_5_6, Gideon Vi

Alchemistry, уже все поняли что у нас есть Д'Артаньян, профессионал, который покажет всем правду (или сам напишет тул, ждем с нетерпением релиз).

=TS=, посмотрю, времени не так много сейчас пинать petool, по возможности.

| Сообщение посчитали полезным: red0x, =TS=

Alchemistry

И такого добра, как ты привёл, было и есть очень много, к сожалению.

PVS-Studio становится больно… очень больно.

Alchemistry пишет:
Все, мне надоело, слишком много багов даже просто чтобы собрать это

Прикинь ))
Тебе уже надоело, а ведь ты привёл каплю в море

-----
EnJoy!

| Сообщение посчитали полезным:

Критиковать чужой код, тем более бесплатный, на мой взгляд неправильно. Уже то, что NEOx несколько лет назад раздавал исходники бесплатно всем желающим достойно уважения. И что самое интересное, желающих их дописывать не оказалось от слова совсем. Только потом Jupiter и PainteR взялись это делать. И как мне кажется, данный релиз на 90% состоит из проделанной на тот момент работы, просто Archer своими ретро публикациями дал стимул парням опубликовать свою работу.

То что там море всего переписывать - и так логично. И код древний и квалификация автора на тот момент была ниже. По сути он учился на этом проекте. Так что ожидать, что кто-то бросит все свои дела и исправит и перепишет все в PE Tools - глупо. Парни уже молодцы, что причесали и подчистили проект.

По плагинам считаю что они не нужны. По опыту своего проекта могу сказать - и писать их никто не будет, кроме авторов. Безусловно найдется пара человек кто все же решить написать плагин, но для них сделать SDK по трудозатратам будет просто неразумно.

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным: DrVB_5_6, v00doo, MarcElBichon, Gideon Vi, Jupiter, ==DJ==[ZLO]

v00doo пишет:
Alchemistry, уже все поняли что у нас есть Д'Артаньян, профессионал, который покажет всем правду (или сам напишет тул, ждем с нетерпением релиз).

"Да слабо Вольдемару в фонтан прыгнуть!"

Базара много. А выхлоп - 0!

| Сообщение посчитали полезным: Bronco

DrVB_5_6 пишет:
"Да слабо Вольдемару в фонтан прыгнуть!"
зачёт
"милка чО, да милка чО, навалилась на плечО.."

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

GPcH пишет:
но для них сделать SDK по трудозатратам будет просто неразумно
запилить обратно выпиленное по трудозатратам != сделать заново с нуля

API тут нехитрые, по сути просто запуск сторонней программы. И можно даже не загоняться с передачей имени файла, в своих плагинах я это неудобство спокойно обошел.

| Сообщение посчитали полезным:

ManHunter пишет:
API тут нехитрые, по сути просто запуск сторонней программы.

А зачем с помощью механизма плагинов запускать стороннюю программу, если можно просто запустить стороннюю программу? Причём здесь PE-TOOLS вообще?

ManHunter пишет:
И можно даже не загоняться с передачей имени файла, в своих плагинах я это неудобство спокойно обошел.

Это конечно не моё дело, но ты бы с веществами завязывал.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hors пишет:
Это конечно не моё дело, но ты бы с веществами завязывал

Изи, изи, рилток.
Без наездов, плз.



-----
EnJoy!

| Сообщение посчитали полезным:

Авторы обновления уже хорошо набили руку в ориентировании по коду PE Tools, может стоит забыть старый проект и сделать полный рефакторинг, оставить только Дизайн Гуя и опираясь на старый функционал начать новый проект с нуля, где первым этапом написать новый гуй на QT, а потом уже добавлять простую функциональность по мере свободного времени. Поддержка актуальных x64 систем важнее чем другие приоритеты. Рано или поздно можно прийти к такому выводу ИМХО.

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

mak

mak пишет:
оставить только Дизайн Гуя

Гуй в старом пете как раз то, что в первую очередь не нравится ))
Рефакторинг там не поможет. Придётся всё с нуля писать как раз для того, чтобы можно было впоследствии организовать нормальный доступ для плагинов.

Разумеется, мы всё это с PainteR уже неоднократно обсуждали и продумывали, но это не на один год проект, поэтому проще было пофиксить хотя бы то, что заёбывало в старой версии.

В обновлённом PE Tools довольно много нововведений, на которые ушло дофига времени, но которые при этом не были критичными, хотя и добавляли удобства, как, например, поддержка High DPI, без которой на хоть сколько-нибудь больших разрешениях пет выглядел как писька ящерки. И всё это нужно учитывать в будущих инструментах.


GPcH пишет:
По плагинам считаю что они не нужны. По опыту своего проекта могу сказать - и писать их никто не будет, кроме авторов.

В том виде, в котором они были раньше (тупо запуск и всё), точно не нужны. Например, xtreme dumper от Ms-Rem патчил встроенную дампилку, поскольку никакого внятного API не было вообще.
Но успех или неуспех плагинов как раз зависит от того, насколько удобно использовать API и насколько глубоко API позволяет залезать в ядро программы.


P.S. Если кому-то всё ещё охота попиздеть про опенсорс, то я специально для этих целей завёл отдельную тему в офтопе, велком: --> Опенсорс всего <--

-----
EnJoy!

| Сообщение посчитали полезным:

Для фикса детектов хватает повесить UPX.

Jupiter пишет:
О, переход на личности. Прекрасно!

Прекрасно - это когда модератор руководствуется правилами, а не эмоциями. На первый раз предполагается предупреждение.

Я вообще не понимаю что Вас задело в моем вопросе. У меня мысли не было уменьшать заслуги авторов, намекать что автор добавил зловредный код или требовать фикса детекта. Мне просто из любопытства стало интересно, почему так сильно поменялась ситуация по сравнению с прошлыми версиями. Чем было вызвано. Ибо у меня есть версия 1.5 у которой с детектами все ОК. Не знаете или не собираетесь выяснять - ну и ладно. Вопрос был адресован не лично Вам.

| Сообщение посчитали полезным:

Lambda пишет:
Для фикса детектов хватает повесить UPX.
Ничего не будет навешиваться.

| Сообщение посчитали полезным:

v00doo пишет:
Ничего не будет вешаться.

Опять 25. Это был совет для мемберов форума которые хотят пофиксить детекты для себя, но не знают как.

| Сообщение посчитали полезным: