2.05

[+] Many bugs have been fixed.
[+] JSON output in console version.
[+] No UPX build for Windows version

Full changelog: --> Link <--
How to build DiE from sources: --> Link <--

Download: --> Link <--



-----
http://ntinfo.biz

| Сообщение посчитали полезным: yashechka, hypn0, mak, RevCred, VOLKOFF, TRPD, HandMill, MarcElBichon, Bronco, BlackCode, -=AkaBOSS=-, sendersu, sefkrd, Autokent, mushr00m, =TS=, ==DJ==[ZLO], Isaev, ibmCORE, apslash, darkBLACK, Crawler, ELF_7719116, ADMIN-CRACK, Adler, Bad_guy

hypn0 пишет:
Не все умеют с гитхаба качать
сноровка нужна
так то сниф глаголет что апдейтов нет, если есть то чините и автоапдейт..

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

WL-group cryptor кто что рассказать может?

| Сообщение посчитали полезным:

Bronco пишет:
автоапдейт
Я такое уже предлагал. Надеюсь в следующей версии будет.

SDK пишет:
WL-group cryptor
А образец есть?

| Сообщение посчитали полезным:

hypn0 пишет:
А образец есть? Их есть у меня.


13c3_12.08.2018_EXELAB.rU.tgz - 1.zip

| Сообщение посчитали полезным:

Никто не в курсе, до конца года ждать апдейт?

| Сообщение посчитали полезным:

BlackCode чего ждать всё уже и так в базе ,мало RGD возьми для полного комплекта.

| Сообщение посчитали полезным:

SDK А как оно должно работать? Точка входа куда-то не туда указывает. У меня под Win7x64 падает.
Похоже что файл битый.

Добавлено спустя 3 минуты
BlackCode пишет:
до конца года ждать апдейт?
Апдейт чего? Новую версию? Не знаю.
Сейчас по плану переход на новую Qt и кое-какие изменения в движке. Но это может много времени занять.
Если что-то конкретное и небольшое надо исправить, то вполне можно до конца года еще что-нибудь выпустить.
Но вроде и так всё хорошо работает.

| Сообщение посчитали полезным:

под хп запускай

| Сообщение посчитали полезным:

SDK Ааа.. Там tls callback, сразу не увидел. Поэтому EP черте-куда смотрит, так как не нужна.
Добавлю определение.
А что касается распаковки, когда-нибудь в xvlk обязательно появится. Но очень не скоро, так как это всё самоделки и в единственном экземпляре.

Добавлено спустя 6 минут
SDK пишет:
RGD возьми для полного комплекта
Кстати не панацея. У меня десятки, если не сотни файлов лежат, накрытые непонятно чем и ни RDG, ни PiD, ни остальные не знают что это такое. Можно конечно добавлять их как unknown cryptor, но не хочу. А с другой стороны рано или поздно придется.

| Сообщение посчитали полезным: SDK

hypn0
Апдейт интерфейса. Малость напрягает, что контрол с инфой не обновляется.
По сигнатурам все замечательно.

| Сообщение посчитали полезным:

BlackCode пишет:
Апдейт интерфейса. Малость напрягает, что контрол с инфой не обновляется.
По сигнатурам все замечательно.

Попробуй заново скачать программу отсюда: --> Link <--

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hors, а планируется переезд на кьют повыше и фикс масштабирования? В 120 dpi не то чтобы совсем неюзабельно, но местами выглядит грустно.

| Сообщение посчитали полезным:

v00doo
Выше только что написал:
hypn0 пишет:
Сейчас по плану переход на новую Qt и кое-какие изменения в движке. Но это может много времени занять.
v00doo пишет:
и фикс масштабирования? В 120 dpi не то чтобы
Именно из за этого и планируется.

| Сообщение посчитали полезным:

Звиняйте, торопился, не чекнул ветку

| Сообщение посчитали полезным:

hypn0 пишет:
Именно из за этого и планируется
а текущая версия Qt, в проекте, не способна масштабировать?
диз почините..

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
а текущая версия Qt, в проекте, не способна масштабировать?
На гитхабе кто-то написал как можно починить. Какую-то пользовательскую переменную надо указать. Проверим.

Bronco пишет:
диз почините..
А что с ним не так? Вроде работает.
Да и пользуется ли им кто-то вообще? Он же не годится для использования от слова вообще. Там ни в процедуры не войти, ни подсветки. Просто тупо диз и всё.
Да и сомневаюсь, что его надо до ума доводить. Есть ведь hiew, есть ida, на худой конец.
Конечно можно сделать конфетку, но целесообразно ли это?

| Сообщение посчитали полезным:

hypn0 пишет:
А что с ним не так?

Bronco писал 4 августа 2018 06:28 :
в окне диза, для х64, поле с байткодом перекрывает адресацию листинга.
заголовков у компонента нет, из свойств активны скролл и выделение. по клику контекстное меню.


-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
в окне диза, для х64, поле с байткодом перекрывает адресацию листинга.
Кинь свой файл die.ini. У меня "из коробки" не перекрывает, если адрес в hex-виде. Пропадает разделитель адресов и кода когда включен dec-режим адресов. Но и то не перекрывает, хотя сливается. Да, небольшой косяк.

| Сообщение посчитали полезным:

hypn0 пишет:
Кинь свой файл die.ini.
хм...не дам..
буду страдать с таким дизом..
а если без юмора, то сниф первая тулза, которая мне показала х64 код во всей доступной красе.
до этого юзал ShadowOllyDbg и немножЕчко SoftIceXP, и про отладчик Mr.eXoDia x64 dbg ничего не знал.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Господа!
Может имеет смысл добавить определение не только протекторов/компиляторов, а что-то еще (какие-то специфические библиотеки, API ключей защиты и т.п.)?
Кому что нужно, пишите, не стесняйтесь. Добавлю.

P.S. Кстати сейчас ключи защиты определяются в режиме "Deep Scan" (включается в настройках, по умолчанию выключено).

Добавлено спустя 5 минут
Bronco пишет:
буду страдать с таким дизом..
Да поправим, не переживай. Только вот непонятно, чем hiew не устраивает? Или то, как он x64 показывает ты даже не видел?
А еще IDA есть. Там вообще всё красиво.
Bronco пишет:
до этого юзал ShadowOllyDbg и немножЕчко SoftIceXP
Я AFD и Turbo Debugger когда-то давно использовал, еще отладчик в CUP-е. Так что ты меня своими "друганами" не испугаешь.

| Сообщение посчитали полезным:

hypn0, если только отделить категорию для "сервисов" ака цифровых площадок: Steam, GOG, Uplay, Origin, Battle.net и там вроде еще беседка сейчас наклепает клиент свой со своим апи.

| Сообщение посчитали полезным:

v00doo Отделить можно. Только как их опознавать? Я вот вообще не в курсе, у них там какие-то свои API используются или как? Насколько я понимаю, это игрушки. Игрушки распространяются через каких-то дистрибьюторов. У них есть какая-то защита? Вроде нет, за исключением Stream-а. Хотя я далек от игрушек, не знаю.
От пары образцов каждого сервиса не отказался бы. Или ссылки где можно взять.

Но в принципе хотелось бы узнать что нужно людям. Игрушки это одно, а вдруг кому-то нужны детекты криптобиблиотек не по константам, а по коду, и т.п. Просто чтоб знать куда двигаться дальше.

Как вариант можно двигаться в направлении TRiD-а и опознавать разные неисполняемые файлы. Тут поле для деятельности гигантское, но смысла особого нет.

Добавлено спустя 12 минут
Да.. Сейчас есть проблема с детектом полиморфных крипторов. Фактически добавляю сигнатуры каждого встреченного образца. Это неправильно. Но по другому сложно.
Я сторонник детектов по точке входа. А с полиморфами такое не пройдет. Но... Есть способы определять полиморфы по точке входа, только сейчас инструментарий не позволяет. К примеру для древнего ДОС-овского PROTECT! уже сделан метод определения по EP, но пока я его тестирую и в релиз он не попал. Смысл в том, что определенные инструкции располагаются на вполне конкретных интервалах друг от друга.
Для современных полиморфов такое тоже справедливо. Плюс для них есть другие способы детекта полезного кода. Просто на данный момент инструментарий DIE не позволяет реализовать все "хотелки". hors в курсе, что-то из необходимого добавит.
Вернее, конечно могу реализовать хоть сейчас, но тогда размер файлов сигнатур будет очень большой.

| Сообщение посчитали полезным:

hypn0

t -> cs:ip если правильно помню. для $pirit есть устойчивые маски и все такое...

детекты криптоалго полезны. для x64 ничего дельного не видел. для x32 можно взять все лучшее из peid/findcrypt/cc.

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

ajax пишет:
t -> cs:ip если правильно помню
Это откуда такая радость?
Судя по коду, любое E9xxxx, EBxxFA будет срабатывать. И таких может быть много. Это не правильно. Есть много протекторов, которые используют E9 и EB, перемежая это нужными инструкциями.
В DIE специально добавили переходы по джапмам. Типа E9$$$$ или EB$$.
В данном случае нужно опознать протектор. А опознать его можно только по коду "распаковки". Я могу привести примеры разных протекторов, у которых в начале будут E9 и EB. И не важно что там старшая часть адреса указана.
ajax пишет:
для x32 можно взять все лучшее из peid
Peid в моем понимании уже всё. Он же обычный детектор по сигнатурам. Причем в него добавили кучу всякого "хлама". Когда то у меня была прога File Analyzer. Это было в начале 90-х. С какого-то момента я вынес сигнатуры во внешний файл. И вот после этого постоянно их вижу в Peid. То есть они просто взяли всё подряд и засунули себе. А то, что там была половина сигнатур от ДОС-а, это пофигу. Сигнатуры ДОС-овских прог просто "не будут бить" с точками входа виндовых файлов. Но понимал ли кто-то это, когда лепил все сигнатуры в один файл? Думаю, нет. Поэтому Peid считаю очень ненадежным детектором.

ЗЫ: Да. Я очень старый. Всей этой фигней начал заниматься еще в 1993 году. Ну может в 1994. Так что могу много чего интересного рассказать.

| Сообщение посчитали полезным:

Разрешите вставить свои 5 копеек. В свое время тоже принимал участие в написании одного анализатора. Для повышения качества детекта, вместе с сигнатурой, многие пакеры/проты нужно детектить по размерам/количеству/характеристикам секций, major/minor версии ликера, импорту и многим другим структурам PE. Возможно у вас это уже реализовано, я не знаю... Но могу сказать, что такая коллаборация значительно уменьшает количство ложных детектов.

| Сообщение посчитали полезным:

TryAga1n пишет:
многие пакеры/проты нужно детектить по размерам/количеству/характеристикам секций
Согласен полностью. Только я это называю эвристическим детектом. Некоторые вещи именно так в DIE и определяются.
Есть гарантия, что кто-то не создаст свой пакер, у которого будут похожи размеры секций, их количество и характеристики? Гарантии нет. Более того, вполне вероятно, что разработчики какого-нибудь протектора сделают именно так, чтоб детект был ложным.

| Сообщение посчитали полезным:

hypn0 пишет: Peid в моем понимании уже всё
это да. но, я писал про сигнатуры kanal
hypn0 пишет: Да. Я очень старый
2:50xx/3.xx

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

hypn0 пишет:
чем hiew не устраивает?
как диз, ни разу не юзал, как хекс уже не помню когда это было. где то лежит, а а где хз..
hypn0 пишет:
А еще IDA есть.
избыточно информативна, не мой инструмент, я всё под отладчиком разруливаю.
hypn0 пишет:
Peid в моем понимании уже всё
а он разве крипто сканит.. канал да, ещё пару плагинов. у вас же саппорт был плагов от Peid.
так то дело хорошее, всеми ногами за.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

ajax пишет:
детекты криптоалго полезны. для x64 ничего дельного не видел. для x32 можно взять все лучшее из peid/findcrypt/cc.

Всё уже есть. Кнопка "S" на главном интерфейсе, потом "crypto" и "search".
Сигнатуры можно редактировать, они лежат в текстовом документе "stuff/search/crypto.db"

-----
http://ntinfo.biz

| Сообщение посчитали полезным: ajax

hors RVA неплохо бы показывать еще для исполняемых файлов

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным: