Сейчас на форуме: bartolomeo, -Sanchez-, morgot, sashalogout (+5 невидимых) |
eXeL@B —› Софт, инструменты —› Detect It Easy 2.0 |
<< . 1 . 2 . 3 . 4 . 5 . 6 . >> |
Посл.ответ | Сообщение |
|
Создано: 03 августа 2018 19:32 · Поправил: hors · Личное сообщение · #1 2.05 [+] Many bugs have been fixed. [+] JSON output in console version. [+] No UPX build for Windows version Full changelog: How to build DiE from sources: Download: ----- http://ntinfo.biz | Сообщение посчитали полезным: yashechka, hypn0, mak, RevCred, VOLKOFF, TRPD, HandMill, MarcElBichon, Bronco, BlackCode, -=AkaBOSS=-, sendersu, sefkrd, Autokent, mushr00m, =TS=, ==DJ==[ZLO], Isaev, ibmCORE, apslash, darkBLACK, Crawler, ELF_7719116, ADMIN-CRACK, Adler, Bad_guy |
|
Создано: 11 августа 2018 14:09 · Личное сообщение · #2 |
|
Создано: 11 августа 2018 22:44 · Личное сообщение · #3 |
|
Создано: 12 августа 2018 10:59 · Личное сообщение · #4 |
|
Создано: 12 августа 2018 11:27 · Личное сообщение · #5 |
|
Создано: 12 августа 2018 11:40 · Личное сообщение · #6 |
|
Создано: 12 августа 2018 11:42 · Личное сообщение · #7 |
|
Создано: 12 августа 2018 12:07 · Личное сообщение · #8 SDK А как оно должно работать? Точка входа куда-то не туда указывает. У меня под Win7x64 падает. Похоже что файл битый. Добавлено спустя 3 минуты BlackCode пишет: до конца года ждать апдейт? Апдейт чего? Новую версию? Не знаю. Сейчас по плану переход на новую Qt и кое-какие изменения в движке. Но это может много времени занять. Если что-то конкретное и небольшое надо исправить, то вполне можно до конца года еще что-нибудь выпустить. Но вроде и так всё хорошо работает. |
|
Создано: 12 августа 2018 12:11 · Личное сообщение · #9 |
|
Создано: 12 августа 2018 12:22 · Поправил: hypn0 · Личное сообщение · #10 SDK Ааа.. Там tls callback, сразу не увидел. Поэтому EP черте-куда смотрит, так как не нужна. Добавлю определение. А что касается распаковки, когда-нибудь в xvlk обязательно появится. Но очень не скоро, так как это всё самоделки и в единственном экземпляре. Добавлено спустя 6 минут SDK пишет: RGD возьми для полного комплекта Кстати не панацея. У меня десятки, если не сотни файлов лежат, накрытые непонятно чем и ни RDG, ни PiD, ни остальные не знают что это такое. Можно конечно добавлять их как unknown cryptor, но не хочу. А с другой стороны рано или поздно придется. | Сообщение посчитали полезным: SDK |
|
Создано: 12 августа 2018 13:42 · Личное сообщение · #11 |
|
Создано: 12 августа 2018 15:23 · Поправил: hors · Личное сообщение · #12 BlackCode пишет: Апдейт интерфейса. Малость напрягает, что контрол с инфой не обновляется. По сигнатурам все замечательно. Попробуй заново скачать программу отсюда: ----- http://ntinfo.biz |
|
Создано: 12 августа 2018 17:25 · Личное сообщение · #13 |
|
Создано: 12 августа 2018 18:16 · Личное сообщение · #14 |
|
Создано: 12 августа 2018 22:02 · Личное сообщение · #15 |
|
Создано: 12 августа 2018 22:43 · Личное сообщение · #16 |
|
Создано: 12 августа 2018 23:59 · Личное сообщение · #17 Bronco пишет: а текущая версия Qt, в проекте, не способна масштабировать? На гитхабе кто-то написал как можно починить. Какую-то пользовательскую переменную надо указать. Проверим. Bronco пишет: диз почините.. А что с ним не так? Вроде работает. Да и пользуется ли им кто-то вообще? Он же не годится для использования от слова вообще. Там ни в процедуры не войти, ни подсветки. Просто тупо диз и всё. Да и сомневаюсь, что его надо до ума доводить. Есть ведь hiew, есть ida, на худой конец. Конечно можно сделать конфетку, но целесообразно ли это? |
|
Создано: 13 августа 2018 12:14 · Личное сообщение · #18 |
|
Создано: 13 августа 2018 19:05 · Личное сообщение · #19 |
|
Создано: 13 августа 2018 22:24 · Поправил: Bronco · Личное сообщение · #20 hypn0 пишет: Кинь свой файл die.ini. хм...не дам.. буду страдать с таким дизом.. а если без юмора, то сниф первая тулза, которая мне показала х64 код во всей доступной красе. до этого юзал ShadowOllyDbg и немножЕчко SoftIceXP, и про отладчик Mr.eXoDia x64 dbg ничего не знал. ----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
Создано: 17 августа 2018 17:38 · Личное сообщение · #21 Господа! Может имеет смысл добавить определение не только протекторов/компиляторов, а что-то еще (какие-то специфические библиотеки, API ключей защиты и т.п.)? Кому что нужно, пишите, не стесняйтесь. Добавлю. P.S. Кстати сейчас ключи защиты определяются в режиме "Deep Scan" (включается в настройках, по умолчанию выключено). Добавлено спустя 5 минут Bronco пишет: буду страдать с таким дизом.. Да поправим, не переживай. Только вот непонятно, чем hiew не устраивает? Или то, как он x64 показывает ты даже не видел? А еще IDA есть. Там вообще всё красиво. Bronco пишет: до этого юзал ShadowOllyDbg и немножЕчко SoftIceXP Я AFD и Turbo Debugger когда-то давно использовал, еще отладчик в CUP-е. Так что ты меня своими "друганами" не испугаешь. |
|
Создано: 17 августа 2018 18:26 · Личное сообщение · #22 |
|
Создано: 17 августа 2018 18:43 · Личное сообщение · #23 v00doo Отделить можно. Только как их опознавать? Я вот вообще не в курсе, у них там какие-то свои API используются или как? Насколько я понимаю, это игрушки. Игрушки распространяются через каких-то дистрибьюторов. У них есть какая-то защита? Вроде нет, за исключением Stream-а. Хотя я далек от игрушек, не знаю. От пары образцов каждого сервиса не отказался бы. Или ссылки где можно взять. Но в принципе хотелось бы узнать что нужно людям. Игрушки это одно, а вдруг кому-то нужны детекты криптобиблиотек не по константам, а по коду, и т.п. Просто чтоб знать куда двигаться дальше. Как вариант можно двигаться в направлении TRiD-а и опознавать разные неисполняемые файлы. Тут поле для деятельности гигантское, но смысла особого нет. Добавлено спустя 12 минут Да.. Сейчас есть проблема с детектом полиморфных крипторов. Фактически добавляю сигнатуры каждого встреченного образца. Это неправильно. Но по другому сложно. Я сторонник детектов по точке входа. А с полиморфами такое не пройдет. Но... Есть способы определять полиморфы по точке входа, только сейчас инструментарий не позволяет. К примеру для древнего ДОС-овского PROTECT! уже сделан метод определения по EP, но пока я его тестирую и в релиз он не попал. Смысл в том, что определенные инструкции располагаются на вполне конкретных интервалах друг от друга. Для современных полиморфов такое тоже справедливо. Плюс для них есть другие способы детекта полезного кода. Просто на данный момент инструментарий DIE не позволяет реализовать все "хотелки". hors в курсе, что-то из необходимого добавит. Вернее, конечно могу реализовать хоть сейчас, но тогда размер файлов сигнатур будет очень большой. |
|
Создано: 17 августа 2018 19:20 · Поправил: ajax · Личное сообщение · #24 hypn0 Code:
t -> cs:ip если правильно помню. для $pirit есть устойчивые маски и все такое... детекты криптоалго полезны. для x64 ничего дельного не видел. для x32 можно взять все лучшее из peid/findcrypt/cc. ----- От многой мудрости много скорби, и умножающий знание умножает печаль |
|
Создано: 17 августа 2018 20:12 · Поправил: hypn0 · Личное сообщение · #25 ajax пишет: t -> cs:ip если правильно помню Это откуда такая радость? Судя по коду, любое E9xxxx, EBxxFA будет срабатывать. И таких может быть много. Это не правильно. Есть много протекторов, которые используют E9 и EB, перемежая это нужными инструкциями. В DIE специально добавили переходы по джапмам. Типа E9$$$$ или EB$$. В данном случае нужно опознать протектор. А опознать его можно только по коду "распаковки". Я могу привести примеры разных протекторов, у которых в начале будут E9 и EB. И не важно что там старшая часть адреса указана. ajax пишет: для x32 можно взять все лучшее из peid Peid в моем понимании уже всё. Он же обычный детектор по сигнатурам. Причем в него добавили кучу всякого "хлама". Когда то у меня была прога File Analyzer. Это было в начале 90-х. С какого-то момента я вынес сигнатуры во внешний файл. И вот после этого постоянно их вижу в Peid. То есть они просто взяли всё подряд и засунули себе. А то, что там была половина сигнатур от ДОС-а, это пофигу. Сигнатуры ДОС-овских прог просто "не будут бить" с точками входа виндовых файлов. Но понимал ли кто-то это, когда лепил все сигнатуры в один файл? Думаю, нет. Поэтому Peid считаю очень ненадежным детектором. ЗЫ: Да. Я очень старый. Всей этой фигней начал заниматься еще в 1993 году. Ну может в 1994. Так что могу много чего интересного рассказать. |
|
Создано: 17 августа 2018 20:26 · Личное сообщение · #26 Разрешите вставить свои 5 копеек. В свое время тоже принимал участие в написании одного анализатора. Для повышения качества детекта, вместе с сигнатурой, многие пакеры/проты нужно детектить по размерам/количеству/характеристикам секций, major/minor версии ликера, импорту и многим другим структурам PE. Возможно у вас это уже реализовано, я не знаю... Но могу сказать, что такая коллаборация значительно уменьшает количство ложных детектов. |
|
Создано: 17 августа 2018 20:40 · Личное сообщение · #27 TryAga1n пишет: многие пакеры/проты нужно детектить по размерам/количеству/характеристикам секций Согласен полностью. Только я это называю эвристическим детектом. Некоторые вещи именно так в DIE и определяются. Есть гарантия, что кто-то не создаст свой пакер, у которого будут похожи размеры секций, их количество и характеристики? Гарантии нет. Более того, вполне вероятно, что разработчики какого-нибудь протектора сделают именно так, чтоб детект был ложным. |
|
Создано: 18 августа 2018 10:12 · Личное сообщение · #28 |
|
Создано: 18 августа 2018 12:44 · Личное сообщение · #29 hypn0 пишет: чем hiew не устраивает? как диз, ни разу не юзал, как хекс уже не помню когда это было. где то лежит, а а где хз.. hypn0 пишет: А еще IDA есть. избыточно информативна, не мой инструмент, я всё под отладчиком разруливаю. hypn0 пишет: Peid в моем понимании уже всё а он разве крипто сканит.. канал да, ещё пару плагинов. у вас же саппорт был плагов от Peid. так то дело хорошее, всеми ногами за. ----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
Создано: 18 августа 2018 19:18 · Личное сообщение · #30 ajax пишет: детекты криптоалго полезны. для x64 ничего дельного не видел. для x32 можно взять все лучшее из peid/findcrypt/cc. Всё уже есть. Кнопка "S" на главном интерфейсе, потом "crypto" и "search". Сигнатуры можно редактировать, они лежат в текстовом документе "stuff/search/crypto.db" ----- http://ntinfo.biz | Сообщение посчитали полезным: ajax |
|
Создано: 20 августа 2018 14:09 · Личное сообщение · #31 |
<< . 1 . 2 . 3 . 4 . 5 . 6 . >> |
eXeL@B —› Софт, инструменты —› Detect It Easy 2.0 |