2.05

[+] Many bugs have been fixed.
[+] JSON output in console version.
[+] No UPX build for Windows version

Full changelog: --> Link <--
How to build DiE from sources: --> Link <--

Download: --> Link <--



-----
http://ntinfo.biz

| Сообщение посчитали полезным: yashechka, hypn0, mak, RevCred, VOLKOFF, TRPD, HandMill, MarcElBichon, Bronco, BlackCode, -=AkaBOSS=-, sendersu, sefkrd, Autokent, mushr00m, =TS=, ==DJ==[ZLO], Isaev, ibmCORE, apslash, darkBLACK, Crawler, ELF_7719116, ADMIN-CRACK, Adler, Bad_guy

hors, у меня с той заглушкой под bcrypt всё работает под XP, включая Yara-модуль сканирования (DimitarSerg о моих экспериментах рассказывал). Я, видимо, не вижу зависимостей. Оно где-то позже вылезет? Потому как сейчас всё работает.

Версию для XP я проверил, всё хорошо, но повторюсь, у меня (на первый взгляд) и с Ярой работает, если поставить заглушку для bcrypt, так что урезанный вариант по ссылке у меня не прижился.

58a3_24.02.2019_EXELAB.rU.tgz - die_yara.png

| Сообщение посчитали полезным: hors

apslash пишет:
hors, у меня с той заглушкой под bcrypt всё работает под XP, включая Yara-модуль сканирования (DimitarSerg о моих экспериментах рассказывал). Я, видимо, не вижу зависимостей. Оно где-то позже вылезет? Потому как сейчас всё работает.

Версию для XP я проверил, всё хорошо, но повторюсь, у меня (на первый взгляд) и с Ярой работает, если поставить заглушку для bcrypt, так что урезанный вариант по ссылке у меня не прижился.

58a3_24.02.2019_EXELAB.rU.tgz - die_yara.png

Спасибо за тестирование. В следующей версии(2.03) будет либо Ваш вариант с заглушкой, либо перекомпиляция libcrypto специально для WinXP.

-----
http://ntinfo.biz

| Сообщение посчитали полезным: apslash

hors пишет:
Версия для WinXP, которую я выложил постом выше тоже не работает?
работает. Но при попытке запустить по любому исполняемому файлу выплёвывает диалог выбора самого die.exe.
После подтверждения естественно всё запускается и анализируется.

3920_25.02.2019_EXELAB.rU.tgz - die_context.png

| Сообщение посчитали полезным:

mushr00m
Смотрите чтоб в пути к папке программы были только латинские символы.

| Сообщение посчитали полезным: mushr00m, hors

Metabolic пишет:
чтоб в пути к папке программы были только латинские символы.
это настолько не очевидно! прошлая версия и с кириллическими дружила.

| Сообщение посчитали полезным:

mushr00m пишет:
прошлая версия и с кириллическими дружила.

Будем разбираться.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Если при поиске строк открыть любую в хекс и проскролить вверх, то между хекс полем и текстовым случится рассинхрон.

| Сообщение посчитали полезным: hors

Adler пишет:
Если при поиске строк открыть любую в хекс и проскролить вверх, то между хекс полем и текстовым случится рассинхрон.

Спасибо за тестирование. В следующей версии это будет исправлено.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Detect It Easy 2.03

[+] Windows XP support for YARA.
[+] New detects.
[+] Many bugs have been fixed.

Download DIE ver. 2.03 (Mac OS X, DMG)
Download DIE ver. 2.03 (Mac OS X, ZIP)
Download DIE ver. 2.03 (Windows)
Download DIE ver. 2.03 (Linux Ubuntu 64-bit(x64))
Download DIE DLL

-----
http://ntinfo.biz

| Сообщение посчитали полезным: plutos, v00doo, LinXP, Adler, TRPD, MarcElBichon, mak, ajax, mushr00m

hors up to Python 3.8a1 (3410)

046c_02.05.2019_EXELAB.rU.tgz - Python.1.sg

| Сообщение посчитали полезным: hors

LinXP пишет:
hors up to Python 3.8a1 (3410)

046c_02.05.2019_EXELAB.rU.tgz - Python.1.sg

Большое спасибо!

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Неправильно определяется .exe для платформы ARM64 (это точно не .Net)--> Link <--
Если выбрать Neuz File Detector определяет верно - "Compiler: Visual C/C++(19.15.27026)", но кнопка .Net все равно активна.

| Сообщение посчитали полезным: hors

Adler пишет:
Неправильно определяется .exe для платформы ARM64 (это точно не .Net)--> Link <--
Если выбрать Neuz File Detector определяет верно - "Compiler: Visual C/C++(19.15.27026)", но кнопка .Net все равно активна.

Скиньте пожалуйста этот файл мне в личку.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hors
Хекс редактор бывает часто неправильно синхронизирует панели с хекс кодами и символами. Если найду файл, на котором был баг, скину.

-----
xchg dword [eax], eax

| Сообщение посчитали полезным: hors

void, в 2.03? В предыдущих версиях был баг, я за него выше писал, что при скроле вверх рассинхрон случался, в 2.03 конкретно это пофиксено.

| Сообщение посчитали полезным:

Adler
Да, в последней, 2.03, версии.

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

Не знаю нужно или нет.
Файл скомпилен в Lazarus 2.0.2 с облегченной версией LCL (https://github.com/FChrisF/LLCL)
DiE 2.0.3 детектит так:
Free Pascal(3.0.5 [2018/08/19] for i386 - Win32)[-]
Детект с обычным LCL:
Free Pascal(3.0.5 [2018/08/19] for i386 - Win32)[Lazarus]

add. да ещё и версию компилера неправильно детектит (файл х64).
5e5c_24.05.2019_EXELAB.rU.tgz - prj_LLCL.exe

| Сообщение посчитали полезным: hors

mushr00m пишет:
Free Pascal(3.0.5 [2018/08/19] for i386 - Win32)[-]
...
add. да ещё и версию компилера неправильно детектит (файл х64).
Хм...

(файл из вложения)

| Сообщение посчитали полезным:

Adler пишет:
Хм...
ну видимо глюк. Копипасту делал из DiE.

| Сообщение посчитали полезным:

hors
HighDPI 125% (ppi 120)



85ee_25.05.2019_EXELAB.rU.tgz - 1.jpg

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным: hors

mushr00m пишет:
Не знаю нужно или нет.
Файл скомпилен в Lazarus 2.0.2 с облегченной версией LCL (https://github.com/FChrisF/LLCL)
DiE 2.0.3 детектит так:
Free Pascal(3.0.5 [2018/08/19] for i386 - Win32)[-]
Детект с обычным LCL:
Free Pascal(3.0.5 [2018/08/19] for i386 - Win32)[Lazarus]

add. да ещё и версию компилера неправильно детектит (файл х64).
5e5c_24.05.2019_EXELAB.rU.tgz - prj_LLCL.exe

Спасибо за тестирование. Будем разбираться.

Добавлено спустя 3 минуты
GPcH пишет:
hors
HighDPI 125% (ppi 120)

Спасибо.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

Я очень сильно извиняюсь, мож я невнимателен, но что-то не пойму, где находится SDK для создания своих плагинов к DiE. Или плагины там не поддерживаются?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным: hors

ARCHANGEL пишет:
Я очень сильно извиняюсь, мож я невнимателен, но что-то не пойму, где находится SDK для создания своих плагинов к DiE. Или плагины там не поддерживаются?

https://github.com/horsicq/DIE-engine/releases

В архиве версии 1.01. Папка SDK.
В новых версиях нет SDK по причине экономии места.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hors
Что нужно сделать, чтобы скомпилить дефолтный пример? Я в кутэ не силён, оно пишет D:\WORK\SOFT\DIE_1.01_win\SDK\plugins\SimpleExample\simpleexample.h:5: error: C1083: Cannot open include file: 'qpushbutton.h': No such file or directory

Если мы юзаем qmake и дефолтный qt creator, то как пофиксить?

АПДЕЙТ
Ну базовые вещи я пофиксил. Добавил такую штуку: QT += core gui widgets Ну и инклуды:
#include <QPushButton>
#include <QGridLayout>
#include <QMessageBox>

Но появилась такая фигня:
error: C2338: Old plugin system used

Ругается на вот это:
Q_EXPORT_PLUGIN2(simpleexample, SimpleExample)

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL,
я использую Visual Studio 2017, там гораздо легче, на мой взгляд.
Попробуй, сам увидишь!

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos
Там это без разницы, если всё компилится из коробки. Если нет, то становится вопросом, как редактировать сценарии для qmake, если проект изначально не поддерживал cmake. Плюс сейчас проблема в старом и новом интерфейсе для плагинов. --> Вот <-- тут описывают разработку плагина, но мне неясно, будет ли такой плагин работать с самим Даем? Если дай рассчитывал на старый интерфейс, а тут ему новый. Непонятно.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

Тест на протекторах, определение OEP:

- Safeengine
- Themida
- Armadillo
- Aspack
- Asprotect
- Obsidium
+ Pecompact
- Privexeprot
- UPX
- VMP
- YC
- Enigma
- Mpress
- Nice
- Nspack
- Winlic
- Pelock
- Winunpack
- Mew

Не рабочее говно.

Добавлено спустя 9 минут
Из этих не определяет:

Nice
Pelock
Safeengine

pecompact - верно определена EP, но EP = OEP. Тоесть этот тулз не определяет OEP, а показывает значение из заголовка PE. Зачем это нужно хз.

-----
vx

| Сообщение посчитали полезным:

difexacaw
Мне оно нужно не для этого

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL

А зачем вам это ?

В общем не понимаю накой вообще определять протектор. Это не имеет смысла. Норм анпакер может справиться с другим протектором, не на который расчитан. Полезность этого тулза нулевая, разве что указать протектор в теме запросов на взлом.

-----
vx

| Сообщение посчитали полезным:

difexacaw
Для своих девелоперских нужд делаю плагин, чтобы клацать пкм по исполняемому файлу, потом выбирать плагин и в нём жать "Сделать офигенненько". Параллельо для справки буду смотреть версию компилятора, чтобы на вообще всякой ненужной шняге кнопушку не жать.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным: