покавыряв в течение 2-ух дней проги с аспром, наконец научился нормально различать версии, почти до билдов... только есть одна маленькая проблемма... автоматизировать это всё...
т.е. есть, штук 30 сигнатур, которые надо искать по всему файлу... что я только не
пробовал, но всё равно pe-id ищет намного быстрее... я уж хз... может кто подскажет
алгоритм или норм компонент для этого, а то у меня уже крыша едет... хоть что нибудь... (delphi, asm)

[ ой млять... не туда запостил, в программирование надо, плиз перенесите! ]

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Можно использовать функцию BMBinSearch (или как то так) реализация есть в MASM(afair реализация немного кривая )

| Сообщение посчитали полезным:

Spiteful пишет:
BMBinSearch

сдётся мне BM - это Boyer-Moor гы... алгорит то быстрый...
но он вроде, только со строками работает... (точнее видел только такие)
реализации у меня есть... только как бы весь в файл в строку, так
аккуратно перевести...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

А ты свой сюда кидай, может общими усилиями и оптимизируем...

| Сообщение посчитали полезным:

Hellspawn пишет:
сдётся мне BM - это Boyer-Moor гы... алгорит то быстрый...
но он вроде, только со строками работает...
Может ты BMBinSearch тоже попробуешь расшифровать ;)

| Сообщение посчитали полезным:

Spiteful пишет:
Может ты BMBinSearch тоже попробуешь расшифровать ;)

да тут всё понятно.... только есть несколько но....

www.wasm.ru/forum/action=vthread&forum=3&topic=9972&page=2

меня расстроило прочитанное....
и плюс... вставлять этот алго ввиде асм встаки? эх...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
может кто подскажет алгоритм

h**p://w*w-igm.univ-mlv.fr/~lecroq/string/node19.html

| Сообщение посчитали полезным:

А я бы сказал так
xtin.km.ru/files/patreplace.cpp

Быстрый, надёжный, хороший формат сингатур, вобщем - самое то.

| Сообщение посчитали полезным:

ок, спасибо хоть на этом млин, всё на си, почему нам в инсте только
в этом семестре начали си преподовать лан, буду пытаться переводить...

хм... http://xtin.km.ru/files/patreplace.cpp http://xtin.km.ru/files/patreplace.cpp - это же plugin, только меня смущает одно,
"This plugin replaces hex patterns" - замена образцов? может кто откомпилит?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Bit-hack пишет:
xtin.km.ru/files/patreplace.cpp

Возможно, это работает. Но к топику отношения не имеет. "Быстрый" поиск - это всегда один из вариантов BM. Если не нравится предложенный ранее (IMHO, очень удачный) - здесь были ASM- реализации: h**p://w*w.collakesoftware.com (сайт временно недоступен)


aece_Boyer_Moore+strstr+implementation+by+Jeremy+Collak e.rar.zip

| Сообщение посчитали полезным:

gazlan пишет:
Возможно, это работает. Но к топику отношения не имеет. "Быстрый" поиск - это всегда один из вариантов BM. Если не нравится предложенный ранее (IMHO, очень удачный) - здесь были ASM- реализации: h**p://w*w.collakesoftware.com (сайт временно недоступен)

да не вопрос... дело не в нравится, не нравится надо будет это всё в прогу
вапхать, которая написана на дельфях, в этом и есть вся трабла....

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Насамом деле чтобы узнать точно билд нужно раскриптовать/распаковать аспровую dll, все отсальное это шаманство с бубном неимеющее под собой практически никакого научного обоснования.

| Сообщение посчитали полезным:

gazlan, не могу скачать твой аттач (пробел убрал - пофигу)

| Сообщение посчитали полезным:

DrGolova пишет:
Насамом деле чтобы узнать точно билд нужно раскриптовать/распаковать аспровую dll, все отсальное это шаманство с бубном неимеющее под собой практически никакого научного обоснования.

возможно, я и не заявляю, что это всё научно, просто установил некоторую закономерность вхождения сигнатур... и ничего не распаковывая я могу сказать почти точно версию аспра и возможно билд! не во всех случаях конечно... всё равно я добавлю этот метод детекта с своему анализатору... а пользоваться или нет, это решит каждый для себя...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Av0id пишет:
gazlan, не могу скачать твой аттач (пробел убрал - пофигу)
надо еще плюсы на пробелы заменить
http://exelab.ru/f/files/aece_Boyer_Moore strstr implementation by Jeremy Collake.rar.zip

| Сообщение посчитали полезным:

Av0id пишет:
не могу скачать

Правка недоступна (?!"). Залил "расширеннвый" вариант.


7b10_bm.rar.zip

| Сообщение посчитали полезным:

собственно, в продолжение темы..
заюзал агло www.rsdn.ru/article/alg/textsearch.xml#EEBAC

в 7мб файле ищется меньше, чем пол секунды
но это только 1 сигнатура.. терь вопрос, как лучше организовать поиск нескольких сигнатур?
ведь каждый раз прочёсывать файл это не прикольно...

я вот что сделал, читаю в буфер [1..8192] of byte кусочками из файла,
прочёсываю буфер на все сигны и т.д. может кто ещё что-нить подскажет?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn, поделись сигнами для аспра, а то у меня все 1.х-2.х...

-----
may all your PUSHes be POPed!

| Сообщение посчитали полезным:

может вы объедините свои усилия и набросаете толковый аналог peid?

| Сообщение посчитали полезным:

хех... дык уже вроде объединились, ща ток Hellspawn'у некогда.

-----
may all your PUSHes be POPed!

| Сообщение посчитали полезным:

...в продолжение темы:
www.vbstreets.ru/VB/Articles/66292.aspx

правда на ВБ

| Сообщение посчитали полезным:

d1v0x пишет:
...в продолжение темы:
www.vbstreets.ru/VB/Articles/66292.aspx

ой какой ужас +) если так каждый начнет писать...
я терь ночью спать не буду...

Guru_eXe пишет:
ща ток Hellspawn'у некогда.

если б не инст.... лан скоро релиз

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
научился нормально различать версии, почти до билдов...
Тогда подскажи, какой билд аспра у hxxp://www.whitetown.com/download/cdbfw.zip

| Сообщение посчитали полезным:

tar4
Ты ломаешь эту программу?
Насколько я помню там заказной аспр, таким запаковоны ещё 4-5программ на моей памяти. Просто сдампить ЕХЕ мало, нужно дампить ещё как минимум 2 секции памяти и как то их прикреплять к дампу

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

nice пишет:
Ты ломаешь эту программу
Еще не приступал, присматриваюсь. Хочу сначала определиться с билдом и типом защиты. А что значит заказной? Разве там может быть что-то еще, чего нет билде?

| Сообщение посчитали полезным:

Hellspawn пишет:
но это только 1 сигнатура.. терь вопрос, как лучше организовать поиск нескольких сигнатур?
ведь каждый раз прочёсывать файл это не прикольно...

я вот что сделал, читаю в буфер [1..8192] of byte кусочками из файла,
прочёсываю буфер на все сигны и т.д. может кто ещё что-нить подскажет?

GOOGLE !

www.google.ru/search?q=aho-corasic&start=0&ie=utf-8&oe=utf-8&client=firefox-a&rls=org.mozilla:ru:official

| Сообщение посчитали полезным:

tar4
В программах такого плана идут вызовы
call [eax]; eax=008DAAEE
и если сдампить EXE, этой секции не будет, соот-но программа упадет...
таких мест в программе полно, адреса секций изменяются

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

Судя по VM там либо 1.31..1.34 либо действительно перекомпиленая 2.11 SKE

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

nice пишет:
В программах такого плана идут вызовы
call [eax]; eax=008DAAEE
Спасибо предупреждение, я знаю как с этим бороться.

PE_Kill пишет:
Судя по VM там либо 1.31..1.34 либо действительно перекомпиленая 2.11 SKE
Хотелось бы точнее. Все-таки в них некоторые апи аспра в них отличаются.

| Сообщение посчитали полезным:

tar4
Поделись знаниями, я собирался жестко пришить секции к файлу...

Мне простто эта прога нужна самому по роду деятельности

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным: