Есть желание написать что-то типа анализатора кода. Какие-то результаты есть, теперь думаю в каком направлении продолжать работу и будет ли это вообще кому-то нужно. Пока пытаюсь разобрать выражения, получается что-то типа такого (компилятор - delphi):
Было:
a:=((was.al+10) shr 1)-was.al;
a:=(was.al-((50-was.al xor 10) shr 1)+was.al) xor $ff;
Z:=(a shr 1) and (a shl 1);
Стало:
A=((([456BD8h+1Ch]+Ah) shr 1h)-[456BD8h+1Ch])
A=((([456BD8h+1Ch]-(((32h-[456BD8h+1Ch]) xor Ah) shr 1h))+[456BD8h+1Ch]) xor FFFFFFFFh)
B=((A shr 1h) and (A+A))
Еще вопрос: если ли какие либо алгоритмы по определению параметров функций (через стек или регистры передаются, без типов на уровне byte/word/dword)? Мысли есть, но вдруг я зациклился и есть другие варианты..

| Сообщение посчитали полезным:

Идея неплохая. Если выражения уже разбирать научился, то я думаю следует приступить к языковым конструкциям(циклы условия и прочее). И про отступы не забывай
Так же есть довольно приличная разработка на эту тему: www.backerstreet.com/rec/rec.htm
Наверняка есть и другие подобные, я не искал.

| Сообщение посчитали полезным:

Malice
Слушай, а зачем тебе это?

-----
My love is very cool girl.

| Сообщение посчитали полезным:

BUGOR пишет:
Так же есть довольно приличная разработка
Rec видел, но он под определенный компилятор заточен, поэтому там так лихо switch-и и циклы находятся, да и регистры остаются. Хотелось бы универсальности..

theCollision пишет:
Слушай, а зачем тебе это?
Хз, интересно очень, подсел можно сказать

| Сообщение посчитали полезным:

на васме, кто-то выкладывал(не пмоню уже кто) "разборщик" if, while, switch %)

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

Malice
А почему бы не напривить движение в более нужное русло?
К примеру поиск ситуаций могущих привести в исходном коде к ошибке переполнения буфера.

Нужная штука, как для тех кто хакает, так и для тех кто пишет ПО связанной с работой по локальной\глобальной сети!

-----
My love is very cool girl.

| Сообщение посчитали полезным:

Malice
Идея неплохая. Былобы хороше разбор, распознования алгоритма шифрования. Былобы полезно для моментов когда статический ключ шифрования.

| Сообщение посчитали полезным:

Malice пишет:
если ли какие либо алгоритмы по определению параметров функций (через стек или регистры передаются, без типов на уровне byte/word/dword)?

Какой тут может быть алгоритм... Смотришь в функе, что есть чтение регистра без его предварительной модификации - значит в нём параметр передан извне. Так же и со стековыми параметрами - чтение через esp\ebp.

| Сообщение посчитали полезным:

S_T_A_S_ пишет:
Какой тут может быть алгоритм... Смотришь в функе, что есть чтение регистра без его предварительной модификации - значит в нём параметр передан извне. Так же и со стековыми параметрами - чтение через esp\ebp.
Так и есть, в принципе. Только это надо рекурсивно делать, т.к. переданный в регистре параметр может быть использован в качестве параметра для другой функции внутри данной ( т.е. обращение к регистру в самой функции может и не быть). С возвращаемыми параметрами еще хуже, т.к. функция может просто портить регистры. Да еще компиляторы могут разорвать процедуру, куском-то оно легче

| Сообщение посчитали полезным:

Malice пишет:
переданный в регистре параметр может быть использован в качестве параметра для другой функции внутри данной ( т.е. обращение к регистру в самой функции может и не быть)

Ты такое хоть раз видел? Теоретически такая ситуация возможна, но на практике компиляторы так не сделают (из-за технических сложностей для оптимизатора).

Malice пишет:
С возвращаемыми параметрами еще хуже, т.к. функция может просто портить регистры

Если регистр используется без инициализации после вызова функции - возможно, в нём возвращено значение. Однако регистры ebx/edi/esi/ebp не модифицируются функциями скомпилированными MSVC, так что необходим анализ вызываемой функции. Проще всего тупо заложиться на calling convention - значения возвращаются в eax и (возможно) edx.

Malice пишет:
Да еще компиляторы могут разорвать процедуру, куском-то оно легче

Анализатор должен смотреть на поток команд, а не просто читать байты подряд Если кусок функции перемещен, то на него будет JMP\Jcc.

| Сообщение посчитали полезным:

S_T_A_S_ пишет:
Ты такое хоть раз видел? Теоретически такая ситуация возможна, но на практике компиляторы так не сделают (из-за технических сложностей для оптимизатора).
вот пример на Delphi7:
function x1(x:dword):dword;
begin x1:=x+1; end;
function x2(x:dword):dword;
begin x2:=x1(x); end;
...
i:=x2(1);
Вот что получилось:
0045F7A8: 40 inc eax //x1
0045F7A9: C3 ret
0045F7AC: E8F7FFFFFF call 0045F7A8h //х2
0045F7B1: C3 ret
т.е. для функции х2 как раз такая ситуация..

| Сообщение посчитали полезным:

Мда, про оптимизатор дельфи много чего слышал, но такого еще не видел 2ю функцию вообще компилировать не надо, еще на стадии анализа AST видно, что вместо неё следует вызывать 1ю.

Вообще-то сам алго распознавания параметров не изменится, подниматься выше по дереву вызовов нужно только что бы определить октуда передаётся параметр.

| Сообщение посчитали полезным:

Гляньте - мож в помощь, сам ещё не юзал, заглянул тут на сайт
а там прога лежит - даже не ожидал
www.microapl.co.uk/download/Relogix86UserManual.pdf
www.microapl.co.uk/download/RelogixWhitePaper.pdf
и rlx86v1.4.9 в архиве запароленном, но password находится быстро.
www.microapl.co.uk/download/ForDirk25Aug06.zip

| Сообщение посчитали полезным:

Ratinsh пишет:
Гляньте - мож в помощь, сам ещё не юзал, заглянул тут на сайт
Да, спасибо, вещь интересная. Только она исходники парсит, но userManual почитаю..

| Сообщение посчитали полезным:

Да дейсвительно интересно надо посмотреть... а пароль и впрям быстро находиться =) 10 секунд и готово

| Сообщение посчитали полезным:

кста появилась следующая
www.microapl.co.uk/download/ForDirk25Jan07.zip

| Сообщение посчитали полезным:

Ratinsh пишет:
кста появилась следующая
www.microapl.co.uk/download/ForDirk25Jan07.zip

пароль на архив?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Dirk1
гавариле же что быстра падбираеццо

-----
SaNX

| Сообщение посчитали полезным:

елки-палки, а чем вы за 10 секунд то находите? что за прога?

| Сообщение посчитали полезным:

egorovshura
йа юзаю visual zip password recovery. Падабралось ни за 10 секунд канешна, но за пару минут падабралось точна

-----
SaNX

| Сообщение посчитали полезным:

egorovshura пишет:
елки-палки, а чем вы за 10 секунд то находите?

В старых реализациях зипа пароль ищется очень быстро.
Как пример: ELCOMSOFT Advanced ZIP Password Recovery.

| Сообщение посчитали полезным:

http_//www.microapl.co.uk/download/ForDirk21Feb07.zip

| Сообщение посчитали полезным:

http_//www.microapl.co.uk/download/ForDirk15March07.zip

| Сообщение посчитали полезным:

Тогда уж проще так
хуттп://www.microapl.co.uk/download/


-----
Computer Security Laboratory

| Сообщение посчитали полезным:

что-то ни одна ссылка не работает
в хуттп://www.microapl.co.uk/download/ тоже ничего похожего нет


очень хочется попробовать программу, может не трудно будет кто уже скачал ее куда-нибудь выложить?

| Сообщение посчитали полезным:

driver73, не гони, все ссылки работают, не понятно как работает сама программа

| Сообщение посчитали полезным:

Ну как же они работают, если ссылки
hxxp://www.microapl.co.uk/download/ForDirk25Jan07.zip
hxxp://www.microapl.co.uk/download/ForDirk21Feb07.zip
hxxp://www.microapl.co.uk/download/ForDirk15March07.zip
дают "Page not found"
а в хуттп://www.microapl.co.uk/download/ лежит только это:
Parent directory
Demo68.html 3 Oct 06 08:42 4.2Kb
Demo68Kto86.html 3 Oct 06 08:42 3.9Kb
Demo86.html 3 Oct 06 08:42 4.5Kb
MicroAPLmap.pdf 3 Oct 06 08:42 355.0Kb
Mimic68.pdf 3 Oct 06 08:42 115.5Kb
Mimic68mc.pdf 3 Oct 06 08:42 93.2Kb
Relogix68KUserManual.pdf 27 Nov 06 14:00 461.7Kb
Relogix86UserManual.pdf 27 Nov 06 14:01 405.1Kb
RelogixWhitePaper.pdf 3 Oct 06 08:43 253.8Kb
aplx_linux_pe_11.tgz 20 Feb 07 14:52 9.5Mb
aplx_mac_2_0_9_updater.hqx 1 Sep 04 11:12 1.4Mb
aplx_mac_3_1_1_updater.hqx 3 Oct 06 08:45 1.9Mb
aplx_mac_demo_30.hqx 3 Oct 06 08:48 12.1Mb
aplx_mac_demo_35.dmg 12 Mar 07 17:42 13.5Mb
aplx_support_20.zip 3 Oct 06 08:48 1.7Mb
aplx_support_30.zip 3 Oct 06 08:48 1.9Mb
aplx_update_2_0_9.exe 30 Jul 04 14:11 1.3Mb
aplx_update_3_2_1.exe 26 Feb 07 16:06 1.5Mb
aplxlinux.gz 3 Oct 06 08:51 1.7Mb
pa68kto86.pdf 3 Oct 06 08:51 319.8Kb
pa68ktoppc.pdf 3 Oct 06 08:51 282.1Kb
pa86demo_win.zip 3 Oct 06 08:51 1.3Mb
pa86toppc.pdf 3 Oct 06 08:51 229.8Kb
pademo68.zip 3 Oct 06 08:52 1.7Mb
pademo68kto86.zip 3 Oct 06 08:52 1.8Mb
setup_aplx_win_demo.exe 16 Feb 07 17:23 13.5Mb

или тут хитрость какая есть?

| Сообщение посчитали полезным:

driver73
Ну значит еще не выложили или уже просекли и переложили в другу папку.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

_

| Сообщение посчитали полезным:

theCollision пишет:
Malice
А почему бы не напривить движение в более нужное русло?
К примеру поиск ситуаций могущих привести в исходном коде к ошибке переполнения буфера.

Нужная штука, как для тех кто хакает, так и для тех кто пишет ПО связанной с работой по локальной\глобальной сети!

Ну да было бы супер ...или хотябы поддержка плагинов ...а там уже может что и будет ......а ты вооюще видел такую прогу в своем роде ...или таких нет вообще ? я тоже думал написать ...но как то времени не было ...но вот его больше стало ..инфу нарыть о всех методах переполнения ..и в путь ...но пример был бы кстати

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным: