eXeLab
eXeL@B DVD 2017 !

Курс видеоуроков КРЭКЕРСТВО + ПРОГРАММИРОВАНИЕ 2017
(актуальность: май 2017)
Свежие инструменты, новые видеоуроки!

  • 400+ видеоуроков
  • 800 инструментов
  • 100+ свежих книг и статей

УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Нанимаем реверс-инженеров на постоянной основе
Русский / Russian English / Английский

Сейчас на форуме: cevile (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Обсуждение статей —› [ Erfaren ] Полная перекомпиляция программы write.exe или тестируем демо-версию IdaPro 5.6
. 1 . 2 . >>
Посл.ответ Сообщение
Bad_guy


Ранг: 530.5 (!)
Статус: Администратор
Создатель CRACKL@B

Создано: 22 ноября 2010 00:12 New!
· Личное сообщение · #1
Erfaren

Ранг: 10.0 (новичок)
Статус: Участник

Создано: 24 ноября 2010 10:06 New!
· Личное сообщение · #2

Опубликовано продолжение данной статьи Полная перекомпиляция простых exe-программ или тестируем демо-версию IdaPro 5.7.

Аннотация

Мы лишний раз убедились насколько хорош замечательный инструмент Ильфака Гильфанова IdaPro v. 5.7 demo. Тем более, можно рекомендовать приобрести его коммерческую версию. Но даже в демо варианте это действительно мощный инструмент. Тем не менее, хотелось бы опробовать это средство на чем-то по-настоящему реальном, на какой-нибудь достаточно большой серьезной программе. Вопрос только в том, какая это должна быть программа, чтобы с одной стороны, она была достаточно интересной и полезной, а с другой, чтобы ее исследование не ущемляло ничьих прав. Вы можете высказать по этому поводу свое мнение.

Примечание

К данному тексту приложен файл IdaPro57Test.zip (измените расширение в zip), с результатами тестирования. Можно также посмотреть pdf-версию этой статьи.
Erfaren

Ранг: 10.0 (новичок)
Статус: Участник

Создано: 24 ноября 2010 10:07 New!
· Личное сообщение · #3

Опубликована новая статья «Создание универсальных def и lib-файлов для «чужих» dll».

Введение
Проблема заключается в том, что использование стандартных lib-файлов от Майкрософт иногда приводит к ошибкам компиляции ассемблерного кода (например, сгенерированного дизассемблером IdaPro), связанных с отсутствием адекватных определений функций в файлах библиотек. Кроме того, иногда возникает необходимость вызова функций по ординалам, что фактически сводится к вопросу вызова функции по ее псевдоимени или адресу.

. . .

Выводы


Понятно, что представленное решение не является идеальным, И для новых проектов может потребоваться дополнительная правка def-файлов. Однако думается, что это будет вполне обозримым по трудоемкости. В любом случае, встречные предложения по совершенствованию техники создания собственных def и lib-файлов для различных dll только приветствуются.

Примечание

К данному тексту приложен файл CreatingLibFiles.003 (измените расширение в zip), с результатами тестирования. Можно также посмотреть pdf версию этой статьи.
Erfaren

Ранг: 10.0 (новичок)
Статус: Участник

Создано: 11 января 2011 20:38 New!
· Личное сообщение · #4

Опубликована новая статья «Как сохранить дизассемблерный листинг в IdaPro v.6.0 demo?».

Введение

Ильфак Гильфанов, создатель знаменитого дизассемблера IdaPro не перестает удивлять нас своим творением. На этот раз мы можем тестировать его новую версию 6.0. Она весьма существенно отличается от предыдущих переходом с платформы разработки Borland C++ на платформу Qt v.4.6.3.0. Внешне это выражается в более изящном и удобном интерфейсе, одинаковом для различных операционных систем. Что конечно немаловажно, но для нас более существенным является качество дизассемблирования программ. Посмотрим, что на этот раз приготовил нам наш творец. К сожалению, первое, что бросается в глаза, относится к плохой новости. Ильфак, в шестой версии, заблокировал нашу лазейку по сохранению листинга кода через буфер обмена. То, что он сделал это только в последней версии, заставляет подозревать его в чтении наших предыдущих статей, где мы описывали этот способ работы с дизассемблерным кодом . Т.е. копировать можно, но не более нескольких килобайт, что для многомегабайтных «простынь» кода совершенно не приемлемо. И что нам теперь делать? Как тестировать его любимое детище? Не покупать же данную программу только ради тестирования! Конечно, выход в данном случае мы все-таки найдем, обратив внимание на средства автоматизации IdaPro. А если наш любимый автор вырубит поддержку скриптов и плагинов в следующей версии? Допустим, мы опять найдем выход. Тогда Ильфак может пойти по пути фирмы «1С», которая уже давно не выпускает демо-версии своих продуктов, только демо-ролики . Так что запасайтесь на всякий случай нынешними шестыми демо-версиями впрок, а то чем черт не шутит .

. . .

Выводы


Хочется надеяться, что эта статья не послужит поводом для Ильфака Гильфанова закрыть в его демо-версиях возможность использования скриптов и плагинов.

Очевидно, что использование плагинов существо более эффективно, чем применение скриптов практически при том же уровне сложности работы. Конечно для этого нужно иметь IDA SDK последних версий и компилятор С++. Но что нам мешает применить Интернет в личных целях ? Эффективность плагинов заставляет пересмотреть наше отношение к внешним скриптам. Можно попытаться с их помощью проделать туже работу, что и в первых трех статьях и даже автоматизировать процесс восстановления бинарного кода программ (на уровне ассемблера) настолько, насколько это возможно. Так что для будущих статей темы всегда найдутся .

Примечание

К данному тексту приложен файл SaveListing.004 (измените расширение в zip), с результатами исследования и сгенерированным плагином. Можно также посмотреть pdf версию этой статьи.

{ Атач доступен только для участников форума } - Save-IdaPro6-Demo-Listing-by-Erfaren.zip
Hexxx


Ранг: 481.4 (мудрец)
Статус: Участник
Тот самый :)

Создано: 12 января 2011 14:39 New!
· Личное сообщение · #5

Лизнули ильфаку на отлично...

| Сообщение посчитали полезным: [Nomad]

Tyra

Ранг: 78.7 (постоянный)
Статус: Участник

Создано: 12 января 2011 21:30 New!
· Личное сообщение · #6

Hexxx пишет:
Лизнули ильфаку на отлично...

Нет Слов ! Будто Это Единственный стоящий проэкт !
ntldr

Ранг: 321.6 (мудрец)
Статус: Участник

Создано: 12 января 2011 22:00 New!
· Личное сообщение · #7

Tyra пишет:
Нет Слов ! Будто Это Единственный стоящий проэкт !

А что, есть что-то еще? Статья конечно пиар, чуть менее чем полностью, но альтернатив иды не видно.
Erfaren

Ранг: 10.0 (новичок)
Статус: Участник

Создано: 12 января 2011 23:16 New!
· Личное сообщение · #8

Ну, вы ребята даете! Заинтересованность путаете с лизоблюдством, в переводе на литературный язык . Впрочем, карму Ильфак себе зарабатывает сам, но его «Ида» это действительно шедевр, близкий к «темной» гениальности. Учитесь видеть интеллект в чужих творениях, а не только в собственных !

| Сообщение посчитали полезным: [0utC4St]

A V

Ранг: 10.0 (новичок)
Статус: Участник

Создано: 13 января 2011 00:02 New!
· Личное сообщение · #9

Erfaren пишет:
Впрочем, карму Ильфак себе зарабатывает сам, но его «Ида» это действительно шедевр, близкий к «темной» гениальности

Согласен, карма дело конечно хорошее, но главное что проект жив и развивается, если бы софтайс по той-же схеме продавали, то может он тоже и поныне здравствовал.. ведь подобных проектов по пальцам одной руки перечесть..
Hexxx


Ранг: 481.4 (мудрец)
Статус: Участник
Тот самый :)

Создано: 13 января 2011 02:44 · Поправил: Hexxx New!
· Личное сообщение · #10

Erfaren пишет:
«Ида» это действительно шедевр, близкий к «темной» гениальности. Учитесь видеть интеллект в чужих творениях, а не только в собственных !

купи ее, запроси сапорт, а потом рассказывай какой это шедевр. Или хотя бы попробуй пописать к ней скрипты и плагины, которые делают что-то более менее сложное.
[0utC4St]


Ранг: 109.3 (ветеран)
Статус: Участник
Yes! I_m noob!

Создано: 13 января 2011 03:40 New!
· Личное сообщение · #11

Erfaren, Изложите пожалуйста кратко чем отличается качество дизасма версии 5.5 от 6.0 (голых, то есть Demo без плагинов, сигнов, скриптов и etc)
>>>> Хочется надеяться, что эта статья не послужит поводом для Ильфака Гильфанова закрыть в его демо-
версиях возможность использования скриптов и плагинов.
Очень сильно сомневаюсь что в следующей версии демки останется такая возможность.
з.ы. 2 all: а где обсуждение статьи то? все прицепились к паре фраз и начали офтопить.... как собсна и я.
Erfaren

Ранг: 10.0 (новичок)
Статус: Участник

Создано: 13 января 2011 08:00 New!
· Личное сообщение · #12

A V пишет:
Согласен, карма дело конечно хорошее, но главное что проект жив и развивается, если бы софтайс по той-же схеме продавали, то может он тоже и поныне здравствовал.. ведь подобных проектов по пальцам одной руки перечесть..

На замену «сосульке» пришли китайские «сиськи» (Syser Kernel Debugger) . Разве это не интересный, развивающийся проект? По-моему мнению, именно китайцы и должны были сделать нечто подобное. Они собираются стать мировым лидерам в ближайшее время, а чтобы на это претендовать, нужно, среди прочего, контролировать не только людей и ресурсы, но и (закрытый) мировой софт. На месте государства, мечтающего о гегемонии, я бы скрытно (неофициально) спонсировал бы подобные проекты, в том числе, такой как развитие ReactOS. Ну, а факт прикрытия «сосульки» похоже связан с ее «переразвитием».
Erfaren

Ранг: 10.0 (новичок)
Статус: Участник

Создано: 13 января 2011 08:54 New!
· Личное сообщение · #13

Hexxx пишет:
купи ее, запроси сапорт, а потом рассказывай какой это шедевр. Или хотя бы попробуй пописать к ней скрипты и плагины, которые делают что-то более менее сложное.

Чтобы купить «Иду», должна быть потребность в этом. А ее (потребности) пока нет . Ибо тот небольшой круг интересов, связный с этим продуктом, вполне решается возможностями демо-версии. Которых, скажу по секрету, слишком много, как для демонстрационной программы.

Писать скрипты и плагины для «Иды» трудно потому, что они слабо документированы. Например, поиск в Интернете ключевых слов (даже по отдельности), задействованных в большинстве своем в моем плагине, таких как:

"structplace_t"
"enumplace_t"
"idaplace_t"
"linearray_t"

практически не даст Вам реально работающего кода. Будут только общие описания типа как в kernwin.hpp.

Чтобы задействовать их мощь нужно просто понять модель базы данных Ильфака. Вот где проявился весь его изощренный ум математика и программиста. Модель эта явно избыточная, я даже думал, а не приспособить ли ее к ведению иерархических баз данных, не имеющих никакого отношения к крэкингу . Короче, нужно просто «влезть» в мозги Ильфака, чтобы эффективно пользоваться его шедевром. Согласен, что эта «работа» не для слабонервных .
Erfaren

Ранг: 10.0 (новичок)
Статус: Участник

Создано: 13 января 2011 09:09 New!
· Личное сообщение · #14

[0utC4St] пишет:
Erfaren, Изложите пожалуйста кратко чем отличается качество дизасма версии 5.5 от 6.0 (голых, то есть Demo без плагинов, сигнов, скриптов и etc)>>>> Хочется надеяться, что эта статья не послужит поводом для Ильфака Гильфанова закрыть в его демо-версиях возможность использования скриптов и плагинов.Очень сильно сомневаюсь что в следующей версии демки останется такая возможность.з.ы. 2 all: а где обсуждение статьи то? все прицепились к паре фраз и начали офтопить.... как собсна и я.

Наверняка есть исправления найденных багов, как минимум. Но чтобы ответить на Ваш вопрос по существу, нужно явно протестировать эффективность дизассемблирования различных программ в разных версиях «Иды». Делать вручную это очень утомительно, да и какая мне разница перейдете ли Вы на демо-версию 6.0 или останетесь в коммерческой версии 5.5? Не проще ли работать в обеих версиях? Тем не менее, использование скриптов и плагинов это первый шаг для выполнения подобной работы. Если удастся максимально автоматизировать процесс восстановления бинарного кода на уровне ассемблера, то тогда будет очень просто провести предполагаемые тесты. Возможно, это послужит темой моей будущей статьи.
Hexxx


Ранг: 481.4 (мудрец)
Статус: Участник
Тот самый :)

Создано: 13 января 2011 10:17 New!
· Личное сообщение · #15

Erfaren пишет:
Чтобы задействовать их мощь нужно просто понять модель базы данных Ильфака. Вот где проявился весь его изощренный ум математика и программиста.

Та нет, это называется "мне полностью насрать на пользователей моего продукта. Я пишу вот так и не собираюсь никому ничего объяснять"

| Сообщение посчитали полезным: ntldr, HandMill, Archer

Erfaren

Ранг: 10.0 (новичок)
Статус: Участник

Создано: 13 января 2011 10:45 · Поправил: Erfaren New!
· Личное сообщение · #16

Hexxx пишет:
Та нет, это называется "мне полностью насрать на пользователей моего продукта. Я пишу вот так и не собираюсь никому ничего объяснять"


Гений всегда самодостаточен и не склонен идти на поводу у общественного мнения. Пользователь может просто голосовать рублем или монгольским тугриком покупая или не покупая его продукт. Вообще-то Ильфак делает эту программу, в основном, не для простых смертных. Где-то проскочила фраза, что «Ида» предназначена для «секретных работников». Очень подозреваю, что именно эти «люди в черном», как минимум, содействовали нашему автору в доступе к очень ограниченной для других технической документации, без которой разработка подобных систем весьма затруднительна. Про финансы гадать не будем, но явно, что Ильфак не испытывает затруднений в «портретах мертвых президентов» или «унылых енотов» . Потому и отношение к обычным пользователям просто как к «прикрытию». Вообще-то он «знаковая фигура» на мировой сцене .
ntldr

Ранг: 321.6 (мудрец)
Статус: Участник

Создано: 13 января 2011 11:12 New!
· Личное сообщение · #17

Топикстартер восторженный юнец или толстый тролль.
Erfaren

Ранг: 10.0 (новичок)
Статус: Участник

Создано: 13 января 2011 11:21 · Поправил: Erfaren New!
· Личное сообщение · #18

ntldr пишет:
Топикстартер восторженный юнец или толстый тролль.

Вообще-то тему создал Bad_guy. А Вы кого имеете в виду ?
ntldr

Ранг: 321.6 (мудрец)
Статус: Участник

Создано: 13 января 2011 11:35 New!
· Личное сообщение · #19

Тьфу, попутал. Я имею в виду вас.
cppasm

Ранг: 193.2 (ветеран)
Статус: Участник

Создано: 13 января 2011 12:59 New!
· Личное сообщение · #20

Erfaren пишет:
Очень подозреваю, что именно эти «люди в черном», как минимум, содействовали нашему автору в доступе к очень ограниченной для других технической документации, без которой разработка подобных систем весьма затруднительна.

И какая именно документация ограничена для "простых смертных"?
Intel Software Developers Manuals, AMD Developers Manuals, ARM Architecture Reference Manual или аналогичный для любого из поддерживаемых процессоров открыт для всех желающих и бесплатен.
Или документация по VCL (на котором до недавнего времени делали GUI для IDA) секретна?
Всё доступно, просто труда надо много чтобы написать кучу дизасмов под разные архитектуры.
Так и деньги он неслабые берёт за это.
Erfaren

Ранг: 10.0 (новичок)
Статус: Участник

Создано: 13 января 2011 13:28 New!
· Личное сообщение · #21

cppasm пишет:
И какая именно документация ограничена для "простых смертных"?Intel Software Developers Manuals, AMD Developers Manuals, ARM Architecture Reference Manual или аналогичный для любого из поддерживаемых процессоров открыт для всех желающих и бесплатен.Или документация по VCL (на котором до недавнего времени делали GUI для IDA) секретна?Всё доступно, просто труда надо много чтобы написать кучу дизасмов под разные архитектуры.Так и деньги он неслабые берёт за это.

Не буду спорить, возможно, Вы и правы. Только принцип «деньги утром, вечером стулья» или «деньги вечером, утром стулья» требует, чтобы сначала было «бабло» на все эти технические исследования и обработку документации, не говоря уже про собственно разработку программу, а потом уже возврат денег (полученных от ее продажи) затраченных на производство самой программы. Да и сама идея «интерактивного дизассемблирования» на то время была достаточно нова и не очевидна. Тем более, что мало кто тогда, да и сейчас готов был рискнуть вложить свои (или чужие) «бабки» в разработку подобного рода проектов. Поэтому, лично для меня факт коммерческой успешности «Иды» представляет собой в некотором смысле «чудо». Произошло то, что не вписывается в обычные законы этого мироустройства. Контр пример это Олег Ящук – создатель не менее знаменитой «Оли Дебаговой». Его не менее талантливый проект не нашел коммерческой поддержки, или чего там еще, не обогатив своего творца ни на грош. Какова истинная подоплека всех этих событий, я естественно не знаю.
Gideon Vi


Ранг: 1026.1 (!!!!)
Статус: Участник

Создано: 13 января 2011 14:06 · Поправил: Gideon Vi New!
· Личное сообщение · #22

Erfaren пишет:
На замену «сосульке» пришли китайские «сиськи» (Syser Kernel Debugger) . Разве это не интересный, развивающийся проект?


2010.03.29 Syser Kernel Debugger 1.99.1900.1201 Release
cppasm

Ранг: 193.2 (ветеран)
Статус: Участник

Создано: 13 января 2011 14:24 New!
· Личное сообщение · #23

Erfaren пишет:
Только принцип «деньги утром, вечером стулья» или «деньги вечером, утром стулья» требует, чтобы сначала было «бабло» на все эти технические исследования и обработку документации

Нету такого принципа.
IDA не сразу бац и появилась.
Ты консольные версии под DOS видел?
Пишется начальная версия проекта (либо создателем проекта, либо нужен стартовый капитал и разраб. нанимается) и начинает продаваться.
Часть прибыли пускается на дальнейшее развитие, и если рынок оценили правильно это развитие увеличивает продажи.
Развитие по спирали, а не по принципу "дайте мне мешок бабла я вам дизассемблер напишу".
Erfaren пишет:
Контр пример это Олег Ящук – создатель не менее знаменитой «Оли Дебаговой». Его не менее талантливый проект не нашел коммерческой поддержки, или чего там еще, не обогатив своего творца ни на грош.

Его проект не искал коммерческой поддержки. Он бесплатный.
Если что-то дают бесплатно, это не значит что оно хуже платного или его не могут продать.
Erfaren

Ранг: 10.0 (новичок)
Статус: Участник

Создано: 13 января 2011 15:15 · Поправил: Erfaren New!
· Личное сообщение · #24

cppasm пишет:
Нету такого принципа.IDA не сразу бац и появилась.Ты консольные версии под DOS видел?Пишется начальная версия проекта (либо создателем проекта, либо нужен стартовый капитал и разраб. нанимается) и начинает продаваться.Часть прибыли пускается на дальнейшее развитие, и если рынок оценили правильно это развитие увеличивает продажи.Развитие по спирали, а не по принципу "дайте мне мешок бабла я вам дизассемблер напишу".


Они до сих пор есть: idau.exe и idaw.exe. Все это конечно так, развитие по спирали еще никто не отменял. Но разве Ильфак был единственный, кто занимался подобными проектами? Но почему-то у него получилось лучше, чем у других. Это связано либо с внешней поддержкой, либо с его особой одаренностью, подобной как у дяди Била – екс-начальника MS, а может быть и с тем и с другим. Как бы там ни было, но феномен выпускника мехмата МГУ И. Гильфанова еще не до конца разгадан.

cppasm пишет:
Его проект не искал коммерческой поддержки. Он бесплатный.Если что-то дают бесплатно, это не значит что оно хуже платного или его не могут продать.


Не уверен. По-моему, в начале «Оля Дебаговая» была «шаровароной» и только где-то в районе первой версии стала «фриварной». Что принудила Олега Ящука пойти на этот шаг для меня неясно.

Вообще-то я смотрю, что буржуи не могут обойтись без советско – российских мозгов. Только почему у себя в заднице (я хотел сказать на Родине) мы не можем конвертировать ум во что-то материально привлекательное без сделок с совестью ?
Alchemistry

Ранг: 91.3 (постоянный)
Статус: Участник

Создано: 13 января 2011 15:28 New!
· Личное сообщение · #25

Erfaren
Сколько вам заплатил Ильфак? Я не верю, что можно так с пеной у рта тут отстаивать его интересы за просто так.
Erfaren

Ранг: 10.0 (новичок)
Статус: Участник

Создано: 13 января 2011 15:40 New!
· Личное сообщение · #26

Alchemistry пишет:
Erfaren
Сколько вам заплатил Ильфак? Я не верю, что можно так с пеной у рта тут отстаивать его интересы за просто так.

Вы не поверите! Целый килограмм «идолов»!!! Это так будут называться Интернациональные ДОЛлары, который должны прийти на смену зеленной резанной бумаге. Даже у самой королевы пока только сто баксов нового образца, подаренных ей на день рождение. Так что я круче ее . Вот прочтут еще сто человек этот топик, кто-нибудь один возьмет да и купит «Иду» и Ильфак сразу окупит все расходы на меня .
[0utC4St]


Ранг: 109.3 (ветеран)
Статус: Участник
Yes! I_m noob!

Создано: 13 января 2011 15:54 New!
· Личное сообщение · #27

Archer'a на вас нет.
Нереальный срач...
В шапку темы добавьте атеншен: "Внимание! Одним из побочных эффектов от прочтения этой статьи является так называемый butthurt."
EugenCr

Ранг: 4.1 (гость)
Статус: Участник

Создано: 13 января 2011 16:51 New!
· Личное сообщение · #28

Странный автор, а может это и есть Ильфак и сам себя пиарит. Непонятно зачем большую часть написаного на вашем сайте сюда переносить, если кому-то стало бы интересно это можно прочитать там. В принципе логику вашу понять можно набивание постов вот и все. Удачи!
cppasm

Ранг: 193.2 (ветеран)
Статус: Участник

Создано: 13 января 2011 16:56 New!
· Личное сообщение · #29

Erfaren пишет:
Они до сих пор есть: idau.exe и idaw.exe.

Консоль и DOS-приложение это разные вещи вообще-то.
ToBad


Ранг: 450.3 (мудрец)
Статус: Участник

Создано: 13 января 2011 17:20 New!
· Личное сообщение · #30

EugenCr пишет:
Странный автор, а может это и есть Ильфак и сам себя пиарит.


Точно, в точку! У Ильфака раздвоение личности, кроме денег захотелось побольше славы и полез "в народ". Говорит теперь на форумах о себе в третьем лице и прославляет сам себя...
Причём вторая личность Ильфака никак не хочет покупать официальную версию у первой, а первая специально оставляет побольше всего полезного в демоверсии для второй. Такой вот симбиоз двух Ильфаков с минимальными затратами на пиар...

p.s. Erfaren я не читал ваши статьи и не берусь судить об Ильфаке или других авторах ровно как и о будущем превосходстве Китая, но ваши посты и правда до отвращения пресыщены похвалами. Именно по этому, а не ввиду не виденья ничего кроме своих творений вы читаете такие отзывы от участников форума.

| Сообщение посчитали полезным: EugenCr

. 1 . 2 . >>
 eXeL@B —› Обсуждение статей —› [ Erfaren ] Полная перекомпиляция программы write.exe или тестируем демо-версию IdaPro 5.6

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS