eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 12 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме:
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› DRX: Delphi 2010/XE RTTI eXtractor
<< . 1 . 2 . 3 . >>
Посл.ответ Сообщение

Ранг: 10.0 (новичок)
Статус: Участник

Создано: 6 ноября 2010 16:20 New!
Цитата · Личное сообщение · #1

Начиная с delphi2010, в exe включается расширенная RTTI-информация, теперь это не только секция published, но по умолчанию, для полей начиная с private, для свойств и методов - начиная с public.
Т.к на паблике тулзов для 2010+ не видно, решил сделать свою:
zalil.ru/29925555

Процесс при анализе не запускается, так что запакованные фалы не поддерживает.

| Сообщение посчитали полезным: vden, Wald



Ранг: 129.0 (ветеран)
Статус: Участник

Создано: 4 июня 2012 15:23 New!
Цитата · Личное сообщение · #2

kingmonstr пишет:
Пожалуйста, перезалейте.

DRX Delphi 2010+ RTTI eXtractor v0.5.0
--> Link <--

| Сообщение посчитали полезным: hlmadip, kingmonstr


Ранг: 10.0 (новичок)
Статус: Участник

Создано: 6 июня 2012 00:09 New!
Цитата · Личное сообщение · #3

kingmonstr
verdizela
та версия, 0.5.0 RC1 сильно глюкавая, эта должна быть по-стабильней:

version 0.5.1 [03.04.2012]
+ recognition of attributes in fields, props and methods params
* fixes in detecting float methods params in disasm
* fixes in detecting references to fields in disasm
* a little bit faster

http://rghost.ru/38500321

+ текущая бета 0.5.2:

http://rghost.ru/38500244

| Сообщение посчитали полезным: SReg, NikolayD, drone, verdizela, 4kusNick, kingmonstr, Dart Raiden, Xa-Xa


Ранг: 0.6 (гость)
Статус: Участник

Создано: 22 июня 2012 18:28 · Поправил: Модератор New!
Цитата · Личное сообщение · #4

Очень приятно.
Зеркальце http://www.sendspace.com/file/didsoo
http://yadisk.cc/d/N1v5xtUt2Nz


Ранг: 468.0 (мудрец)
Статус: Участник
[www.AHTeam.org]

Создано: 28 октября 2012 04:18 New!
Цитата · Личное сообщение · #5

GUI для drx32.exe

Может кому пригодится.



--> drx 0.5.2beta <--

{ Атач доступен только для участников форума } - RTTI eXtractorGUI.exe

| Сообщение посчитали полезным: BAHEK, A V



Ранг: 468.0 (мудрец)
Статус: Участник
[www.AHTeam.org]

Создано: 31 октября 2012 22:47 · Поправил: KingSise New!
Цитата · Личное сообщение · #6

Мкто то может зарегится и/или --> Link <-- и выложить Пaрoль к aрxиву c KBD2010.bin или лучше сам файл.


З.Ы. я в упор не понимаю, как у них зарегестрироваться....

Ранг: 31.0 (посетитель)
Статус: Участник

Создано: 31 октября 2012 23:44 · Поправил: schokk_m4ks1k New!
Цитата · Личное сообщение · #7

KingSise
напиши автору в личку он тебе пришлёт пароль! мне недавно прислал по просьбе в личке)

KingSise пишет:
З.Ы. я в упор не понимаю, как у них зарегестрироваться....

машинку собрал при регистрации (типа антиспам такой)?
add: хз, я только что зарегился без проблем! чето ты просто наверное не так делаешь или хз!


Ранг: 126.6 (ветеран)
Статус: Участник

Создано: 31 октября 2012 23:46 New!
Цитата · Личное сообщение · #8

KingSise
https://ssl.exelab.ru/f/index.php?action=vthread&forum=3&topic=15434


Ранг: 468.0 (мудрец)
Статус: Участник
[www.AHTeam.org]

Создано: 1 ноября 2012 00:06 New!
Цитата · Личное сообщение · #9

zeppe1in, ну эту тему я видел и прочитал... как скачать то что мне нужно я не нашел...

schokk_m4ks1k пишет:
напиши автору в личку он тебе пришлёт пароль! мне недавно прислал по просьбе в личке)


млин, только что проверил почту, ответ пришол, видимо занят был...

Ранг: 10.0 (новичок)
Статус: Участник

Создано: 20 декабря 2012 23:55 New!
Цитата · Личное сообщение · #10

version 0.5.2 [15.09.2012]
+ Delphi XE3 is supported
* fixed crash on some record types
* fixed crash on some methods with float params
* fixed recognition of calls to imported functions
* improved recognition of private/protected methods and references to class fields
* fixed output of dispinterfaces
+ recognition of attributes in enum types

http://rghost.ru/42392686

| Сообщение посчитали полезным: NikolayD, SReg, 4kusNick, Dart Raiden


Ранг: 11.2 (новичок)
Статус: Участник

Создано: 21 декабря 2012 12:08 New!
Цитата · Личное сообщение · #11

одну прогу декомпилил,на второй - Fatal error: Access violation at address 004E7D89 in module 'drx32.exe'. Read of address 00000000

Ранг: 10.0 (новичок)
Статус: Участник

Создано: 21 декабря 2012 13:56 New!
Цитата · Личное сообщение · #12

upss
выложи эту вторую, или кинь на av.junk2007 [at] гмэйл.ком
будет время, посмотрю

Ранг: 11.2 (новичок)
Статус: Участник

Создано: 21 декабря 2012 18:21 · Поправил: upss New!
Цитата · Личное сообщение · #13

A V я конечно тупанул - скачал drx 0.5.0 на ней и вылезла такая хрень
щас качнул DRX.0.5.2final -и снова облом на той же проге - Error: Can't find InitTable, probably file is not compiled with Delphi 2010/XE/XE2/XE3 or is packed
вот подопытная

Ранг: 10.0 (новичок)
Статус: Участник

Создано: 21 декабря 2012 21:52 · Поправил: A V New!
Цитата · Личное сообщение · #14

upss
этот файлик обработан c помощью HidePE - там код на EP малость покорежен.
а для drx важна ссылка на таблицу инициализации. в отладчике видно, что реально она находится по адресу 4F9158.
Добавил в drx параметр +p, после которого можно указать свой адрес инициализации, вроде разбирает с ним этот файл.
вот тестовая 0.5.3a-32bit: http://rghost.ru/42412755
usage: "drx32 Комарик.exe +p$4F9158"
(этот InitTable - это параметр который передается в SysInit.InitExe - самая первая процедура в программе, так что его руками всегда легко найти)

| Сообщение посчитали полезным: BAHEK, upss


Ранг: 11.2 (новичок)
Статус: Участник

Создано: 21 декабря 2012 23:55 New!
Цитата · Личное сообщение · #15

A V спасибо разобрался вроде декомпилил

Ранг: -0.5 (нарушитель)
Статус: Участник

Создано: 17 января 2013 18:39 New!
Цитата · Личное сообщение · #16

A V
выложите актуальную версию пожалуйста. а то с ргхоста удаляется быстро

Ранг: 86.4 (постоянный)
Статус: Участник

Создано: 17 января 2013 18:45 New!
Цитата · Личное сообщение · #17

igrmik
--> Link <--

Ранг: 453.1 (мудрец)
Статус: Участник
Android Reverser

Создано: 17 января 2013 19:10 New!
Цитата · Личное сообщение · #18

А есть для борланд с типа такого? чтоб показывала формы и адреса обработчиков onchange, onkeypress ну и подобное.

Ранг: 184.8 (ветеран)
Статус: Участник

Создано: 17 января 2013 19:14 New!
Цитата · Личное сообщение · #19

SaNX
Формы покажет IDR, адреса - нет.

Ранг: 453.1 (мудрец)
Статус: Участник
Android Reverser

Создано: 17 января 2013 20:06 · Поправил: SaNX New!
Цитата · Личное сообщение · #20

crypto
да как то нет, пробовал - пишет инвалид оеп, сам предлагает ввести 0.
софт http://www.personalfinances.ru/downloads/PersonalFinancesPro_setup.exe

ЗЫ: для дельфей - нормально кажет.

Ранг: 505.2 (!)
Статус: Модератор

Создано: 17 января 2013 20:13 New!
Цитата · Личное сообщение · #21

SaNX
чай упаковано чем?....

Ранг: 453.1 (мудрец)
Статус: Участник
Android Reverser

Создано: 17 января 2013 20:15 New!
Цитата · Личное сообщение · #22

sendersu
ну ОЕП чистое

Ранг: 300.0 (мудрец)
Статус: Участник

Создано: 17 января 2013 20:19 New!
Цитата · Личное сообщение · #23

SaNX пишет:
А есть для борланд с типа такого? чтоб показывала формы и адреса обработчиков onchange, onkeypress ну и подобное.

ems source rescuer

Ранг: 184.8 (ветеран)
Статус: Участник

Создано: 18 января 2013 08:37 New!
Цитата · Личное сообщение · #24

SaNX
Так введите ему нормальную точку входа. Я для Билдера не изучал ситуацию, почему EP не определяется.

Ранг: 453.1 (мудрец)
Статус: Участник
Android Reverser

Создано: 18 января 2013 10:13 · Поправил: SaNX New!
Цитата · Личное сообщение · #25

crypto
А что есть нормальный оеп?
Вот в этом файле ОЕП 00401B18:
Code:
  1. 00401B18: EB10                           jmps       .000401B2A
  2. 00401B1A: 66623A                         bound       di,[edx]
  3. 00401B1D: 43                             inc         ebx
  4. 00401B1E: 2B2B                           sub         ebp,[ebx]
  5. 00401B20: 48                             dec         eax
  6. 00401B21: 4F                             dec         edi
  7. 00401B22: 4F                             dec         edi
  8. 00401B23: 4B                             dec         ebx
  9. 00401B24: 90                             nop
  10. 00401B25: E9AC90CD00                     jmp        .0010DABD6
  11. 00401B2A: A19F90CD00                    1mov         eax,[000CD909F]
  12. 00401B2F: C1E002                         shl         eax,2
  13. 00401B32: A3A390CD00                     mov         [000CD90A3],eax
  14. 00401B37: 52                             push        edx
  15. 00401B38: 6A00                           push        0
  16. 00401B3A: E84B548D00                     call        GetModuleHandleA
  17. 00401B3F: 8BD0                           mov         edx,eax
  18. 00401B41: E8E65A8C00                     call       .000CC762C
  19. 00401B46: 5A                             pop         edx
  20. 00401B47: E8E0568C00                     call       .000CC722C
  21. 00401B4C: E81B5F8C00                     call       .000CC7A6C
  22. 00401B51: 6A00                           push        0
  23. 00401B53: E828728C00                     call       .000CC8D80


а вот мессэдж IDR:
---------------------------
Confirm
---------------------------
Invalid EP (401B18). Input valid EP?
---------------------------
Да Нет
---------------------------

Если ввести вручную 401B18, то он ругаеццо:
---------------------------
Error
---------------------------
Cannot find table of initialization and finalization procedures
---------------------------
ОК
---------------------------


Veliant
тоже не робит, говорит файл криптован

ЗЫ: ДЕДЕ с ним работает, показывает классы, но форм и кода нет. GPcH-ный декомпилер показывает формы, а код - нет

Ранг: 271.6 (наставник)
Статус: Модератор
CrackLab

Создано: 18 января 2013 10:16 · Поправил: SReg New!
Цитата · Личное сообщение · #26

SaNX
для borland c++ только DeDe есть
SaNX пишет:
дык тоже не работает сцуко

хз... на IDRе воркает

Ранг: 453.1 (мудрец)
Статус: Участник
Android Reverser

Создано: 18 января 2013 10:19 New!
Цитата · Личное сообщение · #27

SReg
дык тоже не работает сцуко


Ранг: 169.2 (ветеран)
Статус: Участник

Создано: 18 января 2013 11:04 New!
Цитата · Личное сообщение · #28

Еще вот такое есть:
EXE2DPR - Delphi project sources Rescuer. Version 3.1 (23/09/99)
http://www.multiupload.nl/RU1ARN336N

Code:
  1. If you lose your Delphi 1.0-4.0 or C++Builder 3.0 project sources, but 
  2. have an executable file, then this tool can rescue part of lost sources.
  3.  
  4. Rescuer produces all project forms and data modules with all assigned
  5. properties and events. Produced event procedures don't have a body (it is
  6. not a decompiler), but have an address of code in executable file.
  7.  
  8. For C++Builder executables Rescuer make Delphi-compatible sources.

Ранг: 453.1 (мудрец)
Статус: Участник
Android Reverser

Создано: 18 января 2013 11:42 New!
Цитата · Личное сообщение · #29

gazlan
это совсем уж старье. ожидаемо: Forms not found

Ранг: 184.8 (ветеран)
Статус: Участник

Создано: 18 января 2013 12:28 New!
Цитата · Личное сообщение · #30

SaNX
Дык после того как IDR ругнется, не пробовали зайти в закладку Forms?

Ранг: 453.1 (мудрец)
Статус: Участник
Android Reverser

Создано: 18 января 2013 12:50 · Поправил: SaNX New!
Цитата · Личное сообщение · #31

crypto
дык одни формы бесполезны.
Классвьювер бы работал

ЗЫ: перечитал твой первый мессадж, теперь понял, что ты имел ввиду
<< . 1 . 2 . 3 . >>
 eXeL@B —› Софт, инструменты —› DRX: Delphi 2010/XE RTTI eXtractor

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS