eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 12 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: Medsft (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› Detect It Easy 2.0
<< . 1 . 2 . 3 . >>
Посл.ответ Сообщение


Ранг: 122.7 (ветеран)
Статус: Участник
Qt Developer

Создано: 3 августа 2018 19:32 · Поправил: hors New!
Цитата · Личное сообщение · #1



Detect It Easy 2.0

[+] More than 500 new detects(thanks hypn0 and other contributors)
[+] New experimental scanning method.
[+] Many bugs have been fixed.

Download: --> Link <--

| Сообщение посчитали полезным: yashechka, hypn0, mak, RevCred, VOLKOFF, TRPD, HandMill, MarcElBichon, Bronco, BlackCode, -=AkaBOSS=-, sendersu, sefkrd, Autokent, mushr00m, =TS=, ==DJ==[ZLO], Isaev, ibmCORE



Ранг: 256.3 (наставник)
Статус: Участник
Advisor

Создано: 11 августа 2018 14:09 New!
Цитата · Личное сообщение · #2

hypn0 пишет:
Не все умеют с гитхаба качать

сноровка нужна
так то сниф глаголет что апдейтов нет, если есть то чините и автоапдейт..


Ранг: 69.3 (постоянный)
Статус: Участник

Создано: 11 августа 2018 22:44 New!
Цитата · Личное сообщение · #3

WL-group cryptor кто что рассказать может?

Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 12 августа 2018 10:59 New!
Цитата · Личное сообщение · #4

Bronco пишет:
автоапдейт

Я такое уже предлагал. Надеюсь в следующей версии будет.

SDK пишет:
WL-group cryptor

А образец есть?


Ранг: 69.3 (постоянный)
Статус: Участник

Создано: 12 августа 2018 11:27 New!
Цитата · Личное сообщение · #5

hypn0 пишет:
А образец есть?
Их есть у меня.


{ Атач доступен только для участников форума } - 1.zip

Ранг: 32.2 (посетитель)
Статус: Участник

Создано: 12 августа 2018 11:40 New!
Цитата · Личное сообщение · #6

Никто не в курсе, до конца года ждать апдейт?


Ранг: 69.3 (постоянный)
Статус: Участник

Создано: 12 августа 2018 11:42 New!
Цитата · Личное сообщение · #7

BlackCode чего ждать всё уже и так в базе ,мало RGD возьми для полного комплекта.

Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 12 августа 2018 12:07 New!
Цитата · Личное сообщение · #8

SDK А как оно должно работать? Точка входа куда-то не туда указывает. У меня под Win7x64 падает.
Похоже что файл битый.

Добавлено спустя 3 минуты
BlackCode пишет:
до конца года ждать апдейт?

Апдейт чего? Новую версию? Не знаю.
Сейчас по плану переход на новую Qt и кое-какие изменения в движке. Но это может много времени занять.
Если что-то конкретное и небольшое надо исправить, то вполне можно до конца года еще что-нибудь выпустить.
Но вроде и так всё хорошо работает.


Ранг: 69.3 (постоянный)
Статус: Участник

Создано: 12 августа 2018 12:11 New!
Цитата · Личное сообщение · #9

под хп запускай

Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 12 августа 2018 12:22 · Поправил: hypn0 New!
Цитата · Личное сообщение · #10

SDK Ааа.. Там tls callback, сразу не увидел. Поэтому EP черте-куда смотрит, так как не нужна.
Добавлю определение.
А что касается распаковки, когда-нибудь в xvlk обязательно появится. Но очень не скоро, так как это всё самоделки и в единственном экземпляре.

Добавлено спустя 6 минут
SDK пишет:
RGD возьми для полного комплекта

Кстати не панацея. У меня десятки, если не сотни файлов лежат, накрытые непонятно чем и ни RDG, ни PiD, ни остальные не знают что это такое. Можно конечно добавлять их как unknown cryptor, но не хочу. А с другой стороны рано или поздно придется.

| Сообщение посчитали полезным: SDK


Ранг: 32.2 (посетитель)
Статус: Участник

Создано: 12 августа 2018 13:42 New!
Цитата · Личное сообщение · #11

hypn0
Апдейт интерфейса. Малость напрягает, что контрол с инфой не обновляется.
По сигнатурам все замечательно.


Ранг: 122.7 (ветеран)
Статус: Участник
Qt Developer

Создано: 12 августа 2018 15:23 · Поправил: hors New!
Цитата · Личное сообщение · #12

BlackCode пишет:
Апдейт интерфейса. Малость напрягает, что контрол с инфой не обновляется.
По сигнатурам все замечательно.

Попробуй заново скачать программу отсюда: --> Link <--

Ранг: 75.3 (постоянный)
Статус: Участник

Создано: 12 августа 2018 17:25 New!
Цитата · Личное сообщение · #13

hors, а планируется переезд на кьют повыше и фикс масштабирования? В 120 dpi не то чтобы совсем неюзабельно, но местами выглядит грустно.

Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 12 августа 2018 18:16 New!
Цитата · Личное сообщение · #14

v00doo
Выше только что написал:
hypn0 пишет:
Сейчас по плану переход на новую Qt и кое-какие изменения в движке. Но это может много времени занять.

v00doo пишет:
и фикс масштабирования? В 120 dpi не то чтобы

Именно из за этого и планируется.

Ранг: 75.3 (постоянный)
Статус: Участник

Создано: 12 августа 2018 22:02 New!
Цитата · Личное сообщение · #15

Звиняйте, торопился, не чекнул ветку


Ранг: 256.3 (наставник)
Статус: Участник
Advisor

Создано: 12 августа 2018 22:43 New!
Цитата · Личное сообщение · #16

hypn0 пишет:
Именно из за этого и планируется

а текущая версия Qt, в проекте, не способна масштабировать?
диз почините..

Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 12 августа 2018 23:59 New!
Цитата · Личное сообщение · #17

Bronco пишет:
а текущая версия Qt, в проекте, не способна масштабировать?

На гитхабе кто-то написал как можно починить. Какую-то пользовательскую переменную надо указать. Проверим.

Bronco пишет:
диз почините..

А что с ним не так? Вроде работает.
Да и пользуется ли им кто-то вообще? Он же не годится для использования от слова вообще. Там ни в процедуры не войти, ни подсветки. Просто тупо диз и всё.
Да и сомневаюсь, что его надо до ума доводить. Есть ведь hiew, есть ida, на худой конец.
Конечно можно сделать конфетку, но целесообразно ли это?


Ранг: 256.3 (наставник)
Статус: Участник
Advisor

Создано: 13 августа 2018 12:14 New!
Цитата · Личное сообщение · #18

hypn0 пишет:
А что с ним не так?


Bronco писал 4 августа 2018 06:28 :
в окне диза, для х64, поле с байткодом перекрывает адресацию листинга.
заголовков у компонента нет, из свойств активны скролл и выделение. по клику контекстное меню.


Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 13 августа 2018 19:05 New!
Цитата · Личное сообщение · #19

Bronco пишет:
в окне диза, для х64, поле с байткодом перекрывает адресацию листинга.

Кинь свой файл die.ini. У меня "из коробки" не перекрывает, если адрес в hex-виде. Пропадает разделитель адресов и кода когда включен dec-режим адресов. Но и то не перекрывает, хотя сливается. Да, небольшой косяк.


Ранг: 256.3 (наставник)
Статус: Участник
Advisor

Создано: 13 августа 2018 22:24 · Поправил: Bronco New!
Цитата · Личное сообщение · #20

hypn0 пишет:
Кинь свой файл die.ini.

хм...не дам..
буду страдать с таким дизом..
а если без юмора, то сниф первая тулза, которая мне показала х64 код во всей доступной красе.
до этого юзал ShadowOllyDbg и немножЕчко SoftIceXP, и про отладчик Mr.eXoDia x64 dbg ничего не знал.

Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 17 августа 2018 17:38 New!
Цитата · Личное сообщение · #21

Господа!
Может имеет смысл добавить определение не только протекторов/компиляторов, а что-то еще (какие-то специфические библиотеки, API ключей защиты и т.п.)?
Кому что нужно, пишите, не стесняйтесь. Добавлю.

P.S. Кстати сейчас ключи защиты определяются в режиме "Deep Scan" (включается в настройках, по умолчанию выключено).

Добавлено спустя 5 минут
Bronco пишет:
буду страдать с таким дизом..

Да поправим, не переживай. Только вот непонятно, чем hiew не устраивает? Или то, как он x64 показывает ты даже не видел?
А еще IDA есть. Там вообще всё красиво.
Bronco пишет:
до этого юзал ShadowOllyDbg и немножЕчко SoftIceXP

Я AFD и Turbo Debugger когда-то давно использовал, еще отладчик в CUP-е. Так что ты меня своими "друганами" не испугаешь.

Ранг: 75.3 (постоянный)
Статус: Участник

Создано: 17 августа 2018 18:26 New!
Цитата · Личное сообщение · #22

hypn0, если только отделить категорию для "сервисов" ака цифровых площадок: Steam, GOG, Uplay, Origin, Battle.net и там вроде еще беседка сейчас наклепает клиент свой со своим апи.

Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 17 августа 2018 18:43 New!
Цитата · Личное сообщение · #23

v00doo Отделить можно. Только как их опознавать? Я вот вообще не в курсе, у них там какие-то свои API используются или как? Насколько я понимаю, это игрушки. Игрушки распространяются через каких-то дистрибьюторов. У них есть какая-то защита? Вроде нет, за исключением Stream-а. Хотя я далек от игрушек, не знаю.
От пары образцов каждого сервиса не отказался бы. Или ссылки где можно взять.

Но в принципе хотелось бы узнать что нужно людям. Игрушки это одно, а вдруг кому-то нужны детекты криптобиблиотек не по константам, а по коду, и т.п. Просто чтоб знать куда двигаться дальше.

Как вариант можно двигаться в направлении TRiD-а и опознавать разные неисполняемые файлы. Тут поле для деятельности гигантское, но смысла особого нет.

Добавлено спустя 12 минут
Да.. Сейчас есть проблема с детектом полиморфных крипторов. Фактически добавляю сигнатуры каждого встреченного образца. Это неправильно. Но по другому сложно.
Я сторонник детектов по точке входа. А с полиморфами такое не пройдет. Но... Есть способы определять полиморфы по точке входа, только сейчас инструментарий не позволяет. К примеру для древнего ДОС-овского PROTECT! уже сделан метод определения по EP, но пока я его тестирую и в релиз он не попал. Смысл в том, что определенные инструкции располагаются на вполне конкретных интервалах друг от друга.
Для современных полиморфов такое тоже справедливо. Плюс для них есть другие способы детекта полезного кода. Просто на данный момент инструментарий DIE не позволяет реализовать все "хотелки". hors в курсе, что-то из необходимого добавит.
Вернее, конечно могу реализовать хоть сейчас, но тогда размер файлов сигнатур будет очень большой.


Ранг: 315.6 (мудрец)
Статус: Участник
born to be evil

Создано: 17 августа 2018 19:20 · Поправил: ajax New!
Цитата · Личное сообщение · #24

hypn0
Code:
  1. if filesize(f)-t>=400 then
  2.   begin
  3.   seek(f,t);
  4.   blockread(f,p^,400);
  5.   if FindMaskedCode(#$E9#$05#$00'?'#$E9#$04#$00'?'#$EB#$FA,400,p)>0 then (Protect! EXE/COM v.5.5)
  6.   end;

t -> cs:ip если правильно помню. для $pirit есть устойчивые маски и все такое...

детекты криптоалго полезны. для x64 ничего дельного не видел. для x32 можно взять все лучшее из peid/findcrypt/cc.

Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 17 августа 2018 20:12 · Поправил: hypn0 New!
Цитата · Личное сообщение · #25

ajax пишет:
t -> cs:ip если правильно помню

Это откуда такая радость?
Судя по коду, любое E9xxxx, EBxxFA будет срабатывать. И таких может быть много. Это не правильно. Есть много протекторов, которые используют E9 и EB, перемежая это нужными инструкциями.
В DIE специально добавили переходы по джапмам. Типа E9$$$$ или EB$$.
В данном случае нужно опознать протектор. А опознать его можно только по коду "распаковки". Я могу привести примеры разных протекторов, у которых в начале будут E9 и EB. И не важно что там старшая часть адреса указана.
ajax пишет:
для x32 можно взять все лучшее из peid

Peid в моем понимании уже всё. Он же обычный детектор по сигнатурам. Причем в него добавили кучу всякого "хлама". Когда то у меня была прога File Analyzer. Это было в начале 90-х. С какого-то момента я вынес сигнатуры во внешний файл. И вот после этого постоянно их вижу в Peid. То есть они просто взяли всё подряд и засунули себе. А то, что там была половина сигнатур от ДОС-а, это пофигу. Сигнатуры ДОС-овских прог просто "не будут бить" с точками входа виндовых файлов. Но понимал ли кто-то это, когда лепил все сигнатуры в один файл? Думаю, нет. Поэтому Peid считаю очень ненадежным детектором.

ЗЫ: Да. Я очень старый. Всей этой фигней начал заниматься еще в 1993 году. Ну может в 1994. Так что могу много чего интересного рассказать.

Ранг: 226.5 (наставник)
Статус: Участник

Создано: 17 августа 2018 20:26 New!
Цитата · Личное сообщение · #26

Разрешите вставить свои 5 копеек. В свое время тоже принимал участие в написании одного анализатора. Для повышения качества детекта, вместе с сигнатурой, многие пакеры/проты нужно детектить по размерам/количеству/характеристикам секций, major/minor версии ликера, импорту и многим другим структурам PE. Возможно у вас это уже реализовано, я не знаю... Но могу сказать, что такая коллаборация значительно уменьшает количство ложных детектов.

Ранг: 35.9 (посетитель)
Статус: Участник

Создано: 17 августа 2018 20:40 New!
Цитата · Личное сообщение · #27

TryAga1n пишет:
многие пакеры/проты нужно детектить по размерам/количеству/характеристикам секций

Согласен полностью. Только я это называю эвристическим детектом. Некоторые вещи именно так в DIE и определяются.
Есть гарантия, что кто-то не создаст свой пакер, у которого будут похожи размеры секций, их количество и характеристики? Гарантии нет. Более того, вполне вероятно, что разработчики какого-нибудь протектора сделают именно так, чтоб детект был ложным.


Ранг: 315.6 (мудрец)
Статус: Участник
born to be evil

Создано: 18 августа 2018 10:12 New!
Цитата · Личное сообщение · #28

hypn0 пишет: Peid в моем понимании уже всё
это да. но, я писал про сигнатуры kanal
hypn0 пишет: Да. Я очень старый
2:50xx/3.xx


Ранг: 256.3 (наставник)
Статус: Участник
Advisor

Создано: 18 августа 2018 12:44 New!
Цитата · Личное сообщение · #29

hypn0 пишет:
чем hiew не устраивает?

как диз, ни разу не юзал, как хекс уже не помню когда это было. где то лежит, а а где хз..
hypn0 пишет:
А еще IDA есть.

избыточно информативна, не мой инструмент, я всё под отладчиком разруливаю.
hypn0 пишет:
Peid в моем понимании уже всё

а он разве крипто сканит.. канал да, ещё пару плагинов. у вас же саппорт был плагов от Peid.
так то дело хорошее, всеми ногами за.


Ранг: 122.7 (ветеран)
Статус: Участник
Qt Developer

Создано: 18 августа 2018 19:18 New!
Цитата · Личное сообщение · #30

ajax пишет:
детекты криптоалго полезны. для x64 ничего дельного не видел. для x32 можно взять все лучшее из peid/findcrypt/cc.


Всё уже есть. Кнопка "S" на главном интерфейсе, потом "crypto" и "search".
Сигнатуры можно редактировать, они лежат в текстовом документе "stuff/search/crypto.db"

| Сообщение посчитали полезным: ajax



Ранг: 315.6 (мудрец)
Статус: Участник
born to be evil

Создано: 20 августа 2018 14:09 New!
Цитата · Личное сообщение · #31

hors RVA неплохо бы показывать еще для исполняемых файлов
<< . 1 . 2 . 3 . >>
 eXeL@B —› Софт, инструменты —› Detect It Easy 2.0

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS