
Быстрый поиск
Введите фрагмент названия статьи для поиска

Plugin Adapter for PE-Analyzers 1.0
21.06.2013 | Категория: Мои программы | Автор: ManHunter

Скриншот программы Plugin Adapter for PE-Analyzers
С программой Plugin Adapter вы можете использовать ЛЮБОЙ плагин от анализаторов исполняемых файлов PEiD, ExeScan, Bit Detector, SCANiT, FastScanner (плагины от DiE не поддерживаются из-за сложности формата) и сторонние приложения с любыми анализаторами - PEiD, DiE (только оригинальный от Hellspawn до версии 0.65 включительно), ExeScan, Bit Detector, SCANiT и FastScanner, программой PE Tools, а также другими утилитами, которые поддерживают эти форматы плагинов.
Подключение плагинов на примере плагина Krypto ANALYzer для PEiD:
- Переименуйте файл kanal.dll в kanal.plugin
- Переименуйте или скопируйте adapter.dll в kanal.dll
- Скопируйте новый kanal.dll и переименованный kanal.plugin в папку с плагинами вашего любимого анализатора. Оба файла обязательно должны находиться в одной папке
- Пользуйтесь
Читать статью целиком »
Просмотров: 5978 | Комментариев: 7

Мульти-плагин для PEiD, DiE, Bit Detector, SCANiT, ExeScan, FastScanner и PE Tools
10.01.2013 | Категория: Образ мышления: Assembler | Автор: ManHunter
Практически все современные анализаторы исполняемых файлов поддерживают внешние модули (плагины), значительно расширяющие их функционал. Это могут быть утилиты для извлечения ресурсов, узкоспециализированные анализаторы протекторов, распаковщики, редакторы исполняемых файлов и множество других модулей. Все хорошо и здорово, если бы не одно "но". Анализаторы чаще всего не совместимы по своим функциям взаимодействия с плагинами. Для решения этой проблемы некоторые авторы начали делать мульти-плагины, которые могут работать с несколькими типами анализаторов. Если мне не изменяет память, то первым таким плагином стал модуль определения точной версии ASProtect под названием VerA от известного реверсера PE_Kill. Он одинаково хорошо работал в PEiD и DiE. Я решил пойти дальше и сделать мульти-плагин, который поддерживает шесть различных анализаторов, а именно PEiD, DiE, Bit Detector, SCANiT, ExeScan и FastScanner, а также подходит для программы PE Tools. Остальные анализаторы исполняемых файлов и подавляющее большинство утилит для реверса, поддерживающие внешние модули, "заточены" на формат плагинов от PEiD, поэтому я их в этом списке даже не упоминаю.Начнем с формата плагинов для PEiD. Тут используются две функции - LoadDll и DoMyJob. Первая используется для получения имени плагина, вторая - непосредственно для работы плагина с загруженным файлом. С LoadDll ничего сложного:
Code (Assembler) : Убрать нумерацию
- ;-----------------------------------------------------------
- ; PEiD - запрос имени плагина
- ;-----------------------------------------------------------
- proc LoadDll
- ; Вернуть в регистре EAX указатель на строку названия
- mov eax,plugName
- ret
- endp
Читать статью целиком »
Просмотров: 5998 | Комментариев: 8

Программы для анализа исполняемых файлов
22.03.2009 | Категория: Темная сторона Силы | Автор: ManHunter
Перед атакой на любую навесную защиту полезно узнать какой упаковщик или протектор был использован. С опытом вы сможете определять на глаз большинство протекторов, но для более точной проверки используются анализаторы исполняемых файлов. Кроме информации об упаковщике или протекторе они также предоставляют много других полезных данных: каким компилятором был создан файл, размеры и названия секций, коэффициент сжатия, точку входа и дизассемблированный фрагмента кода на ней, и др. В разных программах список возможностей может различаться.
Скриншот программы PEiD
PEiD, последняя версия 0.95 от ноября 2008 года. Самый популярный анализатор исполняемых файлов. Анализ производится по внутренней и внешней базе сигнатур, есть несколько уровней сканирования от быстрого до глубокого, можно обрабатывать целые каталоги. Функционал легко расширяется внешними плагинами, сигнатуры хранятся в отдельном текстовом файле, так что вы легко можете добавлять туда свои собственные. Для работы с базой сигнатур написана специальная программа PEiDSO. Разработчикам плагинов в комплекте прилагается SDK с примерами на разных языках программирования и описанием API. Скачать PEiD можно с офсайта, но в этом случае нужный набор плагинов и сигнатур вам придется собирать самим. Поэтому я выкладываю тут свою сборку, которой сам пользуюсь. На глобальность она не претендует, так что и критика тоже не принимается.
Читать статью целиком »
Просмотров: 100762 | Комментариев: 87
