Blog. Just Blog

Быстрый поиск

Введите фрагмент названия статьи для поиска

Plugin Adapter for PE-Analyzers 1.0

21.06.2013 | Категория: Мои программы | Автор: ManHunter

Скриншот программы Plugin Adapter for PE-Analyzers

С программой Plugin Adapter вы можете использовать ЛЮБОЙ плагин от анализаторов исполняемых файлов PEiD, ExeScan, Bit Detector, SCANiT, FastScanner (плагины от DiE не поддерживаются из-за сложности формата) и сторонние приложения с любыми анализаторами - PEiD, DiE (только оригинальный от Hellspawn до версии 0.65 включительно), ExeScan, Bit Detector, SCANiT и FastScanner, программой PE Tools, а также другими утилитами, которые поддерживают эти форматы плагинов.

Подключение плагинов на примере плагина Krypto ANALYzer для PEiD:
  1. Переименуйте файл kanal.dll в kanal.plugin
  2. Переименуйте или скопируйте adapter.dll в kanal.dll
  3. Скопируйте новый kanal.dll и переименованный kanal.plugin в папку с плагинами вашего любимого анализатора. Оба файла обязательно должны находиться в одной папке
  4. Пользуйтесь
Точно так же подключаются и другие плагины. К сожалению, я не могу гарантировать стопроцентную совместимость всех существующих плагинов, ответственность за корректность их работы лежит на их авторах.

Читать статью целиком »
Просмотров: 6066 | Комментариев: 7

Мульти-плагин для PEiD, DiE, Bit Detector, SCANiT, ExeScan, FastScanner и PE Tools

10.01.2013 | Категория: Образ мышления: Assembler | Автор: ManHunter
Практически все современные анализаторы исполняемых файлов поддерживают внешние модули (плагины), значительно расширяющие их функционал. Это могут быть утилиты для извлечения ресурсов, узкоспециализированные анализаторы протекторов, распаковщики, редакторы исполняемых файлов и множество других модулей. Все хорошо и здорово, если бы не одно "но". Анализаторы чаще всего не совместимы по своим функциям взаимодействия с плагинами. Для решения этой проблемы некоторые авторы начали делать мульти-плагины, которые могут работать с несколькими типами анализаторов. Если мне не изменяет память, то первым таким плагином стал модуль определения точной версии ASProtect под названием VerA от известного реверсера PE_Kill. Он одинаково хорошо работал в PEiD и DiE. Я решил пойти дальше и сделать мульти-плагин, который поддерживает шесть различных анализаторов, а именно PEiD, DiE, Bit Detector, SCANiT, ExeScan и FastScanner, а также подходит для программы PE Tools. Остальные анализаторы исполняемых файлов и подавляющее большинство утилит для реверса, поддерживающие внешние модули, "заточены" на формат плагинов от PEiD, поэтому я их в этом списке даже не упоминаю.

Начнем с формата плагинов для PEiD. Тут используются две функции - LoadDll и DoMyJob. Первая используется для получения имени плагина, вторая - непосредственно для работы плагина с загруженным файлом. С LoadDll ничего сложного:
  1. ;-----------------------------------------------------------
  2. ; PEiD - запрос имени плагина
  3. ;-----------------------------------------------------------
  4. proc LoadDll
  5.         ; Вернуть в регистре EAX указатель на строку названия
  6.         mov     eax,plugName
  7.         ret
  8. endp
Забегая вперед скажу, что подобная функция используется еще в двух анализаторах, так что при написании реального плагина их можно без проблем объединить. В статье для удобства понимания эти функции разделены.

Читать статью целиком »
Просмотров: 6064 | Комментариев: 8

Программы для анализа исполняемых файлов

22.03.2009 | Категория: Темная сторона Силы | Автор: ManHunter
Перед атакой на любую навесную защиту полезно узнать какой упаковщик или протектор был использован. С опытом вы сможете определять на глаз большинство протекторов, но для более точной проверки используются анализаторы исполняемых файлов. Кроме информации об упаковщике или протекторе они также предоставляют много других полезных данных: каким компилятором был создан файл, размеры и названия секций, коэффициент сжатия, точку входа и дизассемблированный фрагмента кода на ней, и др. В разных программах список возможностей может различаться.


Скриншот программы PEiD

PEiD, последняя версия 0.95 от ноября 2008 года. Самый популярный анализатор исполняемых файлов. Анализ производится по внутренней и внешней базе сигнатур, есть несколько уровней сканирования от быстрого до глубокого, можно обрабатывать целые каталоги. Функционал легко расширяется внешними плагинами, сигнатуры хранятся в отдельном текстовом файле, так что вы легко можете добавлять туда свои собственные. Для работы с базой сигнатур написана специальная программа PEiDSO. Разработчикам плагинов в комплекте прилагается SDK с примерами на разных языках программирования и описанием API. Скачать PEiD можно с офсайта, но в этом случае нужный набор плагинов и сигнатур вам придется собирать самим. Поэтому я выкладываю тут свою сборку, которой сам пользуюсь. На глобальность она не претендует, так что и критика тоже не принимается.

Читать статью целиком »
Просмотров: 102854 | Комментариев: 87

01 02 next
Наверх
Powered by PCL's Speckled Band Engine 0.2 RC3
© ManHunter / PCL, 2008-2021
При использовании материалов ссылка на сайт обязательна
Время генерации: 0.11 сек. / MySQL: 3 (0.048 сек.) / Память: 5 Mb
Наверх