Blog. Just Blog

Быстрый поиск

Введите фрагмент названия статьи для поиска

Plugin Adapter for PE-Analyzers 1.0

21.06.2013 | Категория: Мои программы | Автор: ManHunter

Скриншот программы Plugin Adapter for PE-Analyzers

С программой Plugin Adapter вы можете использовать ЛЮБОЙ плагин от анализаторов исполняемых файлов PEiD, ExeScan, Bit Detector, SCANiT, FastScanner (плагины от DiE не поддерживаются из-за сложности формата) и сторонние приложения с любыми анализаторами - PEiD, DiE (только оригинальный от Hellspawn до версии 0.65 включительно), ExeScan, Bit Detector, SCANiT и FastScanner, программой PE Tools, а также другими утилитами, которые поддерживают эти форматы плагинов.

Подключение плагинов на примере плагина Krypto ANALYzer для PEiD:
  1. Переименуйте файл kanal.dll в kanal.plugin
  2. Переименуйте или скопируйте adapter.dll в kanal.dll
  3. Скопируйте новый kanal.dll и переименованный kanal.plugin в папку с плагинами вашего любимого анализатора. Оба файла обязательно должны находиться в одной папке
  4. Пользуйтесь
Точно так же подключаются и другие плагины. К сожалению, я не могу гарантировать стопроцентную совместимость всех существующих плагинов, ответственность за корректность их работы лежит на их авторах.

Читать статью целиком »
Просмотров: 6066 | Комментариев: 7

Мульти-плагин для PEiD, DiE, Bit Detector, SCANiT, ExeScan, FastScanner и PE Tools

10.01.2013 | Категория: Образ мышления: Assembler | Автор: ManHunter
Практически все современные анализаторы исполняемых файлов поддерживают внешние модули (плагины), значительно расширяющие их функционал. Это могут быть утилиты для извлечения ресурсов, узкоспециализированные анализаторы протекторов, распаковщики, редакторы исполняемых файлов и множество других модулей. Все хорошо и здорово, если бы не одно "но". Анализаторы чаще всего не совместимы по своим функциям взаимодействия с плагинами. Для решения этой проблемы некоторые авторы начали делать мульти-плагины, которые могут работать с несколькими типами анализаторов. Если мне не изменяет память, то первым таким плагином стал модуль определения точной версии ASProtect под названием VerA от известного реверсера PE_Kill. Он одинаково хорошо работал в PEiD и DiE. Я решил пойти дальше и сделать мульти-плагин, который поддерживает шесть различных анализаторов, а именно PEiD, DiE, Bit Detector, SCANiT, ExeScan и FastScanner, а также подходит для программы PE Tools. Остальные анализаторы исполняемых файлов и подавляющее большинство утилит для реверса, поддерживающие внешние модули, "заточены" на формат плагинов от PEiD, поэтому я их в этом списке даже не упоминаю.

Начнем с формата плагинов для PEiD. Тут используются две функции - LoadDll и DoMyJob. Первая используется для получения имени плагина, вторая - непосредственно для работы плагина с загруженным файлом. С LoadDll ничего сложного:
Code (Assembler) : Убрать нумерацию
  1. ;-----------------------------------------------------------
  2. ; PEiD - запрос имени плагина
  3. ;-----------------------------------------------------------
  4. proc LoadDll
  5.         ; Вернуть в регистре EAX указатель на строку названия
  6.         mov     eax,plugName
  7.         ret
  8. endp
Забегая вперед скажу, что подобная функция используется еще в двух анализаторах, так что при написании реального плагина их можно без проблем объединить. В статье для удобства понимания эти функции разделены.

Читать статью целиком »
Просмотров: 6064 | Комментариев: 8

Программы для анализа исполняемых файлов

22.03.2009 | Категория: Темная сторона Силы | Автор: ManHunter
Перед атакой на любую навесную защиту полезно узнать какой упаковщик или протектор был использован. С опытом вы сможете определять на глаз большинство протекторов, но для более точной проверки используются анализаторы исполняемых файлов. Кроме информации об упаковщике или протекторе они также предоставляют много других полезных данных: каким компилятором был создан файл, размеры и названия секций, коэффициент сжатия, точку входа и дизассемблированный фрагмента кода на ней, и др. В разных программах список возможностей может различаться.


Скриншот программы PEiD

PEiD, последняя версия 0.95 от ноября 2008 года. Самый популярный анализатор исполняемых файлов. Анализ производится по внутренней и внешней базе сигнатур, есть несколько уровней сканирования от быстрого до глубокого, можно обрабатывать целые каталоги. Функционал легко расширяется внешними плагинами, сигнатуры хранятся в отдельном текстовом файле, так что вы легко можете добавлять туда свои собственные. Для работы с базой сигнатур написана специальная программа PEiDSO. Разработчикам плагинов в комплекте прилагается SDK с примерами на разных языках программирования и описанием API. Скачать PEiD можно с офсайта, но в этом случае нужный набор плагинов и сигнатур вам придется собирать самим. Поэтому я выкладываю тут свою сборку, которой сам пользуюсь. На глобальность она не претендует, так что и критика тоже не принимается.

Читать статью целиком »
Просмотров: 102854 | Комментариев: 87

01 02 next
Это я :-)
Если программист в девять утра уже на работе, значит он там же и ночевал
Главная страница Web-мастеру и не только Образ мышления: Assembler Мои программы Software Темная сторона Силы Обзоры техники А еще я туда ем! Жизнь в оффлайне Всякая всячина
Карта сайта Ссылки Обратная связь Правила сайта Настройки сайта RSS-канал
Ограничение по возрасту 16+ Материалы, опубликованные на этом сайте, не рекомендуются к просмотру лицам в возрасте до 16 лет без присутствия взрослых.
Метки статей
.NET (19), AJAX (5), Assembler (244), COM (16), CSS (37), Exif (14), FASM (7), Firefox (7), HDD (9), Hello Teddy (9), HTML (44), iconBIT (4), JavaScript (61), MySQL (11), Nikon (19), PDF (8), PHP (92), Samsung (6), SEO (12), Sublime Text (9), TintonLife (4), Windows 7 (62), аккумуляторы (22), аксессуары (11), анализаторы файлов (8), архиваторы (5), аттракционы (6), безопасность (50), браузеры (16), бытовая техника (8), варенье (15), ВВЦ (9), ВДНХ (7), видео (20), Воробьевы горы (4), вторые блюда (94), выпечка (18), выставки (99), генератор ПСЧ (5), графика (82), десерты (27), Египет (7), заготовки на зиму (35), закуска (17), закуска к пиву (20), зарядные устройства (22), защита (15), зоопарки (9), игры (29), иконки (18), интерфейс (21), исследование защиты (238), каша (4), клавиатура (7), Коломенское (35), консоль (5), концерты (52), Кузьминки (4), куклы (25), ледяные скульптуры (6), мои программы (62), мониторы (6), музеи (63), мультимедиа (40), мясо (41), напитки (11), ноутбуки (6), обфускация (6), окна (63), оформление сайта (44), парки Москвы (7), песчаные скульптуры (13), плееры (10), подводная съемка (4), поздравления (103), полезные функции (34), прохождения (4), процессы (19), птица (16), путешествия (24), распаковка (12), реверсинг (45), рыба (30), салаты (16), сброс триала (4), сеть (27), система (147), Сокольники (8), супы (12), телефоны (7), Тунис (6), файлы справки (6), фаст-фуд (14), фестиваль цветов (5), флешки (5), фото (23), хеши (15), числа (8), юмор (12), яйца (16)
Вам помог этот сайт?
Сказать спасибо! Поблагодарили 28,192 раза
<< 2021 - АПРЕЛЬ >>
Пн Вт Ср Чт Пт Сб Вс
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30    
Национальный день донора
Нашли на сайте орфографическую ошибку? Выделите ее мышкой и нажмите
Ctrl
+
Enter
Буду очень благодарен, если размеcтите мою кнопочку:
Личный блог ManHunter'а
Valid CSS Valid XHTML 1.0 Transitional Valid mobileOK Basic Valid RSS
Яндекс тИЦ: {YANDEX_TIC} Яндекс ИКС: 410
Сейчас я слушаю
---
Имя:

Сообщение:

Осталось символов: 200

   
-
Наверх
Powered by PCL's Speckled Band Engine 0.2 RC3
© ManHunter / PCL, 2008-2021
При использовании материалов ссылка на сайт обязательна
Время генерации: 0.11 сек. / MySQL: 3 (0.048 сек.) / Память: 5 Mb
Наверх