WinDowzer 1.4

Программа показывает полезную системную информацию о диалоговом окне или элементе интерфейса, которые находятся под курсором мыши: хэндл окна, родительское окно, размер окна, название класса, стили, адреса процедур обработки, пользовательские данные, родительское приложение. Поддерживается юникод. Программ такого типа чуть более чем много, но среди всего этого изобилия так и не нашлось программы с нужным мне функционалом. Поэтому пришлось делать ее самому. Для тех, кто не читает документацию: перехват включается и выключается по горячей клавише Alt+Ctrl+W.

Читать статью целиком »

Дизассемблеры и декомпиляторы исполняемых файлов

В комментариях к статьям меня часто спрашивают где взять тот или иной инструмент, используемый в исследовании. По возможности я всегда указываю ссылки, но теперь настало время самых мощных инструментов, а именно дизассемблеров и декомпиляторов исполняемых файлов. Сразу уточню терминологию. Дизассемблирование - преобразование программы из двоичного кода к ее ассемблерному представлению. Декомпиляция - процесс воссоздания исходного кода программы.

Читать статью целиком »

Исследование защиты программы Datahammer 7yuv

Datahammer 7yuv - уникальный инструмент для исследователя файлов. Эта программа позволяет искать, просматривать и редактировать "сырые" изображения, которые находятся внутри двоичных файлов. Например, иконки в прошивках различных устройств, графические файлы неизвестных форматов, дампы памяти и т.п. Программа платная, я даже допускаю, что и цена для утилиты с такими возможностями может быть оправдана. Но с другой стороны, платная программа для реверса - это звучит странно.

Читать статью целиком »

Armadillo Environment Variables Injector 1.5

Armadillo Environment Variables Injector - это вспомогательная утилита для обхода защиты программ, основанной на переменных окружения навесного протектора Armadillo. После снятия Armadillo и восстановления дампа, при помощи Armadillo Environment Variables Injector вы можете добавить в распакованный файл код, который при запуске будет автоматически устанавливать переменные окружения в нужные значения. Тем самым отпадает необходимость искать и патчить проверки переменных окружения в самой программе. Работоспособность проверена на Windows XP и Windows 7, в том числе на 64-битных системах. Поддерживаются исполняемые файлы и DLL-библиотеки. Для поиска имен используемых в файле переменных можно воспользоваться утилитой Armadillo Environment Variables Finder.

Armadillo Environment Variables Injector позволяет инжектить код двумя способами на выбор: в пустую область в конце секции кода или путем добавления новой секции в исполняемый файл.

Если для распаковки вы используете ArmaGeddon, то НЕ ставьте галочку на опции "Minimize size", так как в этом случае патч путем добавления новой секции будет невозможен. Для удаления секций протектора после распаковки я рекомендую пользоваться программой CFF Explorer.

В качестве полезной нагрузки разработчики софта тоже могут использовать утилиту Armadillo Environment Variables Injector. С ее помощью можно проверять и отлаживать реакцию своих программ на различные события Armadillo без необходимости каждый раз навешивать сам протектор.

Читать статью целиком »

Исследование защиты программы Restorator

Restorator - один из самых известных редакторов ресурсов для Windows. Основная фишка, которая мне в нем нравилась больше всего - это возможность создания автономных патчей ресурсов, например, для русификации программ. Но этим, конечно же, список его достоинств не ограничивается. К недостаткам могу отнести, пожалуй, весьма специфический интерфейс для работы с файлами и необходимость выкладывать деньги за лицензию. Много лет этот редактор не обновлялся, а тут вдруг разработчики решили допилить его под современные реалии. Так что эта статья посвящается возвращению легенды.

Читать статью целиком »