Blog. Just Blog

Быстрый поиск

Введите фрагмент названия статьи для поиска

PCL's JSiD 2.1 Public Release

05.02.2016 | Категория: Мои программы | Автор: ManHunter

Скриншот программы PCL's JSiD

PCL's JSiD - программа для определения чем зашифрован или обработан код JavaScript. Поиск выполняется в основном по сигнатурам, а в некоторых случаях эвристически, так что теоретически возможны неточности в идентификации. Скрипты также можно передавать через командную строку и drag'n'drop. Широко распространенных протекторов для JavaScript очень немного, а большинство упаковщиков и обфускаторов однотипные, поэтому PCL's JSiD определяет пока только следующие алгоритмы.

Читать статью целиком »
Просмотров: 7878 | Комментариев: 37

PCL's PHPiD 2.1 Public Release

04.02.2016 | Категория: Мои программы | Автор: ManHunter

Скриншот программы PCL's PHPiD

PCL's PHPiD - программа для определения чем зашифрован или обработан PHP-скрипт, всего определяет более 80 различных протекторов и обфускаторов. PCL's PHPiD представляет собой один из модулей закрытого проекта Massacre, снабженный графической оболочкой (файл phpid.exe), а также консольный вариант программы (файл phpid_ce.exe). Поиск, в основном, выполняется по сигнатурам, так что теоретически возможны неточности в идентификации, но мне пока такие скрипты не попадались. Также некоторые обфускаторы используют сходные алгоритмы (например, PHP LockIt! и PHP Defender) и на выходе дают практически одинаковый результат. В этом случае точно определить, чем обработан скрипт, не получится, и будет выбран наиболее похожий вариант. Скрипты также можно передавать через командную строку и drag'n'drop.

Читать статью целиком »
Просмотров: 28060 | Комментариев: 94

Управление дизассемблером IDA Pro из своего приложения

29.01.2016 | Категория: Образ мышления: Assembler | Автор: ManHunter

Управление дизассемблером IDA Pro из своего приложения

В одной из предыдущих статей я приводил пример скрипта для запуска hex-редактора HIEW из дизассемблера IDA. Это действительно удобно и экономит кучу времени. Но при ковырянии очередной программы у меня возникла мысль, а можно ли управлять дизассемблером IDA из другого приложения? Конкретно было бы очень полезно реализовать возможность быстрого перехода в листинге дизассемблера на заданный адрес. Например, в HIEW или File Location Calculator нашли нужный адрес и какой-нибудь командой синхронизировали его с результатами работы дизассемблера. Из скриптов или плагинов IDA управляется через обширное по функционалу и неплохо документированное API, но вот никаких штатных инструментов или методов для взаимодействия сторонних приложений напрямую с дизассемблером я не нашел.

Читать статью целиком »
Просмотров: 3918 | Комментариев: 3

Программы для поиска криптоалгоритмов в исполняемых файлах

04.11.2015 | Категория: Темная сторона Силы | Автор: ManHunter

Программы для поиска криптоалгоритмов в исполняемых файлах

При анализе различных защит часто приходится определять, какой алгоритм был использован для шифрования данных или преобразований регистрационного имени в правильный серийный номер. Часто авторы не изобретают велосипедов, а используют готовые алгоритмы шифрования или хеширования. Вы должны понимать, что алгоритмы шифрования и алгоритмы хеширования - это разные вещи, но для удобства в статье я буду называть их просто "криптоалгоритмами". Если алгоритмы стандартные, то их можно идентифицировать, например, по характерным константам-полиномам, таблицам преобразований или по последовательности выполняемых операций (хорошие статьи по этой теме на английском можно почитать тут). Для поиска криптоалгоритмов в исполняемых файлах созданы специальные программы, небольшой обзор которых я подготовил в этой статье.

Читать статью целиком »
Просмотров: 9702 | Комментариев: 10

Armadillo Environment Variables Finder 1.3

16.10.2015 | Категория: Мои программы | Автор: ManHunter

Скриншот программы Armadillo Environment Variables Finder

Armadillo Environment Variables Finder - это вспомогательная утилита для анализа дампов или исполняемых файлов после снятия навесного протектора Armadillo. Она показывает, какие стандартные переменные окружения протектора используются и какие стандартные функции динамической библиотеки ArmAccess.dll вызываются. Поиск выполняется как по ANSI, так и по юникодным строкам. В списке указывается физическое смещение в файле, кодировка и имя найденной переменной или функции. Пользовательские переменные по умолчанию не обрабатываются, но вы можете добавлять нужные вам значения в файл aev_uservars.txt, который должен находиться в каталоге с программой. Двойной клик на строке открывает окно с дополнительной информацией о переменной: виртуальный адрес, физический адрес и перекрестные ссылки на нее. В папке с анализируемым файлом создается лог-файл с результатами поиска. В дальнейшем, найденные значения можно использовать в программе Armadillo Environment Variables Injector.

Читать статью целиком »
Просмотров: 10238 | Комментариев: 15

Наверх
Powered by PCL's Speckled Band Engine 0.2 RC3
© ManHunter / PCL, 2008-2021
При использовании материалов ссылка на сайт обязательна
Время генерации: 0.11 сек. / MySQL: 3 (0.0479 сек.) / Память: 4.75 Mb
Наверх