Blog. Just Blog

Быстрый поиск

Введите фрагмент названия статьи для поиска

Эвристическое определение производителей фотокамер

23.09.2015 | Категория: Software | Автор: ManHunter

Эвристическое определение производителей фотокамер

Практически все современные фотокамеры записывают в фотографии большое количество различной информации, в том числе наименование производителя камеры и ее модель. Эту информацию можно легко посмотреть и не менее легко отредактировать или вообще удалить. При разработке Shutter Count Viewer я неоднократно сталкивался с подобными файлами и у меня возник вопрос: а можно ли определить хотя бы производителя камеры по каким-нибудь другим признакам, если информация в EXIF удалена, повреждена или модифицирована? Не думаю, что затронутая в статье тема будет интересна широкому кругу читателей, но на сбор этих данных я потратил много времени, и было бы жалко, если оно окажется потраченным впустую. К тому же, насколько я знаю, подобных исследований никто не проводил. Итак, поехали.

Читать статью целиком »
Просмотров: 3705 | Комментариев: 6

File Location Calculator 1.4

12.08.2015 | Категория: Мои программы | Автор: ManHunter

Скриншот программы File Location Calculator

Программа File Location Calculator предназначена для расчета и конвертирования файлового смещения, Virtual Address (VA) и Relative Virtual Address (RVA) в исполняемых файлах формата x86. В отличие от имеющихся аналогов, калькулятор корректно работает даже с поврежденными или хитро упакованными файлами. File Location Calculator не использует стандартные функции API типа ImageRvaToVa, самостоятельно разбирая структуру файла. Для VA можно сразу же поискать перекрестные ссылки, то есть адреса, которые ссылаются на этот участок памяти. Также в комплекте есть плагин flc.dll для анализаторов исполняемых файлов PEiD, Bit Detector, DiE, SCANiT, ExeScan, FastScanner, PE Tools и других утилит, поддерживающих этот формат плагинов. Калькулятор был написан, когда я столкнулся с печальным фактом, что ВСЕ существующие инструменты выполняют расчеты с ошибками. Даже такие именитые, как HIEW, CFF Explorer, PETools, для всех них я нашел абсолютно корректные PE-файлы и значения, на которых они обламываются. Мой File Location Calculator все считает правильно.

Читать статью целиком »
Просмотров: 22148 | Комментариев: 74

Программы для декомпиляции скриптов Python

22.05.2015 | Категория: Темная сторона Силы | Автор: ManHunter

Программы для декомпиляции скриптов Python

Python - это один из наиболее популярных современных языков программирования. Его поддерживают в качестве скриптового языка различные программы, на нем написано огромное количество различных модулей, плагинов и тому подобное. Исходные тексты на Python можно компилировать в файлы с расширением .pyc, после компиляции они превращаются в нечитаемые бинарные данные. Это далеко не текстовый файл, поэтому, чтобы внести изменения или изучить алгоритм работы такого скрипта, потребуется привести его к исходному виду, то есть декомпилировать. Как ни странно, при всей популярности языка Python, инструментов для реверсинга .pyc-файлов создано не так уж и много.

Читать статью целиком »
Просмотров: 28981 | Комментариев: 9

Скрипт для запуска HIEW из IDA

06.10.2014 | Категория: Software | Автор: ManHunter
Больше года назад на форуме EXEL@B проскочил очень полезный скрипт для дизассемблера IDA, который позволял запускать HIEW прямо из рабочей среды, открывая редактор сразу же на том адресе, где в IDA стоял курсор. Если учесть, что при разборе программ я чаще всего использую именно эти два инструмента, то такое решение стало неплохим подспорьем в работе. К сожалению, авторство скрипта я не помню, а поиском по форуму найти его не удалось. Но было бы жалко, если такой полезный инструмент канет в небытие. Я только немного подкорректировал скрипт, чтобы запуск HIEW выполнялся асинхронно, и после запуска главное окно IDA не блокировалось в ожидании завершения процесса.

#include <idc.idc>
static RunHIEW() {
  auto ea, type;
  ea = ScreenEA();
  if (GetSegmentAttr(ea,SEGATTR_TYPE) == SEG_CODE) type = "c";
  else type = "h";
  Message("hiew32.exe /O"+type+"=."+ltoa(ea,16)+
        " \""+GetInputFilePath()+"\"\n");
  Exec("start \"\" \"D:\\HIEW\\hiew32.exe\" /O"+type+
        "=."+ltoa(ea,16)+" \""+GetInputFilePath()+"\"");
}

static main() {
  AddHotkey("Alt-E", "RunHIEW");
  return 0;
}

Путь до HIEW жестко прописывается в скрипте, его надо отредактировать в соответствии с вашей системой. Для удобства можно добавить функцию RunHIEW и команду назначения горячей клавиши в скрипт автозапуска \idc\ida.idc. В приложении к статье я добавил сам скрипт ida-hiew.idc и модифицированный ida.idc.

Читать статью целиком »
Просмотров: 6463 | Комментариев: 10

Программы для распаковки электронных книг

07.08.2014 | Категория: Темная сторона Силы | Автор: ManHunter

Программы для распаковки электронных книг

Электронные книги обычно представляют собой большое количество HTML-файлов с картинками, текстовых файлов, PDF-документов, которые упакованы в один компактный исполняемый файл. Часто такие электронные книги требуют ввода пароля или какой-нибудь платной активации по SMS или почте. Естественно, аффтары прикладывают все усилия, чтобы из ихних поделий нельзя было извлечь исходные файлы или скопировать информацию. Я считаю, что барыжить книгами - это неправильно, поэтому собрал небольшую коллекцию инструментов для распаковки электронных книг.

Читать статью целиком »
Просмотров: 15718 | Комментариев: 20

Наверх
Powered by PCL's Speckled Band Engine 0.2 RC3
© ManHunter / PCL, 2008-2021
При использовании материалов ссылка на сайт обязательна
Время генерации: 0.15 сек. / MySQL: 3 (0.0506 сек.) / Память: 4.75 Mb
Наверх