Управление дизассемблером IDA Pro из своего приложения

В одной из предыдущих статей я приводил пример скрипта для запуска hex-редактора HIEW из дизассемблера IDA. Это действительно удобно и экономит кучу времени. Но при ковырянии очередной программы у меня возникла мысль, а можно ли управлять дизассемблером IDA из другого приложения? Конкретно было бы очень полезно реализовать возможность быстрого перехода в листинге дизассемблера на заданный адрес. Например, в HIEW или File Location Calculator нашли нужный адрес и какой-нибудь командой синхронизировали его с результатами работы дизассемблера. Из скриптов или плагинов IDA управляется через обширное по функционалу и неплохо документированное API, но вот никаких штатных инструментов или методов для взаимодействия сторонних приложений напрямую с дизассемблером я не нашел.

Читать статью целиком »

Программы для поиска криптоалгоритмов в исполняемых файлах

При анализе различных защит часто приходится определять, какой алгоритм был использован для шифрования данных или преобразований регистрационного имени в правильный серийный номер. Часто авторы не изобретают велосипедов, а используют готовые алгоритмы шифрования или хеширования. Вы должны понимать, что алгоритмы шифрования и алгоритмы хеширования - это разные вещи, но для удобства в статье я буду называть их просто "криптоалгоритмами". Если алгоритмы стандартные, то их можно идентифицировать, например, по характерным константам-полиномам, таблицам преобразований или по последовательности выполняемых операций (хорошие статьи по этой теме на английском можно почитать тут). Для поиска криптоалгоритмов в исполняемых файлах созданы специальные программы, небольшой обзор которых я подготовил в этой статье.

Читать статью целиком »

Armadillo Environment Variables Finder 1.3

Armadillo Environment Variables Finder - это вспомогательная утилита для анализа дампов или исполняемых файлов после снятия навесного протектора Armadillo. Она показывает, какие стандартные переменные окружения протектора используются и какие стандартные функции динамической библиотеки ArmAccess.dll вызываются. Поиск выполняется как по ANSI, так и по юникодным строкам. В списке указывается физическое смещение в файле, кодировка и имя найденной переменной или функции. Пользовательские переменные по умолчанию не обрабатываются, но вы можете добавлять нужные вам значения в файл aev_uservars.txt, который должен находиться в каталоге с программой. Двойной клик на строке открывает окно с дополнительной информацией о переменной: виртуальный адрес, физический адрес и перекрестные ссылки на нее. В папке с анализируемым файлом создается лог-файл с результатами поиска. В дальнейшем, найденные значения можно использовать в программе Armadillo Environment Variables Injector.

Читать статью целиком »

Эвристическое определение производителей фотокамер

Практически все современные фотокамеры записывают в фотографии большое количество различной информации, в том числе наименование производителя камеры и ее модель. Эту информацию можно легко посмотреть и не менее легко отредактировать или вообще удалить. При разработке Shutter Count Viewer я неоднократно сталкивался с подобными файлами и у меня возник вопрос: а можно ли определить хотя бы производителя камеры по каким-нибудь другим признакам, если информация в EXIF удалена, повреждена или модифицирована? Не думаю, что затронутая в статье тема будет интересна широкому кругу читателей, но на сбор этих данных я потратил много времени, и было бы жалко, если оно окажется потраченным впустую. К тому же, насколько я знаю, подобных исследований никто не проводил. Итак, поехали.

Читать статью целиком »

File Location Calculator 1.4

Программа File Location Calculator предназначена для расчета и конвертирования файлового смещения, Virtual Address (VA) и Relative Virtual Address (RVA) в исполняемых файлах формата x86. В отличие от имеющихся аналогов, калькулятор корректно работает даже с поврежденными или хитро упакованными файлами. File Location Calculator не использует стандартные функции API типа ImageRvaToVa, самостоятельно разбирая структуру файла. Для VA можно сразу же поискать перекрестные ссылки, то есть адреса, которые ссылаются на этот участок памяти. Также в комплекте есть плагин flc.dll для анализаторов исполняемых файлов PEiD, Bit Detector, DiE, SCANiT, ExeScan, FastScanner, PE Tools и других утилит, поддерживающих этот формат плагинов. Калькулятор был написан, когда я столкнулся с печальным фактом, что ВСЕ существующие инструменты выполняют расчеты с ошибками. Даже такие именитые, как HIEW, CFF Explorer, PETools, для всех них я нашел абсолютно корректные PE-файлы и значения, на которых они обламываются. Мой File Location Calculator все считает правильно.

Читать статью целиком »