PCL's PHPiD 2.1 Public Release

PCL's PHPiD - программа для определения чем зашифрован или обработан PHP-скрипт, всего определяет более 80 различных протекторов и обфускаторов. PCL's PHPiD представляет собой один из модулей закрытого проекта Massacre, снабженный графической оболочкой (файл phpid.exe), а также консольный вариант программы (файл phpid_ce.exe). Поиск, в основном, выполняется по сигнатурам, так что теоретически возможны неточности в идентификации, но мне пока такие скрипты не попадались. Также некоторые обфускаторы используют сходные алгоритмы (например, PHP LockIt! и PHP Defender) и на выходе дают практически одинаковый результат. В этом случае точно определить, чем обработан скрипт, не получится, и будет выбран наиболее похожий вариант. Скрипты также можно передавать через командную строку и drag'n'drop.

Читать статью целиком »

Управление дизассемблером IDA Pro из своего приложения

В одной из предыдущих статей я приводил пример скрипта для запуска hex-редактора HIEW из дизассемблера IDA. Это действительно удобно и экономит кучу времени. Но при ковырянии очередной программы у меня возникла мысль, а можно ли управлять дизассемблером IDA из другого приложения? Конкретно было бы очень полезно реализовать возможность быстрого перехода в листинге дизассемблера на заданный адрес. Например, в HIEW или File Location Calculator нашли нужный адрес и какой-нибудь командой синхронизировали его с результатами работы дизассемблера. Из скриптов или плагинов IDA управляется через обширное по функционалу и неплохо документированное API, но вот никаких штатных инструментов или методов для взаимодействия сторонних приложений напрямую с дизассемблером я не нашел.

Читать статью целиком »

Программы для поиска криптоалгоритмов в исполняемых файлах

При анализе различных защит часто приходится определять, какой алгоритм был использован для шифрования данных или преобразований регистрационного имени в правильный серийный номер. Часто авторы не изобретают велосипедов, а используют готовые алгоритмы шифрования или хеширования. Вы должны понимать, что алгоритмы шифрования и алгоритмы хеширования - это разные вещи, но для удобства в статье я буду называть их просто "криптоалгоритмами". Если алгоритмы стандартные, то их можно идентифицировать, например, по характерным константам-полиномам, таблицам преобразований или по последовательности выполняемых операций (хорошие статьи по этой теме на английском можно почитать тут). Для поиска криптоалгоритмов в исполняемых файлах созданы специальные программы, небольшой обзор которых я подготовил в этой статье.

Читать статью целиком »

Armadillo Environment Variables Finder 1.3

Armadillo Environment Variables Finder - это вспомогательная утилита для анализа дампов или исполняемых файлов после снятия навесного протектора Armadillo. Она показывает, какие стандартные переменные окружения протектора используются и какие стандартные функции динамической библиотеки ArmAccess.dll вызываются. Поиск выполняется как по ANSI, так и по юникодным строкам. В списке указывается физическое смещение в файле, кодировка и имя найденной переменной или функции. Пользовательские переменные по умолчанию не обрабатываются, но вы можете добавлять нужные вам значения в файл aev_uservars.txt, который должен находиться в каталоге с программой. Двойной клик на строке открывает окно с дополнительной информацией о переменной: виртуальный адрес, физический адрес и перекрестные ссылки на нее. В папке с анализируемым файлом создается лог-файл с результатами поиска. В дальнейшем, найденные значения можно использовать в программе Armadillo Environment Variables Injector.

Читать статью целиком »

Эвристическое определение производителей фотокамер

Практически все современные фотокамеры записывают в фотографии большое количество различной информации, в том числе наименование производителя камеры и ее модель. Эту информацию можно легко посмотреть и не менее легко отредактировать или вообще удалить. При разработке Shutter Count Viewer я неоднократно сталкивался с подобными файлами и у меня возник вопрос: а можно ли определить хотя бы производителя камеры по каким-нибудь другим признакам, если информация в EXIF удалена, повреждена или модифицирована? Не думаю, что затронутая в статье тема будет интересна широкому кругу читателей, но на сбор этих данных я потратил много времени, и было бы жалко, если оно окажется потраченным впустую. К тому же, насколько я знаю, подобных исследований никто не проводил. Итак, поехали.

Читать статью целиком »