File Location Calculator 1.4

Программа File Location Calculator предназначена для расчета и конвертирования файлового смещения, Virtual Address (VA) и Relative Virtual Address (RVA) в исполняемых файлах формата x86. В отличие от имеющихся аналогов, калькулятор корректно работает даже с поврежденными или хитро упакованными файлами. File Location Calculator не использует стандартные функции API типа ImageRvaToVa, самостоятельно разбирая структуру файла. Для VA можно сразу же поискать перекрестные ссылки, то есть адреса, которые ссылаются на этот участок памяти. Также в комплекте есть плагин flc.dll для анализаторов исполняемых файлов PEiD, Bit Detector, DiE, SCANiT, ExeScan, FastScanner, PE Tools и других утилит, поддерживающих этот формат плагинов. Калькулятор был написан, когда я столкнулся с печальным фактом, что ВСЕ существующие инструменты выполняют расчеты с ошибками. Даже такие именитые, как HIEW, CFF Explorer, PETools, для всех них я нашел абсолютно корректные PE-файлы и значения, на которых они обламываются. Мой File Location Calculator все считает правильно.

Читать статью целиком »

Программы для декомпиляции скриптов Python

Python - это один из наиболее популярных современных языков программирования. Его поддерживают в качестве скриптового языка различные программы, на нем написано огромное количество различных модулей, плагинов и тому подобное. Исходные тексты на Python можно компилировать в файлы с расширением .pyc, после компиляции они превращаются в нечитаемые бинарные данные. Это далеко не текстовый файл, поэтому, чтобы внести изменения или изучить алгоритм работы такого скрипта, потребуется привести его к исходному виду, то есть декомпилировать. Как ни странно, при всей популярности языка Python, инструментов для реверсинга .pyc-файлов создано не так уж и много.

Читать статью целиком »

Скрипт для запуска HIEW из IDA

Больше года назад на форуме EXEL@B проскочил очень полезный скрипт для дизассемблера IDA, который позволял запускать HIEW прямо из рабочей среды, открывая редактор сразу же на том адресе, где в IDA стоял курсор. Если учесть, что при разборе программ я чаще всего использую именно эти два инструмента, то такое решение стало неплохим подспорьем в работе. К сожалению, авторство скрипта я не помню, а поиском по форуму найти его не удалось. Но было бы жалко, если такой полезный инструмент канет в небытие. Я только немного подкорректировал скрипт, чтобы запуск HIEW выполнялся асинхронно, и после запуска главное окно IDA не блокировалось в ожидании завершения процесса.

#include <idc.idc>
static RunHIEW() {
  auto ea, type;
  ea = ScreenEA();
  if (GetSegmentAttr(ea,SEGATTR_TYPE) == SEG_CODE) type = "c";
  else type = "h";
  Message("hiew32.exe /O"+type+"=."+ltoa(ea,16)+
        " \""+GetInputFilePath()+"\"\n");
  Exec("start \"\" \"D:\\HIEW\\hiew32.exe\" /O"+type+
        "=."+ltoa(ea,16)+" \""+GetInputFilePath()+"\"");
}

static main() {
  AddHotkey("Alt-E", "RunHIEW");
  return 0;
}

Путь до HIEW жестко прописывается в скрипте, его надо отредактировать в соответствии с вашей системой. Для удобства можно добавить функцию RunHIEW и команду назначения горячей клавиши в скрипт автозапуска \idc\ida.idc. В приложении к статье я добавил сам скрипт ida-hiew.idc и модифицированный ida.idc.

Читать статью целиком »

Программы для распаковки электронных книг

Электронные книги обычно представляют собой большое количество HTML-файлов с картинками, текстовых файлов, PDF-документов, которые упакованы в один компактный исполняемый файл. Часто такие электронные книги требуют ввода пароля или какой-нибудь платной активации по SMS или почте. Естественно, аффтары прикладывают все усилия, чтобы из ихних поделий нельзя было извлечь исходные файлы или скопировать информацию. Я считаю, что барыжить книгами - это неправильно, поэтому собрал небольшую коллекцию инструментов для распаковки электронных книг.

Читать статью целиком »

Alawar 2014 UnWrapper 1.0

Небольшая утилита для отвязывания игр Alawar от нового враппера. Работает в статике, не требует запуска игры и сброса триального времени. Пользоваться очень просто: нажимаете кнопку "Select File", выбираете защищенный файл. Если версия защиты поддерживается, то файл будет сразу же отвязан от враппера.

Читать статью целиком »