Plugin Adapter for PE-Analyzers 1.0

С программой Plugin Adapter вы можете использовать ЛЮБОЙ плагин от анализаторов исполняемых файлов PEiD, ExeScan, Bit Detector, SCANiT, FastScanner (плагины от DiE не поддерживаются из-за сложности формата) и сторонние приложения с любыми анализаторами - PEiD, DiE (только оригинальный от Hellspawn до версии 0.65 включительно), ExeScan, Bit Detector, SCANiT и FastScanner, программой PE Tools, а также другими утилитами, которые поддерживают эти форматы плагинов.

Подключение плагинов на примере плагина Krypto ANALYzer для PEiD:

1. Переименуйте файл kanal.dll в kanal.plugin
2. Переименуйте или скопируйте adapter.dll в kanal.dll
3. Скопируйте новый kanal.dll и переименованный kanal.plugin в папку с плагинами вашего любимого анализатора. Оба файла обязательно должны находиться в одной папке
4. Пользуйтесь

Точно так же подключаются и другие плагины. К сожалению, я не могу гарантировать стопроцентную совместимость всех существующих плагинов, ответственность за корректность их работы лежит на их авторах.

Читать статью целиком »

Исследование защиты программы AXE Advanced Hex Editor

AXE Advanced Hex Editor - продвинутый шестнадцатеричный редактор с множеством функций, поддержкой скриптового языка, разбором структур, возможностью работать с файлами неограниченного размера и еще целой кучей всяких приятных плюшек. Разработка программы уже давно прекращена, офсайт тоже не отвечает, оплатить лицензию негде (если вы вдруг решили это сделать). Значит мы можем с чистой совестью поковыряться в его бинарных потрошках.

Читать статью целиком »

Исследование защиты программы APIS32

APIS32 - утилита для просмотра функций API, используемых тем или иным приложением Windows. Вам достаточно выбирать нужные вам функции из списка, запускаете программу-жертву, а APIS32 выдаст полный отчет о всех вызовах этих функций из нее. Если я не ошибаюсь, это одна из первых программ такого рода, но автор явно погорячился, сделав ее платной. Инструменты для реверса просто обязаны быть бесплатными.

Читать статью целиком »

UnWrapper Helper 1.1

UnWrapper Helper - это вспомогательная программа для автоматического восстановления секции кода в исполняемом файле из дампа или напрямую из памяти запущенного процесса. Восстановление заключается в копировании первой найденной секции кода в исходный файл. Это помогает в исследовании различных защит, основанных на враппере, когда секция кода дочернего файла зашифрована или иным образом модифицирована, и расшифровывается в памяти при запуске. Также UnWrapper Helper помогает анализировать изменения, внесенные в код работающего процесса различными сторонними программами: трейнерами для игр, лоадерами, инжекторами и т.п., или же самим процессом (динамическая расшифровка, метаморфный код). В результате работы UnWrapper Helper на диске создается копия исходного файла, но с уже внесенными изменениями в секции кода. Обратите внимание, что UnWrapper Helper не работает с упакованными файлами, так как физический размер секции кода в исходном файле на диске должен соответствовать размеру секции кода в памяти запущенного процесса или в дампе. UnWrapper Helper также НЕ является взломщиком защит, а только автоматизирует трудоемкие ручные действия.

Читать статью целиком »

Исследование защиты программы InspectExe

InspectExe - очень удобное расширение стандартного Проводника Windows для просмотра свойств исполняемых файлов. Кроме обычных вкладок добавляются новые вкладки с инструментами для просмотра секций исполняемого файла, функций импорта, ресурсов, параметров PE-заголовка, сертификатов и т.д. В общем, неплохое подспорье для реверсеров при первоначальном анализе своих жертв. InspectExe распространяется в двух вариантах - бесплатном с некоторыми заблокированными функциями и платном, где никаких ограничений, естественно, нет. Сейчас мы попробуем превратить бесплатную версию InspectExe в полнофункциональную, проведя анализ ее защиты, хотя в приличном обществе это называется не иначе как "вор у вора дубинку украл".

Читать статью целиком »