Мульти-плагин для PEiD, DiE, Bit Detector, SCANiT, ExeScan, FastScanner и PE Tools

Практически все современные анализаторы исполняемых файлов поддерживают внешние модули (плагины), значительно расширяющие их функционал. Это могут быть утилиты для извлечения ресурсов, узкоспециализированные анализаторы протекторов, распаковщики, редакторы исполняемых файлов и множество других модулей. Все хорошо и здорово, если бы не одно "но". Анализаторы чаще всего не совместимы по своим функциям взаимодействия с плагинами. Для решения этой проблемы некоторые авторы начали делать мульти-плагины, которые могут работать с несколькими типами анализаторов. Если мне не изменяет память, то первым таким плагином стал модуль определения точной версии ASProtect под названием VerA от известного реверсера PE_Kill. Он одинаково хорошо работал в PEiD и DiE. Я решил пойти дальше и сделать мульти-плагин, который поддерживает шесть различных анализаторов, а именно PEiD, DiE, Bit Detector, SCANiT, ExeScan и FastScanner, а также подходит для программы PE Tools. Остальные анализаторы исполняемых файлов и подавляющее большинство утилит для реверса, поддерживающие внешние модули, "заточены" на формат плагинов от PEiD, поэтому я их в этом списке даже не упоминаю.

Начнем с формата плагинов для PEiD. Тут используются две функции - LoadDll и DoMyJob. Первая используется для получения имени плагина, вторая - непосредственно для работы плагина с загруженным файлом. С LoadDll ничего сложного:Забегая вперед скажу, что подобная функция используется еще в двух анализаторах, так что при написании реального плагина их можно без проблем объединить. В статье для удобства понимания эти функции разделены.

Читать статью целиком »

Убираем рекламу из uTorrent

Для пополнения своей видеотеки я уже давно пользуюсь бесплатным торрент-клиентом uTorrent, но вот уже два обновления подряд начали показывать рекламный баннер. Я, конечно, понимаю, что при такой популярности программы было бы странным не попытаться поиметь с нее бабла, но... Мне категорически не нравится реклама в программах в любом виде. Сейчас будем возвращать uTorrent его былое великолепие.

Читать статью целиком »

Программы для заморозки времени и обхода триальных защит

В подавляющем большинстве случаев защита коммерческих программ основана на так называемом триале, то есть когда программа работает в полном режиме какое-то время, а затем надо ее зарегистрировать или прекратить использование. В основном такая защита обходится программами для удаления триальных ключей из реестра, но только если для защиты использован известный навесной протектор, или же их защита уже была ранее исследована и добавлена в обработку. Для самодельных защит, а также для обхода малоизвестных протекторов, часто используется трюк с заморозкой или откатом системных часов на определенную дату в прошлое. После таких манипуляций программа считает, что она только что установлена или что триальный срок еще не закончился, и продолжает работать. Здесь я собрал все программы для заморозки времени, которые мне встречались.

Читать статью целиком »

Программы для редактирования ресурсов PE-файлов

Редакторы ресурсов - это специализированные программы для просмотра, создания и изменения ресурсов PE-файлов. С их помощью можно, например, разблокировать пункты меню в шароварной программе, поменять иконку приложения, изменить внешний вид диалоговых окон, выполнить перевод интерфейса и т.п. У каждого специалиста по реверсу есть свой любимый редактор ресурсов, поэтому нельзя сказать, что какой-то из них лучше или хуже. Очень часто для решения разных задач требуются функции какого-нибудь конкретного инструмента, и в этой статье я попробую вкратце рассказать о самых популярных редакторах ресурсов исполняемых файлов.


Restorator - пожалуй, самый известный редактор ресурсов исполняемых файлов в формате exe, dll, ocx, scr, res и других. Позволяет создавать и редактировать стандартные файлы ресурсов .RES, извлекать и добавлять в файл свои ресурсы. Но главное преимущество Restorator в том, что результаты ваших трудов можно несколькими кликами мышки оформить в виде небольшого патча. Таким способом, например, создано огромное количество русификаторов для различных программ. Из замеченных недостатков первый косяк - это необходимость заплатить за использование программы (в прилагаемых вариантах эта проблема уже решена), а второй - дурацкая привычка гадить строчкой "Bome" в служебных полях иконок отредактированного файла.

Читать статью целиком »

Программы для восстановления импорта PE-файлов

Сперва немного теории. Импортируемая функция - это API-функция, которая не находится в исполняемом модуле, но вызывается им. Такие функции физически находятся в одной или более внешних DLL, а в вызывающем исполняемом модуле находится только информация о них. Эта информация оформлена в виде таблицы, включающей сами имена вызываемых функций и названия DLL, в которых они находятся. Более подробную информацию можете поискать в интернете, здесь я останавливаться не буду. Упаковщики и протекторы обрабатывают таблицу импорта и очень часто вносят в нее изменения, направленные на затруднение их снятия. Поэтому восстановление таблицы импорта исполняемых файлов - обязательный процесс при ручной и автоматизированной распаковке. Для восстановления таблицы импорта созданы специальные программы, некоторые из которых есть в свободном доступе.


Самая известная программа для восстановления импорта - ImpRec от MackT. ImpRec позволяет выполнять автоматический поиск таблицы импорта, трассировать несколькими способами нераспознанные функции, а также сохранять таблицу импорта в текстовый файл для последующего анализа и в дальнейшем использовать ее для работы. Поддерживаются плагины определения функций импорта для разных протекторов, в архиве есть примеры с исходными текстами. Также ImpRec распространяется в виде отдельного DLL-файла, который используется во многих проектах (например, ArmaGeddon). Последняя официальная версия ImpRec 1.6 Final, но так как автор открыл исходные тексты, последователями были созданы несколько версий линейки 1.7. Несмотря на все полезные нововведения, я уже несколько раз сталкивался с тем, что версии 1.7 не могут правильно восстановить таблицу импорта, поэтому продолжаю пользоваться классической версией 1.6

Читать статью целиком »