LINUX.ORG.RU

DiE 0.91 — анализатор исполняемых файлов

 , ,


6

3

Cостоялся очередной выпуск DiE (Detect It Easy) — утилиты для определения типа упаковщика/протектора/компилятора у исполняемых файлов. Программа позволяет узнать, чем сжат файл, что полезно для его дальнейшей распаковки. Эта версия нацелена, в основном на исправление ошибок.

Первоначально, проект развивался исключительно под Windows, но был заброшен автором в 2007 году. Через 4 года исходный код был передан другому разработчику, который продолжил развитие проекта, переписал утилиту на Qt, добавил определение множества упаковщиков и компиляторов, расширил функциональность.

Основные возможности:

  • определение упаковщика/протектора/компилятора (поддерживаются форматы ELF, MS-DOS, PE, MACH, Text, Binary)
  • просмотр импорта
  • просмотр секций
  • просмотр в шестнадцатеричном представлении
  • дизассемблирование файла
  • просмотр основных характеристик PE
  • вычисление хешей MD5 и CRC32
  • поддержка плагинов
  • добавление собственных сигнатур (предусмотрен специальный JS-подобный язык)
  • возможность работы без графического интерфейса
  • копирование информации двойным щелчком

Доступны готовые сборки для Linux (32- и 64-бит), Windows и Mac OS. Исходный код размещён на GitHub. Программа бесплатна для коммерческого и некоммерческого использования.

>>> Подробности

anonymous

Проверено: Shaman007 ()

А можно привести пример из жизни - зачем оно надо?

tereshchenko ()
Ответ на: комментарий от tereshchenko

Можно. Хочешь ты поправить размер поля какого-нибудь, потому что у тебя туда текст не влазит. Берешь, загружаешь программу в какой-нибудь редактор ресурсов... опа, а она упакована. Узнаешь чем (вот такая программа и пригодилась), находишь распаковщик, распаковываешь. Это самый простой вариант.

Если рассматривать незаконные варианты - то для взлома программ используется.

blueboar3 ()
Ответ на: комментарий от blueboar3

Хочешь ты поправить размер поля какого-нибудь, потому что у тебя туда текст не влазит. Берешь, загружаешь программу в какой-нибудь редактор ресурсов

Виндовенько.

yoghurt ★★★★★ ()

Спасибо, как раз искал нечто подобное.

dead_PXL ★★ ()

Нет эвристики для детекта каким компилятором собирался исполняемый модуль?

h4tr3d ★★★★★ ()
Ответ на: комментарий от tereshchenko

Больше для реверс-ижиниринга. Раз в пятилетку, но подобный функционал лично мне бывает нужен.

h4tr3d ★★★★★ ()

Новость позитивная, для тех кто реверсом занимается. К сожалению, не смотря на то что binary вроде поддерживается, версию компилятора видюшного firmware не определил. А я уже на халяву понадеялся :)

A-234 ★★★★★ ()
Ответ на: комментарий от xsektorx

лицензия?

Нету, как таковой. «Бесплатно для любого использования».

OpenSource

Исходники-то доступны.

anonymous ()
Ответ на: комментарий от anonymous

Исходники-то доступны

вот это и есть проблема «опенсорса». и вот это причина, по которой не следует пользоваться этим терминам. «Бесплатно для любого использования» - не канает под определения ни свободного софта, ни опенсорса, ни dfsg, который стал основой для определения опенсорс. тут нету ничего про бесплатность: http://opensource.org/osd

так что либо лицуху мути, либо явно обозначай условия использования, либо это проприетарное программное обеспечение. то, что ты исходники показал не лишает тебя всех остальных неявно подразумеваемых прав. ибо государственная машина присваивает их тебе по дефолту

xsektorx ★★★ ()
Ответ на: комментарий от xsektorx

либо явно обозначай условия использования

Написано же: Detect It Easy is absolute free for commercial and non-commercial use.

Что тебе ещё нужно?

anonymous ()
Ответ на: комментарий от tereshchenko

DiE (по крайней мере, версия под Windows лет 5 назад) имеет еще и кучу интересных плагинов, типа, если программа проверяет свою CRC, плагином можно быстренько подправить ее (дописать 4 байта в конец, чтобы создать коллизию). Есть всякие плагины для детектирования используемых хеш-функций, шифрования. В общем, по большому счету, это для реверсинга.

ValdikSS ★★★★★ ()
Ответ на: комментарий от anonymous

absolute free for commercial and non-commercial use

это значит только то, что она бесплатная

Что тебе ещё нужно?

свободная лицензия

xsektorx ★★★ ()
Ответ на: комментарий от anonymous

http://www.gnu.org/licenses/license-list.html

отлично, вторая версия тут есть, даже гпл-совместимая, хоть и не рекомендованная. теперь надо её применить к своему софту, вот инструкции: http://www.wtfpl.net/faq/

не сочти за придирки с моей стороны, сочти это за придирки со стороны государства. твои слова на лоре юридически ничего не значат

xsektorx ★★★ ()

Чем она лучше radare2+yara?

XVilka ★★★★ ()
Ответ на: комментарий от xsektorx

В свободном обществе вы не имеете права требовать от программы наличия лицензии и требовать автора принять религию... то есть лицензию.

anonymous ()
Ответ на: комментарий от XVilka

Yara ищет только по надерганным из PEID сигнатурам. Никакой эвристики и расширяемости. Всё это уже лет 10 как устарело.

anonymous ()
Ответ на: комментарий от anonymous

Я не автор этой программы

чего ж ты тогда за него отвечаешь на вопрос о лицензии?

xsektorx ★★★ ()
Ответ на: комментарий от anonymous

к сожалению, государство не даёт нам возможности жить в свободном обществе, поэтому приходится использовать копирайт против копирайта и остерегаться ловушек

xsektorx ★★★ ()
Ответ на: комментарий от xsektorx

чего ж ты тогда за него отвечаешь на вопрос о лицензии?

Так ты что, этот вопрос тут автору задавал?

Откуда ты знаешь что он вообще знает о существовании тут этой темы? Откуда ты знаешь что он вообще говорит по русски?

anonymous ()
Ответ на: комментарий от xsektorx

новость ты размещал? раздел ты выбирал?

Нет, не я.И с чего ты это взял, что тот кто разместил эту новость - автор?

Считаешь, что здесь исключительно авторы постят? Спешу разочаровать.

anonymous ()

Доступны готовые сборки для Linux

Сразу заметно что автор этих сборок Debian не уважает.

Rodegast ★★★★★ ()
Последнее исправление: Rodegast (всего исправлений: 1)
Ответ на: комментарий от anonymous

Неверно, там куча сигнатур из разных мест, в том числе и из антивирусных компаний.

XVilka ★★★★ ()
Ответ на: комментарий от anonymous

возможно тс и не автор программы, но он мог бы выбрать более подходящий раздел

xsektorx ★★★ ()
Ответ на: комментарий от XVilka

Неверно, там куча сигнатур из разных мест, в том числе и из антивирусных компаний.

Именно так. Всё спёрли с этого файла. http://www.woodmann.com/collaborative/tools/index.php/Neil's_Collection_of_Pa...

Ну да Бог с ним, главное чтобы верно детектило, но и этого нет.

Сама идея детекта одним лишь только сканированием энтрипойнта умерла вместе с пейдом 10 лет назад.

anonymous ()

утилиты для определения типа упаковщика/протектора/компилятора у исполняемых файлов

переписал утилиту на Qt

WUT?

MyTrooName ★★★★★ ()

Разработчик русскоговорящий, так что вопросы о лицензии можно обсудить с ним. На гитхабе или по эл.почте.

Но, мне кажется будут затруднения. Один из первоначальных авторов уже годы не появляется в русскоязычном crack-сообществе. Второй - модерирует форум exelab.ru, но в целом тоже отошёл от дел из-за нехватки времени. Так что, если сменить лицензию, скажем на BSD, то с вероятностью 99% никто против не будет, но формально согласие всех, кто писал код, получить будет затруднительно. А без этого ведь не православно?

anonymous ()
Ответ на: комментарий от A-234

Новость позитивная, для тех кто реверсом занимается. К сожалению, не смотря на то что binary вроде поддерживается, версию компилятора видюшного firmware не определил. А я уже на халяву понадеялся :)

Не знаю, как в линусовой, но в виндовой версии есть мануал по созданию сигнатур (\SDK\How to create signatures(RU).pdf), если что.

anonymous ()

Когда–то была годная тулза. Не такая годная, как PEiD, но вполне себе на уровне. Затем Hellsp@wn перестал ей заниматься. В 2013 исходники отдали левому чудаку, который ничего, кроме как портить проекты, переписывая их на Qt, не умеет. И в реверсинге ничем толковым тоже не отметился.

Результат очевиден. Из крошечной (несколько сотен килобайт), программа превратилась в огромного уродливого монстра, насквозь завязанного на Qt. Опенсорсом тоже не пахнет — на гитхабе лежат сигнатуры, визуальные темы, тексты хелпа, ит.д. В общем что угодно, кроме сырцов. Не знаю, жлобство это или условие оригинального автора.

Тем не менее, на выходе невероятно жирная (для крякерской тулзы), мерзкая проприетарщина. Пилится она уже год, но всё полезное (новые сигнатуры, плагины под другие тулзы), судя по чейнджлогу, делается силами сообщества, а не автора, сидящего на сырцах.

anonymous ()
Ответ на: комментарий от anonymous

Когда–то была годная тулза. Не такая годная, как PEiD, но вполне себе на уровне.

Peid очень древняя и никому не нужная тулза.

anonymous ()

detect it easy

Вообще-то, должно быть detect it easily, ибо easy - прилагательное.

Deleted ()
Ответ на: комментарий от anonymous

В 2013 исходники отдали левому чудаку, который ничего, кроме как портить проекты, переписывая их на Qt, не умеет. И в реверсинге ничем толковым тоже не отметился.

Дай угадаю - он тебя лично обидел?

anonymous ()
Ответ на: комментарий от anonymous

Дай угадаю - он тебя лично обидел?

Не угадал. Обидно что отдали левому человеку.

Но до этого натыкался на творчество этого же чудака по переписыванию TICQLib на C++/Qt — и ещё тогда грязно выматерился.

anonymous ()
Ответ на: комментарий от anonymous

Но до этого натыкался на творчество этого же чудака по переписыванию TICQLib на C++/Qt — и ещё тогда грязно выматерился.

Добро пожаловать в мир открытого ПО! Здесь никто никому не должен. Если не нравится C++/Qt, то берешь и переписываешь на питоне. Только будь готов что вместо спасибок найдётся такой же как ты чудак, который скажет что чудак это ты и нужно было все писать на Visual Basic. Ему из его подвала виднее...

anonymous ()
Ответ на: комментарий от anonymous

Обидно что отдали левому человеку.

Был брошен клич «отдам исходники тому, кто будет продолжать развитие тулзы». Ты пробовал просить исходники? Или, как обычно, предложение валялось год, нашелся один человек, который захотел продолжать, и откуда-то тут повылазили те, кто всегда готов рассказать, как в действительности нужно развивать тулзу и какой автор мудак.

anonymous ()
Ответ на: комментарий от anonymous

Охлол. Хорсег, залогиньтесь! И вообще, где общак сорцы?

anonymous ()

В 2006 году исходники этой программы были обманом украдены у паренька-инвалида из Харькова. Некто Hellspawn стал пилить мерзкую поприетарщину на дельфи, хотя изначально программа была на асме.

Ещё он админ на нескольких сайтах и банит тех кто борется за Линукс и свободное программирование.

anonymous ()
Ответ на: комментарий от tereshchenko

Embedded-устройства (роутеры, выключатели, плееры), игры (игровые автоматы и драйверы к ним).

ValdikSS ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.