Ida Pro. Перекомпиляция программ

1.   Под перекомпиляцией подразумевается декомпилирование, получение ассемблерного кода при помощи программы Ida Pro , а затем компилирование и сборка программы из полученного кода

    Когда - то давно решил подобную задачу. При написании драйвера к одному старому печатному устройству, декомпилировал стандарный драйвер LPT для Windows 98, вставил нужные куски и скомпилировал обратно. Вроде все работало. Хотелось описать этот процесс, чтобы при необходимости (а вдруг?) все шло быстрее. Но лень, неумение структурно излагать свои мысли и т. д. и желание описывать было забыто

    А тут нашел сайт, в котором процесс перекомпиляции кода очень хорошо описан. Надо, конечно, запомнить на него ссылку, что и делаю этим постом. Кроме того, так как по опыту хорошие ссылки часто перестают работать, скопировал сайт и положил его в свое хранилище

2. Ссылки 

1. Полная перекомпиляция программы write.exe или тестируем демо-версию IdaPro 5.6

2. Полная перекомпиляция простых exe-программ или тестируем демо-версию IdaPro 5.7

3. Создание универсальных def и lib-файлов для «чужих» dll

4. Как сохранить дизассемблерный листинг в IdaPro v.6.0 demo?

5. IdaPro v.6.1 demo: Серьезное испытание

Перекомпиляция программы  

3. Скачать сохраненный сайт можно здесь :Recompile-Code.rar

4. Ссылка на сохраненный сайт    или здесь

Посты по теме :

• 32-битный отладчик OllyDbg
• Command Line - плагин к отладчику Ollydbg
• OllySocketTrace - плагин к отладчику Ollydbg

OllySocketTrace - плагин к отладчику Ollydbg

1. Скачать плагин OllySocketTrace  к отладчику Ollydbg можно здесь: Plugin-OllySocketTrace.rar

В архиве содержится сам плагин в виде динамической библиотеки - OllySocketTrace.dll , исходные коды самого плагина, а также скриншоты работы плагина OllySocketTrace. 

2. OllySocketTrace это плагин для OllyDbg (версия 1.10), для того чтобы проследить операции для сокетов, запускаемых процессом. Plugin для OllyDbg будет записывать все буфера- и отправляемых данных, и получаемых данных. Все параметры, а также возвращаемые значения отслеживаются. Трассировка каждого сокета выделяется разным цветом для каждого сокета, который слушается.

Операции с сокетами, которые в данный момент поддерживаются плагином для OllyDbg: WSASocket, WSAAccept, WSAConnect, WSARecv, WSARecvFrom, WSASend, WSASendTo, WSAAsyncSelect, WSAEventSelect, WSACloseEvent, listen, ioctlsocket, Connect, bind, accept, socket, closesocket, shutdown, recv, recvfrom, send и sendto.

3. Просто установите плагин и активируйте OllySocketTrace , когда вы захотите начать отслеживать операции по сокетам. Плагин OllySocketTrace будет автоматически создавать необходимые контрольные точки и сделает запись необходимой информации, когда эти контрольные точки встречаются. Чтобы рассмотреть трассировку сокета выбирают Plugins- OllySocketTrace –View Log

 

Выбор окна трассировки Plugins- OllySocketTrace –View Log

Двойной щелчок по любому ряду в окне OllySocketTrace –Log перенесет вас к местоположению кода, вызвавшего этот ряд трассировки, в окне CPU OllyDbg. Записанная трассировка сокета подсвечена уникальным цветом для каждого прослеживаемого сокета.: 

Пример трассировки с разными цветами

Щелчок правой кнопкой мыши по любому ряду даст вам некоторые варианты, например, рассмотреть записанные данные:

Данные сокета записанные плагином

Вы можете также отфильтровать нежелательную информацию, если вам нужен только определенный сокет, изменить цвета и другие действия: 

Меню по правому клику в окне плагина OllySocketTrace –Log

4. Полезные ссылки:
-- Проект плагина OllySocketTrace

Посты по теме :

• Command Line - плагин к отладчику Ollydbg
• Bookmarks - плагин к отладчику Ollydbg
• CommandBar - плагин к отладчику Ollydbg

CommandBar - плагин к отладчику Ollydbg

1. Скачать плагин CommandBar к отладчику Ollydbg можно здесь: Plugin-CommandBar.rar .

В архиве содержится три версии  плагина (108, 109с, 110). Они содержат динамическую библиотеку - CmdBar.dll, исходные коды самого плагина. В файле помощи  описание возможностей и команды плагина CommandBar.Команды с кратким описанием  можно увидеть и в исходных кодах  плагина

2. После того как будет подключен  плагин CommandBar ,его можно вызвать,  выбрав из меню –Plugins-CommandBar - Show/Hide CommandBar:

Плагин CommandBar

3. Плагин CommandBar позволяет в консольном режиме исполнять некоторые команды управления отладчиком OllyDbg. Список команд представлен в файле помощи Cmdline.rtf. Команды плагина можно посмотреть также в исходниках плагина.

4. Плагин CommandBar – это дальнейшее развитие плагина Command Line , так что их  команды , в основном,  одинаковы.

Посты по теме :

• Подключение плагинов к отладчику Ollydbg
• 32-битный отладчик OllyDbg
• Command Line - плагин к отладчику Ollydbg

Bookmarks - плагин к отладчику Ollydbg

1. Скачать плагин Bookmarks  к отладчику Ollydbg можно здесь: Plugin-Bookmark.rar.

В архиве содержится сам плагин в виде динамической библиотеки - Bookmark.dll и исходные коды самого плагина

2. Плагин Bookmark  позволяет устанавливать до 10 кодовых закладок, используя клавиши быстрого вызова  или всплывающие меню в окне Disassembler и затем быстро возвращаются к одной из закладок, используя клавиши быстрого вызова, всплывающее меню или окно Bookmark. Закладки сохраняются между сессиями в .udd файле.

3. После того как будет подключен  плагин Bookmark, окно Bookmark  можно вызвать  из меню – Plugins - Bookmarks:

Окно Bookmarks

4. Ставятся и удаляются закладки, используя контекстное меню в окне Disassembler или горячими клавишами:

Меню Bookmark

Посты по теме :

• Подключение плагинов к отладчику Ollydbg
• 32-битный отладчик OllyDbg
• Command Line - плагин к отладчику Ollydbg

Command Line - плагин к отладчику Ollydbg

1. Скачать плагин Command Line к отладчику Ollydbg можно здесь: Plugin-Command-Line.rar .

В архиве содержится сам плагин в виде динамической библиотеки - Cmdline.dll, исходные коды самого плагина, а также в файле помощи  описание возможностей и команды плагина Command Line.

2. После того как будет подключен  плагин Command Line ,его можно вызвать или выбрав из меню –Plugins-Command line или горячими клавишами:

Вызов плагина Command line

3. Плагин Command Line позволяет в консольном режиме исполнять некоторые команды управления отладчиком OllyDbg. Список команд представлен в файле помощи Cmdline.rtf.

Примеры консольных команд из файла помощи

·  2+2 - calculate value of this expression;

·  AT [EAX+10] - disassemble at address that is the contents of memory doubleword at address EAX+0x10;

·  BP KERNEL32.GetProcAddress - set breakpoint on API function. Note that you can set breakpoint in system DLL only in NT-based operating systems;

·  BPX GetProcAddress - set breakpoint on every call to external function GetProcAddress in the currently selected module;

·  BP 412010,EAX==WM_CLOSE - set conditional breakpoint at address 0x412010. Program pauses when EAX is equal to WM_CLOSE.

4. Полезные ссылки:

-- http://www.woodmann.com/collaborative/tools/index.php/Category:OllyDbg_Extensions (09.02.2016 - убрал. Нет доступа.). Много плагинов для OllyDbg

  Посты по теме :

• Подключение плагинов к отладчику Ollydbg
• 32-битный отладчик OllyDbg
• Bookmarks - плагин к отладчику Ollydbg

Подключение плагинов к отладчику Ollydbg

1 Подключение плагина к Ollydbg

1.0. OllyDbg поддерживает возможность подключения плагинов. Плагины к  Ollydbg  помогают решать ту или иную задачу, возникающую в процессе работы

1.1. Вначале создаем папку для  плагинов. Пусть это будет папка в директории программы OllyDbg. Назовем ее Plugins:

Каталог Plugins для плагинов

1.2. Теперь сконфигурируем OllyDbg,для того чтобы она знала, где находятся плагины. Идем OPTIONS -  APPEARANCE - DIRECTORIES

Вкладка OPTIONS -   APPEARANCE - DIRECTORIES

1.3. При помощи кнопки PLAGIN PATH – BROWSE задаем каталог, где будут размещаться плагины

1.4.  Загружаем в папку Plugins плагины, которые идут с дистрибутивом программы OllyDbg .Это плагины Cmdline.dll и Bookmark.dll:

Плагины в директории Plugins

1.5. Перезапустим программу Ollydbg и увидим, что появился пункт горизонтального меню Plugins и в вертикальном меню – подключенные плагины Command line и Bookmarks

Плагины в меню Plugins

1.6 . Для отключения плагина достаточно удалить соответствующую dll из каталога Plugins

2. Полезные ссылки:
http://www.ollydbg.de/  - сайт программы OllyDbg на английском языке

Посты по теме :

• 32-битный отладчик OllyDbg
• Command Line - плагин к отладчику Ollydbg
• Bookmarks - плагин к отладчику Ollydbg

IDA Pro - интерактивный дизассемблер и отладчик

0. Скачать IDA pro интерактивный дизассемблер и отладчик  версии 5.5 можно здесь: idapro55.exe

1.Общее описание программы.

Главное окно и окно настроек IDA pro 5.5

IDA Pro — интерактивный дизассемблер и отладчик, который часто используется для решения задач реверс-инжиниринга и анализа программ. IDA Pro отличается большой гибкостью, наличием встроенного языка, поддерживает большое количество форматов исполняемых файлов для большого числа процессоров и операционных систем.

2. Полезные ссылки
-- Сайт программы IDA pro

Посты по теме :

• 32-битный отладчик OllyDbg 
• Заголовок NTHeader в PE файле
• Анализатор исполняемых файлов PEiD 0.95

Питон. Декомпиляция py2exe файлов 2

1. Итак, мы получили кодовые объекты Питона *.pyc, используя скрипты из поста Питон. Декомпиляция py2exe файлов 1. Необходимые файлы и результаты работы скачать можно – здесь:  Exe2Pyc.rar

2. Теперь нам надо декомпилировать полученные *.pyc файлы

3. Для небольших по размеру файлов существуют online –декомпиляторы http://depython.com/ (уже нет) и  http://depython.net/( 15.10.2014 - уже нет сайта ) :

Онлайн декомпилятор http://depython.com/

Онлайн декомпилятор http://depython.net/

4. примеры декомпилированных онлайн - декомпиляторами файлов в каталоге Exe2Pyc\Depython-net-com

5. Хорошая статья, описывающая процесс декомпиляции Питон программ сконвертированных Py2exe : A Walk Through on Decompiling a Malware Packed with Py2Exe ЕЕ копия в каталоге Exe2Pyc\Kelvinlomboy-com

6. Для декомпиляции используется программный комплекс PyREtic  http://code.google.com/p/pyretic/ . Скачанный – находится в каталоге Exe2Pyc\Pyretic . Инсталляция не требуется. Только разархивировать и пользоваться.

7.  Удалось запустить PyRetic  с версиями Питона 2.5 , 2.6 и 2.7 .С версией 2.4 – не получилось. Вспомогательные bat –файлы для запуска – в каталоге архива PyREtic

8. Попробуем  декомпилировать Reversi. Итак, запустим PyRetic:

Запуск  pyREtic

9 Набираем set_project project1 :

set_project project1

10.Reversi у нас версии 2.6 , следовательно, можно выбрать 0:

Выбор версии Питона

11. На требование загрузки надо ответить yes :

Загрузка необходимой версии Питона

12.Теперь задаем декомпиляцию fs_um_decompile f:\main.pyc  , запускаем декомпиляцию и ждем ее завершения:

Декомпиляция скрипта Питона

13.Некоторое количество ошибок возможно. Однако, в основном, смысл скрипта можно понять.

14 Аналогично декомпилированы остальные файлы. Результаты в директории Exe2Pyc\Depython-Pyretic

15 Возможна такая ошибка:

Ошибка при запуске pyREtic

В этом случае необходимо удалить каталог Projects.Он потом все равно создается.

Посты по теме :

• Питон. Pywin32 - модуль для расширений Windows 
• Питон. Py2exe - конвертер в exe файлы 02  
• Питон. Декомпиляция py2exe файлов 1

Питон. Декомпиляция py2exe файлов 1

1. Попробуем извлечь  кодовые объекты  Python-а из  исполняемого exe - файла, созданного программой – конвертером py2exe. Необходимые файлы,утилиты и результаты работы скачать можно – здесь: Exe2Pyc.rar

2. Для экспериментов возьмем  программы, конвертированные программой – конвертером py2exe.

--  Пишем игру Реверси на Python + PyQt4
--  Питон. Py2exe - конвертер в exe файлы 02
--  Книга перемен
--  Программа Диспетчер ЖКХ (только исполняемый файл).

Все файлы находятся в каталоге Exe2Pyc\FilesForExtract архивного файла Exe2Pyc.rar

3. Версия Питона видна из версии библиотеки dll - pythonXX.dll, где XX –версия Python-а. Если  есть только исполняемый файл, то версию можно посмотреть из содержимого исполняемого файла, например программой Total Commander 8.0 :

Поиск  названия библиотеки Python24.dll

4. Если посмотреть исполняемые файлы программой Редактор ресурсов Restorator,то мы увидим общее в ресурсах – ресурс PYTHONSCRIPT. В нем и находится кодовый объект  программы на Pythone:

Ресурсы исполняемых файлов

5. Название ресурса можно найти и в коде скрипта build_exe.py программного комплекта py2exe. Там же и формат заголовка  PYTHONSCRIPT

6. Утилиту для извлечения кодовых объектов Python-a из исполняемых файлов скачать можно здесь: http://code.google.com/p/py2exe-extract/ . Утилита в каталоге Exe2Pyc\py2exe_extract-from-internet

7. Эта утилита содержала некоторые ошибки, которые не позволяли извлекать из всех файлов. Подкорректированная утилита находится в каталоге Exe2Pyc\py2exe_extract. Работает с версиями Питона 2.5 и 2.6

8. Извлеченные кодовые объекты при помощи утилиты py2exe_extract находятся в каталоге Exe2Pyc\Decompile-py2exe_extract .

9. Есть еще одна утилита для извлечения кодовых объектов -  http://pastebin.com/4meXNirY (утилита в каталоге Exe2Pyc\Exe2Py) . Работает с версиями Питона 2.4  , 2.5 и 2. 6  (наверно и с другими, не проверял)

Для ее работы необходимо установить модуль для расширений Windows  Pywin32 – Питон. Pywin32 - модуль для расширений Windows

10. Извлеченные кодовые объекты при помощи утилиты exe2py.py находятся в каталоге Exe2Pyc\Decompile-Exe2Py

11. Продолжение декомпиляции до исходников *py в посте Питон. Декомпиляция py2exe файлов 2 

 Посты по теме :

• Питон. Pywin32 - модуль для расширений Windows 
• Питон. Py2exe - конвертер в exe файлы 01
• Питон. Декомпиляция py2exe файлов 2 

Ключи реестра UserAssist

0. Скачать программу для расшифровки и просмотра ключа реестра UserAssist UserAssistView v1.02 версии 1.02 можно здесь: UserAssistView.rar

1. Описание ключа UserAssist

Ключ находится по адресу: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist

Ключ реестра UserAssist

В этом ключе в зашифрованном виде находится информация , в частности, о том какие файлы открывались и какие программы запускались . Также какие кнопки нажимались в Windows Explorer Toolbar. И некоторая другая информация.

Реверсинг и защита программ от взлома

0. Скачать книгу “Реверсинг и защита программ от взлома” вместе с содержанием CD здесь: Reversing-Zashhita-Programm-Vzloma .rar

Обложка книги.

1.  Краткое описание книги

Название: Реверсинг и защита программ от взлома
Автор: Александр Панов 
Издательство: БХВ-Петербург 
Год: 2006
Страниц 256 с: ил 
ISBN: 5-94157-889-Х

    В книге тщательно разобраны современные способы защиты программ, начиная от их разработки и заканчивая  отладкой. В ней описываются примеры реверсинга и взлома типичных защит и даны советы для предотвращения такого взлома. Приведено большое количество рабочих примеров, которые смогут помочь программисту решить возникшие перед ним трудности в защите от реверсинга и  взлома его программ. В книге хорошо  описана работа с очень  популярным отладчиком OllyDBg. На прилагаемом диске  находятся программы, которые описаны в книге.

    Данный файл взят из открытых источников . Все права на него принадлежат его владельцам. Запрещено использование данного материала в коммерческих целях без письменного разрешения автора материала. После ознакомления удалите его со своего компьютера и купите у автора данного материала.

Посты по теме :

• Монитор обращений к реестру RegMon
• Монитор файловой системы FileMon
• 32-битный отладчик OllyDbg

System Explorer - программа для исследования системы

0.Скачать System Explorer версии 4.00: SystemExplorer400.rar. В архиве версия с установщиком и переносная (портативная) версия. Портативную версию можно использовать на USB носителях и других  переносных устройствах.

1.Общее описание программы.

    System Explorer - это бесплатая программа для просмотра состояния системы со  многими функциями .  System Explorer показывает  подробную информацию о ваших  выполняющихся задачах, процессах, сервисах, сетевых соединениях, открытых файлах  и много другого. Эта программа  - необходимый инструмент для любого, кто интересуется безопасностью и исследованием системы. System Explorer  поможет вам , когда вы будете иметь дело с вредоносным программами или неизвестными выполняющимися процессами, файлами и т.д.

Программа System Explorer

2. Полезные ссылки

--  Что такое System Explorer?

Посты по теме :

• Менеджер процессов Process Hacker 2
• Монитор обращений к реестру RegMon
• Монитор файловой системы FileMon

 

Монитор обращений к реестру RegMon

0. Скачать  RegMon (Registry monitor)    версий   6.06 и  7.04 : RegMon.rar

1.Общее описание программы.

Главное окно программы Regmon

    Regmon - программа, которая контролирует и показывает всю деятельность c  Реестром  Windows в системе.  Regmon имеет  разнообразные возможности  фильтрования и поиска, которые делают его мощным инструментом для исследования работы Windows - приложений.  Показывая, как приложение использует Реестр, Regmon помогает исследованию или нахождению. проблем в Windows - приложениях  или системе. Regmon работает под управлением  Windows 95, 98, Me, NT, 2000, XP

2. Полезные ссылки 

--  RegMon для Windows v7.04

Менеджер процессов Process Hacker 2

0. Скачать Process Hacker 2 версии   2.28: processhacker-2.28-setup.exe

1.Общее описание программы  Process Hacker 2.

Главное окно программы Process Hacker 2

   Process Hacker 2 – бесплатная  и многофункциональный программа для управления процессами и службами  с открытым исходным кодом. Process Hacker обладает богатым набором набором самых разнообразных функций.

   Программа Process Hacker имеет возможность завершения  любых процессов, в том числе антивирусов и файерволов, составление графиков производительности, просмотр  статистики процессов,  просмотр выделенной процессом памяти и дамп этой памяти, множество других функций других функций.

2. Основные  особенности программы Process Hacker 2.

   Исчерпывающая информация по всем процессам:  история выполнения процесса, листинги потоков, информация о токенах, карта виртуальной памяти, переменные среды, хендлы и многое другое. Примеры информации - на рисунках:

Свойства процесса Process Hacker

Карта памяти процесса Process Hacker

3. Сайт программы:
--  http://processhacker.sourceforge.net/

Декомпилятор Sothink SWF Decompiler

0. Скачать Sothink SWF Decompiler   версии   7.3.4959 : Sothink-SWF-Decompiler.zip

1.Общее описание программы.

Окно программы Sothink SWF Decompiler

Sothink SWF Decompiler - программа для конвертирования готовых Flash-роликов формата SWF и извлечения из них различных ресурсов. С помощью утилиты Sothink SWF Decompiler можно извлекать изображения, звуки ,сценарии AS , шрифты и другие элементы из готовых Flash-роликов (SWF, EXE).Программа совместима со всеми SWF элементами, такими как ActionScripts, звуки, изображения, видео, формы, рамки, точки, тексты, кнопки в различных форматах. Sothink SWF Decompiler может скопировать отрывок из видео файла Flash и вставить его в любой *.flv формат. Sothink SWF Decompiler позволяет конвертировать Flash-файлы SWF в формат FLA. Программа  логична и проста в управлении и освоении.

 

3. Полезные ссылки

-- Сайт программы                     

Монитор файловой системы FileMon

0. Скачать  FileMon (File Monitor)    версий   6.07 и  7.04 : FileMon.rar

1.Общее описание программы. 

Главное окно программы Filemon

   Программа FileMon от компании Sysinternals предназначена для отслеживания  в реальном времени всех операции с файловой системой. Ее многочисленные  возможности превращают ее в мощный инструмент, позволяющий наблюдать, как работает файловая система Windows. FileMon от компании Sysinternals  позволяет отслеживать, как программы используют файлы данных и динамические библиотеки, а также решать проблемы, связанные с настройкой файлов системы или программ.  
   Программа Filemon точно определяет время выполнения операций открытия, чтения, записи или удаления  каталога или файла. Программа Filemon отслеживает результат выполнения каждой из этих операций.  FileMon очень проста в использовании, так что вы быстро освоите ее, буквально за считанные минуты. Она начинает отслеживать файлы  сразу после запуска, а  данные  мониторинга можно сохранить в файл для дальнейшего  просмотра и анализа. В программе FileMon реализованы различные возможности для поиска, если получается очень много информации, настройте один или несколько фильтров , предусмотренных в программе.Все это говорит о том, что необходимо скачать  FileMon и иметь ее в качестве обязательной утилиты.

  

2. Полезные ссылки
--  Программа FileMon для Windows (версия v7.04)
--  Монитор файловой системы FileMon

3.Пример работы с программой FileMon

В качестве примера работы с FileMon 6.07  можно решить задачу определения места кэша  файлов популярного браузера  Opera. Для этого нужно настроить фильтр следующим образом:

Фильтр программы Filemon

Т.е. FileMon будет протоколировать только запись данных процессом Opera.exe. Для сбора информации достаточно настроить фильтр, проверить, что включено протоколирование (отмечен пункт File – Capture Events) и открыть Opera. Пример окна утилиты FileMon с собранными данными показан ниже:

Поиск Cache Opera

Теперь нужно остановить протоколирование и в столбце Path главного окна утилиты найти каталог кэша данных.  Двойной щелчок по этой строке откроет Проводник на той папке, где хранится кэш данных Opera.

Программа для анализа PE файлов PE Tools

0. Скачать PE Tools версий   v1.5.400.2003 и  v1.5.800.2006 : PE Tools v1.5.rar

1.Общее описание программы.  

PE Tools - полезный набор инcтрументов для работы с PE/PE+ файлами. Включает  в себя: редактор PE файлов – PE Editor , Task Viewer, оптимизатор PE файлов - PE Rebuilder

,  детектор компилятора/упаковщика PE Sniffer  и  другие возможности.

Перечислим основные возможности программы PE Tools:

---- Task Viewer

Утилита Task Viewer

  - Дампы процессов

    - Dump Full

    - Dump Partial

    - Dump Region

  - Автоматическое снятие защиты "Anti Dump Protection"

  - Загрузка процесса в PE Editor и PE Sniffer

  - Изменение приоритета процесса

  - Завершение работы процесса

 

---- PE Sniffer

Утилита PE Sniffer

  - Определение типа компилятора/упаковщика

  - Возможность обновления базы сигнатур

   

---- PE Editor

Утилита PE Editor

  - Редактирование  заголовков

  - Поддержка нового формата PE+(64bit)

  - Заполненик секции любыми символами (очистка секции)

  - Корректирование CRC

  - Просмотр и редактирование таблиц импорта/экспорта

---- PE Rebuilder

  - Оптимизация PE файла

  - Изменение базового адреса PE файла

---- Plug-ins Manager

Утилита Plug-ins Manager

  - Возможность подключения разнообразных плагинов, расширяющих возможности программы.

Программа для анализа PE файлов PE Explorer

0.Скачать PE Explorer rus 1.99 R6 :PE-Explorer-setup-1-99-R6.rar  или отсюда : PE-Explorer-setup-1-99-R6.rar

Окно программы PE Explorer

1.Общее описание программы.

PE Explorer - удобная программа для изучения, просмотра, редактирования и анализа внутреннего устройства исполняемых файлов. С помощью PE Explorer вы можете исследовать любые программы как те к которым у вас есть исходный код, так и приложения от сторонних разработчиков, к чьим исходным кодам у вас нет доступа. Сюда же относится изучение устройства вирусов, троянов и прочих вредоносных программ,где PE Explorer будет незаменимым помощником.

PE Explorer позволяет открывать, смотреть и редактировать 32-битные PE (Portable Executable) файлы для Windows любого типа: EXE, DLL и ActiveX, SCR (скринсейверы), CPL (Control Panel Applets), SYS, DRV, MSSTYLES, MUI, BPL, DPL, и многие другие. Поэтому рекомендуется PE Explorer rus скачать

2. Сайты программы:
http://www.heaventools.ru/  - на русском
http://www.heaventools.com/ - на английском

3. Журнал и папка проектов программы PE Explorer rus

3.1. Местонахождение журнала программы PE Explorer : Вид - Настройки - Журнал :

Установки журнала программы PE Explorer

3.2. Местонахождение папки проектов программы PE Explorer :

Вид - Настройки- Главные. 

Посты по теме :

• Менеджер процессов Process Hacker 2n
• Монитор файловой системы FileMon
• System Explorer - программа для исследования системы

Антивирусные сигнатуры

1.  Анализ показывает, что подавляющее большинство антивирусов используют сигнатурный поиск с жесткой привязкой к точке входа или физическому смещению в файле. Что все это значит? Не вдаваясь в неразбериху терминологических тонкостей, отметим, что сигнатурой называется уникальная последовательность байт, однозначно идентифицирующая вирус. Сигнатура может быть как сплошной (например, "DE AD BE EF") или разряженной (например, " DE ?? ?? AD ?? BE ** EF", где знак "??" обозначает любой байт, а "**" любое количество байт в данной позиции). Поиск по разряженной антивирусной  сигнатуре иначе называется поиском по маске и это наиболее популярный алгоритм распознавания на сегодняшний день.

Для достижения приемлемой скорости сканирования, антивирусы практически никогда не анализируют весь файл целиком, ограничиваясь беглой проверкой одной-двух ключевых точек (например, окрестностей точки входа в файл, т. е. тех ячеек, с которых и начинается его выполнение). Реже используются привязка к смещению антивирусной сигнатуры относительно начала файла.

2.     Поиск вредоносного объекта по сигнатурам — это то, что умеет любой антивирус. В общем случае антивирусная сигнатура — это формализованное описание некоторых признаков, по которым можно определить, что сканируемый файл — это вирус и вирус вполне определенный.

      Тут есть различные методики. Как вариант — использовать сигнатуру, составленную из N байт вредоносного объекта. При этом можно сделать не тупое сравнение, а сравнение по некоторой маске (типа искать байты EB ?? ?? CD 13). Или задавать дополнительные условия вроде «такие-то байты должны находиться у точки входа в программу» и так далее. Сигнатура именно малвари — это частность.

      Точно так же описываются некоторые признаки, по которым можно определить, что исполняемый файл упакован тем или иным криптором или упаковщиком (например, банальным ASPack). Если ты внимательно читаешь наш журнал, то точно слышал о такой тулзе как PEiD, способной определять наиболее часто используемые упаковщики, крипторы и компиляторы (в базе есть большое количество сигнатур) для переданного ей PE-файла. Увы, новые версии программы давно не выходят, а недавно на официальном сайте и вовсе появилось сообщение, что дальнейшего развития у проекта не будет. Жаль, потому что возможности PEiD (особенно учитывая систему плагинов) вполне могли оказаться мне полезными. После недолгого анализа все-таки стало ясно, что это не вариант. Но покопавшись в англоязычных блогах, я быстро нашел то, что мне подошло. Проект YARA (code.google.com/p/yara-project).

3. Для окончания  короткого обзора темы сигнатур можно предложить программу, помогающую найти сигнатуры для отдельных случаев.   Это программа  SignDetect версии 0.5.0.0  и 0.5.2.0. Скачать можно здесь:  SignDetect-05.rar. В архиве сами программы, некое подобие хелпа от автора,  рисунки с результатами проверки службой VirusTotal и главных окон программ. Смысл программы в затирании части файла исследуемой программы и проверки на срабатывание по сигнатуре.

Окно программы SignDetect 0.52