Статья Offline Checker VS TauScanner

[KraZz]

Тут вообще возникает вопрос в том, нужен ли этот чекер кому-нибудь как полезная прога.
Я вот смотрю на стату скачиваний, ну там получается 1-4 в неделю. Хз. по такой стате хп. нужен ли чекер народу или нет.
Если бы вообще не качали - тут бы было понятно, что не нужен, а так хз. может, скачают, запустят, посмотрят, подумают хрень какая-та и удаляют.
Я этот чекер постил вместе со "статями", и как-то не задумывался над тем, что его массово будут юзать, но вот после релиза TauScanner че-то изменилось; подумал, что вполне возможно, что может быть это и полезно кому-то в плане минимального профита.
Потом подумал, что нужно типа гуд-релиза что-то сделать и посчитал что релиз от мемберов дамаги годная идея, решил спросить в привате...
Но вот эти молчанки нах, дают мне повод думать, что это никому не нужно.
У меня есть несколько идей, как попробовать продолжить все это и попробовать реализовать до первого юзабельного релиза, но хз. хз...
Хотя бы высказались, кто че думает... (не важно - за или против)
Пока я вижу одно, что многим нужен адекватный чекер, который будет показывать нужную инфу (не сливая аверам) и снизит издержки времени на проверки и финансовые затраты...

 

[Apocalypse]

Это специфичный софт, реально им будут пользоваться единицы

Главное не обижаться на то, что это не востребовано всеми, как например порнушка от привата

Взять например, историю с DiE, сколько предлагал автор продолжить проект, но всем было пох, а когда кто-то взялся, начали его какахами забрасывать.

 

[KraZz]

Apocalypse пишет:
Это специфичный софт, реально им будут пользоваться единицы

Ну, вот поэтому я же, как бы и подумал, что нужно что-то изменить.
Посмотрел стату, а там удручающий ппц. (Раньше чаще скачивали)
Ведь конечная цель тулузы пропиарить дамагу (а когда ее никто не юзает, че же это за пиар) и я же вижу, как demien предлагает разные варианты, но...

demien пишет:
базы можно взять с пеида и добавить в них новых записей аля +сканер пакеров\крипторов\протов - т.е. аудитория реверсеров поддержит.

PEiD - Это все-таки больше крякерская прога, а не хекерская.
Делать еще один аля PEiD - не вариант, я против. Такого софта прилично уже имеецца.
Да и если учесть тот факт что есть еще DiE (от русских разработчиков!), да еще и поддержка возобновлена...

Apocalypse пишет:
Взять например, историю с DiE, сколько предлагал автор продолжить проект, но всем было пох, а когда кто-то взялся, начали его какахами забрасывать.

Почитал тот топ
http://exelab.ru/f/index.php?action=vthrea...m=3&topic=20687
Да правильно они его там отебукали, раз он не сломался так слету сразу, значит, может че-то и получицца,.. но и это даже не самое главное, а главное то, что у него хоть какая-та поддержка есть в виде идей, советов и подобной помощи.

hors пишет:
Из хороших новостей, связался с человеком, который имеет просто гигантскую базу сэмплов и интересные идеи, которые я постараюсь реализовать.

А что у нас? Всем мля лень пару слов написать, кто че думает.. все заходят тупо почитать...
Более 500 просмотров, а отписалось несколько человек. Хотя это касается форума и его пиара.

demien пишет:
+ dx запилил годную либу для работы с пе форматом (kaimi.ru), её тоже можно заюзать.

Есть куча прог заточенных специально под PE формат. Хз. не вижу смысла еще в одной...

Короче немного подумав, появился "конструктив".
Я думаю нужно начать с переименования проги, на что-то.. ну что первое на ум пришло - DL tools
Я за опенсорс.
Хоть это и ничего хорошего не сулит, я просто по себе знаю... Обычно беру опенсорс и делаю мод под свои требования, а чтобы с кем-то делиться или там вносить изменения в код - нах; не адаптирована кодерская среда опенсорса к быстрому апгрейду исходников.
Формальностей просто пиздец сколько, а тратить время на эти формальности я никогда не буду.
Вот это и есть основная преграда для развития опенсорса, ну я так считаю.
Ну взять, для примера, exelab.ru
Там вроде есть SVN, даже думал именно там разместить проект, но увидел правила и сколько там букв, просто ппц.. все желание исчезло...

Часть 3. SVN-сервер.
1. Интерфейс просмотра кода пока не сделан. В дальнейшем будет сделана такая возможность, включая подсветку кода и сравнение ревизий. Пока можно просматривать файлы проекта используя встроенную возможность веб-сервера: просто перейдите по адресу проекта в браузере и вам будет предложено указать ваши логин и пароль SVN.
2. Рекомендуемый клиент для работы с SVN-сервером - TortoiseSVN, он доступен по адресу tortoisesvn.tigris.org.

Хотя считаю, что если там разместить проект, то пиар может и будет.. там я что-то не увидел тем созданных проектов, и если создать первую, то это может быть сильно - ИМХО.
Короче надо что-то придумать с размещением опенсорса...
Я там уже наговнокодил немного опенсорса втихаря %))), но хз. как этот код выкладывать, в архиве,.. а если будут частые обновления, да и если все получицца как задумано, то может быть очень дохерища кода...
Неудобно это все будет как-то... ИМХО.

 

[demien]

есть же сайты, предоставляющие репозитории.. если разместить на ехелаб, то проект будет ехелаб а не дамаги имхо.
Пускай будет DL Tools, название, диз - это все таки всё второстепенно.
Изначально функционал - это то, что будет основной причиной использования тулзы.
Для начала имхо стоит объеденить лучшие качества TauScanner и Offline Checker

 

[KraZz]

demien пишет:
если разместить на ехелаб, то проект будет ехелаб а не дамаги

Следуя такой логике, - если разместить проект в гугле, то он уже станет собственностью гугля.
Да и ты же сам намекал на

demien пишет:
- т.е. аудитория реверсеров поддержит.

Но ты прав - это психологический барьер, который трудно переступить кодеру и выложить исходный код.
И есть же, к примеру, пиндосы с trojanforge.com у которых нет ничего святого и они могут взять исходники с гугля и вписссать там свой говносайт и слить от своего имени.. они же похуисты-демократы... а у нас как обычно, возьмут оттуда и здесь запостят %)))
Я лишь сделал акцент на тот факт, что админ exelab.ru делает правильные шаги по развитию ресурса, но у общества мэнов его "новшества" не получают поддержку, рано еще.. надо так пару лет еще подождать - ИМХО
Да и если вспомнить их опенсорс-отладчик, че-то не видно особых телодвижений (хотя хз. мб. я не в курсе), да и если мне память не изменяет исходники они все же положили на googlecode.com
Короче если кому-то интересно почитать про SVN

int пишет:
Т.е. был бы SVN допилен, его вполне можно было использовать для StartUp'ов, в которых пока нет своего SVN. Тем более, что он слабо модерируется, там можно писать хоть блокнот и калькулятор. RE-тематика необязательна и не навязывается. Главное, чтобы не вирусы.

Полная версия здесь:
http://exelab.ru/f/index.php?action=vthrea...m=1&topic=19937
Да и помню, Володя с васма тоже делал отдельный сервис по опенсорсу, тоже херня получилась. Да если вспомнить, сколько там пытались клонов васма сделать и у всех них одна кончина была.
На счет опенсорса двига Offline Checker - я естественно код НЕ буду выкладывать (я пока с головой еще дружу ), сделаю его как отдельный модуль (dll)

demien пишет:
Для начала имхо стоит объеденить лучшие качества TauScanner и Offline Checker

Да я же не умею видеть лучшие качества, я только косяки вижу, да еще и в больших количествах.
В Offline Checker, к примеру, можно чекать файлы друг за другом и сразу же сверить различия + Offline Checker проверяет рандомность стаба (если крипт статичный, то Offline Checker предупреждает, то есть простым языком говоря.. - допустим у чела криптуется человек двадцать и если крипт спалицца у одного из них, то спалицца у всех (при этом потери из-за одного будут у всех) и при этом аверам достаточно пары минут, чтобы добавить сигнатуру в базу на такой крипт, если кому-то скилл не позволяет это понять, то это какбэ не мои проблемы), в TauScanner надо (если мне память не изменяет) проверять файлы по отдельности, а инфу сохранять в файл (можно конечно запустить несколько копий TauScanner). Хз. можно сделать такое и в Offline Checker (такой функционал добавляется в течение нескольких минут), но я думаю сохранение в файл в TauScanner обусловлено тем, что не продуман гуй, часть инфы показано с боку, откуда не скопипастить все
Короче это опять надо смотреть этот TauScanner, а то я уже все недостатки и забыл, которые видел.
Да и если учесть что сам автор пишет:

Троекратный слив
В связи с тем, что у меня более не встаёт на мирные тулзы (вселенская пичаль), часть тулз я передаю файным вайт-хэковским ребятам, у которым всё еще стоит колом на такое. Счастливчиками на этой неделе ... и TauScanner (его даже кто-то юзает, прикиньте).

TauScanner для меня полезен оказался в плане сравнения, и помог мне увидеть недостатки в Offline Checker и пару идей подкинул...
Я ведь че и хотел сделать.. улучшить Offline Checker, добавить еще 2-3 детекта, а потом уже в обзоре сравнить функционал, короче у TauScanner шансов не было бы никаких %)))
Но я без проблем, если кто-то скажет что конкретно нужно добавить из TauScanner в Offline Checker, и если это адекватно и реально будет сделать, то я добавлю.

demien пишет:
по поводу диза... да. Хоть диз это важная часть, но важнее всего тех. возможности, так что акцент на кодинг.

demien пишет:
диз - это все таки всё второстепенно.

Да вот тут хз. хз.

Ar3s пишет:
Я могу четко написать ТЗ и разбить на составляющие, я могу координировать и т.д. Но вот писать - для меня это всегда было морокой.

demien пишет:
з.ы. по поводу диза... могу тоже накидать вариантик, среда делфи или пох?

vazonez пишет:
Имхо, для начала стоит продумать форм...

Dark Koder пишет:
Просто чего спрашиваю- есть время у меня накодить на делфе и прикрутить диз

Ну, давай например, возьмем то, что я на данный момент продумываю (строю блок-схему).
http://www.xaker.name/forvb/showthread.php?t=22898 - Encoders/Decoders - утилиты для работы с различными криптоалгоритмами

Решил собрать все подобные программки в одну закрепленную тему, чтобы меньше было вопросов, как расшифровать тот или иной текст, к примеру зашифрованные пароли к архивам.

Или к примеру, здесь:
http://fuckav.ru/showthread.php?t=2470 - Антинуб
Я хочу все эти алгоритмы Encode, Decode, конвертеры строк/данных, подсчет хэшей и т.д. свести в одно целое
Собрать весь опенсорс этих алгоритмов, закатать (скомпилировать) их в отдельные dll (плагины) и при этом неважно, на чем эти алгоритмы написаны на C++, ASM, VB и т.д.
И свести это все в одной программе, продумать систему SDK/PDK и накодить.
Вот если посмотреть, сколько там прог и всех у них разный диз
У одних кнопок навесь экран.. у других вообще только просто ксор из функционала, и большинство этих релизов буржуйские и все это собирают в одну тему.
Пусть у нас все будет в одной проге, но самой лучшей и самым большим количеством функционала, и раз у нас есть опенсорсные алгоритмы, то нам остается придумать один лишь диз, но очень удобный для юзанья, вот это я и считаю одной и сложных задач.
Диз - его можно и сразу за пару минут придумать (достаточно вспомнить стрИнги яндекса), а можно и несколько месяцев...
И диз ведь тут всем не угадишь - одному нравится так, другому эдаг
Вот та же тема на exelab.ru
http://exelab.ru/f/index.php?action=vthrea...m=1&topic=19937
Там масса народа не может выбрать конкретно какое окно регистров сделать, не все так просто с этим дизом
Да и диз это то, что всегда на первом плане...

 

[Dark Koder]

KraZz,но для антинуба придёться продумывать кучу алгосов (у каждого сайта\человека он может быть разный)...
Насчёт GUY'я я подумаю\покодю на днях,у меня появилась идея (хотя на мой взгляд еще очень сырая) по поводу юзабельности диза и форм с кнопками (как ты уже сказал,чтобы было удобно и не мозолило...).
Но вопрос ко всем-делать стараться в стиле Клинера,или выдумать чёто получше?

 

[KraZz]

Решил сейчас сделать тесты...
Взял простые три тестовых сэмпла и сделал тесты на новой паблик версии Offline Checker'а, а заодно и TauScanner решил проверить.
Скрины (Вопросами я пометил то, что нужно. Хз. может, у кого советы появятся (в принципе ничего нового, все касается в основном диза))
http://img404.imageshack.us/img404/2604/taud.png
http://img4.imageshack.us/img4/2010/35124468.png
Тесты.
Первый тест просто открыт вначале PETools'ом, а вслед за этим открыл Offline Checker' ом и TauScanner (такое стечение обстоятельств вполне возможно и такие вещи при кодинге надо всегда учитывать. )
Offline Checker - показывает, что процесс занят, а TauScanner светит очередные траблы. (первый тест на скрине)
Второй тест - TauScanner считает аномальным отсутствие ресурсов. (второй тест на скрине)
Я не считаю такие вещи аномальным, так как есть "легальные" проги без ресурсов, например консольные приложения.
Offline Checker - задетектил в тесте 2 детектом авиры. (я считаю такой детект более важной инфой, чем отсутствие ресурсов, тем более что если проверить этот test2.exe авирой, то она этот же детект и покажет. Единственное различие Offline Checker'а и авиры в детекте - это то, что Offline Checker просканит быстрее..(доли секунд) что "важно" при "ручной чистке"...)
Ну и третий тест Offline Checker на доли секунды задержку сделал и выдал "массу аномалий", я даже задумался над тем, что нужно сделать прогресс бар на статус строке, когда анализ занимает более 2 секунд и чтобы появлялась кнопка стоп.
TauScanner - пал смертью храбрых на сэмпле весом в 12мб. Прошло около 30 секунд, и появилась основная инфа и опять повис (третий тест на скрине)
Не знаю, может VMware виновата, но вряд ли кто-то станет ждать минуту и более. ИМХО
Я прождал минут 5, и результатов не было. TauScanner продолжал виснуть. Посмотрел в диспетчере и увидел, что память процесс занимает 100мб. что говорит об утечке памяти.
Так просканил наконеццто и вот что выдал: (процесс занимает 160мб.)

  [+] В файле присутствует оверлей
  [+] EP находится вне первой секции
  [+] Размер секции ресурсов слишком большой
  [+] EP находится в хедере файла
  [+] В файле присутствует меж-секционный оверлей

[ + ] В файле присутствует оверлей - для примера, Offline Checker это показывает так:
Warning: IMAGE_OPTIONAL_HEADER.SizeOfImage 0xC4D000 (Default value 0x11000)
[ + ] EP находится вне первой секции - вот этого нет в Offline Checker
И на фоне всего этого идут предложения совместить функционал. Хм-м.. и это только начало...

 

[demien]

Результ генерится симпотишный, но сама формочка я так понимаю начинает быть в следствии стороннего компонента? (BusinessSkinForm etc?)
Мне кажется это уже слишком.. рисованный диз и те же кнопки будут и уникальнее, и возможно менее глючны. Сам стиль формы думаю менять не стоит. Место, что оставленно для банера, ну незнаю... лучше этим не баловаться, а банер с логосом ДЛ влепить в About...

По поводу аномалий:
Ни присутствие оверлея, ни отсутствие ресурсов, ни подсчет размера .rsrc по одиночке не могут являться аномалиями в файле... если бы аверы так детектили, то все бы 100% ловили фолсы.
Именно наборы правил (условий) + пусть даже поверхностный анализ кода и таблици импорта могут хоть как то уменьшить кол-во фолсов.

В идеале надо делать как они, на основании выявленных конфигураций в файле (использовать псевдо-интеллектуальную) систему подсчета баллов, и далее выводить пользователю что, как и почему.

Тут важен тот факт, что ни авер, ни пе чекер не способны 100% определить статус файла однозначно. Лишь на базе неких, заранее запрограмированных условий мы можем вынести вердикт, и он не может быть окончательным, скорее промежутоным. Мы не должны уверять пользователя в том, что резалт показанный ему это единственный и стопрацентный.

опять же имхо

 

[KraZz]

demien пишет:
Ни присутствие оверлея, ни отсутствие ресурсов, ни подсчет размера .rsrc по одиночке не могут являться аномалиями в файле... если бы аверы так детектили

Ну, тут же у проги несколько направлений.. она как детектит, так и проверяет баги в PE-формате... (Это может помочь тем, кто пишет свой криптор. Криптор в понимании того, что создается "вручную" PE-формат, генерируется рандомный импорт и т.д.)
Поэтому "аномалии" надо обязательно показывать, "аномалии" в понимании того как это сделано в Offline Checker с подсказками как исправить ошибки (в данном случае я пытаюсь процесс "автоматизировать". ), а не так как это сделано в TauScanner, где надо ждать пока "отработают" убогие графики и потом гадай что надо фиксить...
Но я решил взять еще одно направление (что в TauScanner с его мега-функционалом и тру-гуем "невозможно" в принципе сделать), я сделал возможным выбор и проверку сразу нескольких файлов и также теперь Drag&Drop тоже позволяет кидание на форму сразу нескольких файлов, это может понадобиться, когда...
Вот пример:
http://www.sendspace.com/file/eoxsg5
В архиве есть 2 закриптованных файла (test1.exe и test2.exe) криптором из этой темы http://fuckav.ru/showthread.php?t=14110
На скрине чек этих двух файлов в новой проге и для наглядности в TauScanner (для того чтобы видна была разница в GUI (из чего можно будет понять что, - это есть важно) потому как если будет гуй - говно, какой бы мега функционал в проге не присутствовал, если прога не юзабельна, то ее и юзать никто не захочет, а только будут все плеваться... GUI - это лицо прогера)
Да и если почитать первый пост, то я там писал, что сам сделаю нужный функционал и просил помощи в советах и дизе! (никогда не был против рабочих обсуждений, но в данном случае призыв let's go (давайте нах) забьем на GUI - в корне не верен... ИМХО)
Эти два закриптованных файла (из архива) палятся bitdefender`ом как Gen:Variant.Zusy.34751
Я проверил старыми (прошлогодними) базами и эти файлы не палились, но стали палиться, когда криптор появился в паблике (что говорит о том, что такие вот паблик-релизы крипторов - дикая тупость)
Если посмотреть на MD5 9e82933733c8d24d058eab2fde391a7b секции кода, то можно увидеть, что он одинаков у двух сэмплов.
Теперь если посмотреть по каким признакам происходит детект, то одним из... будет эта сигнатура из базы bitdefender`а и код:

сигнатура, где вместо 3F может быть любой байт
XXXXXXXX    68 3F3F0000     PUSH 3F3F
XXXXXXXX    68 00000000     PUSH 0
XXXXXXXX    68 3F3F3F00     PUSH 3F3F3F
XXXXXXXX    E8 3F3F3F00     CALL
XXXXXXXX    83C4 0C         ADD ESP,0C
XXXXXXXX    68 00000000     PUSH 0
XXXXXXXX    E8 3F3F3F00     CALL
XXXXXXXX    A3 3F3F3F00     MOV DWORD PTR DS:[3F3F3F],EAX
XXXXXXXX    68 00000000     PUSH 0
XXXXXXXX    68 00100000     PUSH 1000
XXXXXXXX    68 00000000     PUSH 0
XXXXXXXX    E8 3F3F3F00     CALL
XXXXXXXX    A3              MOV
код
00401000     68 64000000    PUSH 64
00401005     68 00000000    PUSH 0
0040100A     68 54964000    PUSH 00409654
0040100F     E8 FC0F0000    CALL <JMP.&MSVCRT.memset>
00401014     83C4 0C        ADD ESP,0C
00401017     68 00000000    PUSH 0
0040101C     E8 F50F0000    CALL <JMP.&KERNEL32.GetModuleHandleA>
00401021     A3 58964000    MOV DWORD PTR DS:[409658],EAX
00401026     68 00000000    PUSH 0
0040102B     68 00100000    PUSH 1000
00401030     68 00000000    PUSH 0
00401035     E8 E20F0000    CALL <JMP.&KERNEL32.HeapCreate>
0040103A     A3 54964000    MOV DWORD PTR DS:[409654],EAX

Теперь нопим код (как это делают в сан-н-ых буржуйских "порно-мультиках") с адреса 00401000 по 0040103A, который палится по сигнатуре
И видим что детект изменился на Genrojan.Heur.FU.cyW@aWvi1wni, но все равно палится.
Если к примеру, "удалить" ресурсы (очистить (к примеру, в PE Editor) значения директории Resource Directory (RVA 0000A000 и Size 000012BC)), то детект пропадет.
А как мы знаем, что TauScanner отсутствие ресурсов считает аномальным, то мы можем видеть из примера, что отсутствие ресурсов не есть зло, а наоборот явилось причиной так называемой "чистки"...
Можно изменить тип ресурса MANIFEST на (к примеру) HTML (чтобы было понятнее, нужно изменить в любом HEX-редакторе байт по смещению 31248 (0x7A10) в файле 0x18 на 0x17) и также пропадет детект.
Но чтобы мы не меняли - это будет временным решением, так как криптор использует статичный стаб - это я и считаю важным задетектить, потому как финансовые потери (на статичном стабе в крипторе) могут быть значительно больше, чем стоимость самого крипта.
с каждым новым криптом и большим прогрузом, статичный стаб - увеличивает шанс попадания к аверам и легкость создания сигнатуры
Сигнатура Warning: AVZ detect (MD5: e4a6901d3a3dfa704b75d05410e07b7f) на все сто показала что детект bitdefender`а был сделан из-за того что стаб оказался статичным.
Даже если сделать "чистку(и)" о которых я писал выше - это не будет панацеей, при попадании к аверам модифицированного сэмпла - дятлы из bitdefender`а без проблем за считанные секунды добавят новую "сигнатуру" в базы, так как стаб является статичным! И тут без вариантов.

demien пишет:
но сама формочка я так понимаю начинает быть в следствии стороннего компонента? (BusinessSkinForm etc?)
Мне кажется это уже слишком..

http://zoomersoft.ru/ycтaнoвкa-alphaskins-в-delphi-2010/
Слишком не слишком об этом уже поздно судить (я же выше специально заранее спрашивал и предлагал обсудить эти нюансы), выбор я уже сделал, и весь код завязан на этом компоненте, шкуру можно убрать и вообще сделать любую, я правда в подробности не вдавался, но там есть какой-то редактор скинов и походу можно диз дамаги сделать под копирку...
Отзывы о компоненте видел только положительные (единственное видел в билдере UFR были какие-то траблы), да и предоставляет он массу возможностей для "творчества"... пока не вижу смысла отказываться от этого компонента, но нет ничего вечного... и все может измениться. (планы могут 100500 раз еще поменяцца)
Сейчас там гуи-кода около 300 строк, а вот exe после компиляции получается около 2мб. %)))
Но сейчас не 2000 год, чтобы думать о таких примитивных вещах как размер GUI, VX и вспоминать зомбика %)))
Сейчас уже многие знают несколько ЯП (2-3 минимум), инфы море, коммерческий VX-мир развивающийся ежечасно, когда железо апгрейдят ежесекундно, когда все забыли слово "велосипед" и скорость инета - как "скорость света" и т.д. и вспоминать при этом что-то из 2000-ых - деградировать?..
Да и времени нет уже на эти рисовалки.. думаю для многих важна юзабельность, функционал.., но никак не размер...

demien пишет:
рисованный диз и те же кнопки будут и уникальнее, и возможно менее глючны.

"Рисованный" диз - это все же прерогатива всяких там команд, а "формочки" - это вот как раз традиционно релиз от какого-нибудь сайта.
Да и глюки есть - их там полно, но как-нибудь прорвемся... я даже не уверен, что у всех будет работать как надо, но для этого есть такое свойство как багрепорты - будем фиксить.

 

[demien]

В целом вижу что работа идет, хоть ты и редко бываешь тут. Скин, пускай будет скин не критично. Размер, тоже х#й с ним. По поводу советов и идей... ну я например незнаю что конкретно уже реализованно по этому советовать... сложно.
Я так понимаю open source проект не будет?