≡×МЕНЮ

• Поради
• Програми
• Огляди
• Рейтинги
• Ігри

PE (Portable Executable): На дивних берегах. Огляд програм для аналізу файлів, що виконуються Типи файлів PE

Typedef struct _IMAGE_FILE_HEADER ( WORD Machine; WORD NumberOfSections; DWORD TimeDateStamp; DWORD PointerToSymbolTable; DWORD NumberOfSymbols; WORD SizeOfOptionalHeader; WORD Characteristics; WORD Characteristics;
Я лише сухо опишу ці поля, т.к. назви інтуїтивно зрозумілі і являють собою безпосередні значення, а не VA, RVA, RAW та інші страшні інтригуючі штуки, про які поки що, ми тільки чули від старих піратів. Хоча з RAW ми вже стикалися - це якраз зміщення щодо початку файлу (їх ще називають сирими покажчиками або file offset). Тобто якщо ми маємо RAW адресу, це означає що потрібно зробити крок від початку файлу на RAW позицій ( ptrFile+ RAW). Після цього можна починати читати значення. Яскравим прикладом цього виду є e_lfnew- що ми розглянули у Dos заголовку.

*Machine: WORD - це число (2 байти) задає архітектуру процесора, на якій цей додаток може виконуватися.
NumberOfSections: DWORD - кількість секцій у файлі. Секції (надалі називатимемо таблицею секцій) слідують відразу після заголовка (PE-Header). У документації сказано, що кількість секцій обмежена числом 96.
TimeDateStamp: WORD - число, що зберігає дату і час створення файлу.
PointerToSymbolTable: DWORD - усунення (RAW) до таблиці символів, а SizeOfOptionalHeader - це розмір даної таблиці. Ця таблиця покликана служити для зберігання налагоджувальної інформації, але загін не помітив втрати бійця від початку служби. Найчастіше це поле зачищається нулями.
SIzeOfOptionHeader: WORD - розмір опціонального заголовка (що слід відразу за поточним) У документації зазначено, що для об'єктного файлу він встановлюється 0…
*Характеристики: WORD - характеристики файлу.

* - Поля, які визначені діапозоном значень. Таблиці можливих значень представлені описі структури на оф. сайті і наводитися не будуть, т.к. нічого особливо важливого для розуміння формату вони не несуть.

Облишмо цей острів! Нам треба рухатись далі. Орієнтир – країна під назвою Optional-Header.

- Де карта, Біллі? Мені потрібна карта.
(Острів скарбів)

Optional-Header (IMAGE_OPTIONAL_HEADER)

Назва цього материка заголовка не дуже вдале. Цей заголовок є обов'язковим і має 2 формати PE32 та PE32+ (IMAGE_OPTIONAL_HEADER32 та IMAGE_OPTIONAL_HEADER64 відповідно). Формат зберігається у полі Magic: WORD. Заголовок містить потрібну інформацію для завантаження файлу. Як завжди :

IMAGE_OPTIONAL_HEADER

typedef struct _IMAGE_OPTIONAL_HEADER ( WORD Magic; BYTE MajorLinkerVersion; BYTE MinorLinkerVersion; DWORD SizeOfCode; DWORD SizeOfInitializedData; DWORD SizeOfUninitializedData; DWORD AddressOf ImageBase; DWORD SectionAlignment; MinorImageVersion; WORD ; zeOfStackCommit; DWORD SizeOfHeapCommit; DWORD , *PIMAGE_OPTIONAL_HEADER;

* Як завжди, ми вивчимо тільки основні поля, які мають найбільший вплив на уявлення про завантаження і як рухатися далі по файлу. Давайте умовимося - у полях даної структури, містяться значення з VA (Virtual address) та RVA (Relative virtual address) адресами. Це вже адреси не такі як RAW, і їх потрібно вміти читати (точніше рахувати). Ми неодмінно навчимося це робити, але тільки спочатку розберемо структури, які йдуть одна за одною, щоб не заплутатися. Поки що просто запам'ятайте - це адреси, які після розрахунків, вказують на певне місце у файлі. Також зустрінеться нове поняття – вирівнювання. Його ми розглянемо у поєднанні з RVA адресами, т.к. ці вони досить тісно пов'язані.

AddressOfEntryPoint: DWORD - адреса RVA точки входу. Може вказувати будь-яку точку адресного простору. Для файлів .exe точка входу відповідає адресі, з якої програма починає виконуватися і не може дорівнювати нулю!
BaseOfCode: DWORD - RVA початку коду програми (секції коду).
BaseOfData: DWORD - RVA початку коду програми (секції даних).
ImageBase: DWORD - найкраща базова адреса завантаження програми. Має бути кратний 64кб. Найчастіше дорівнює 0x00400000.
SectionAligment: DWORD - розмір вирівнювання (байти) секції під час вивантаження у віртуальну пам'ять.
FileAligment: DWORD - розмір вирівнювання (байти) секції усередині файлу.
SizeOfImage: DWORD - розмір файлу (в байтах) у пам'яті, включаючи всі заголовки. Повинен бути кратним розділ Аліг.
SizeOfHeaders: DWORD - розмір всіх заголовків (DOS, DOS-Stub, PE, Section) вирівняний на FileAligment.
NumberOfRvaAndSizes: DWORD - кількість каталогів у таблиці директорій (нижче сама таблиця). На даний момент це поле завжди дорівнює символічній константі IMAGE_NUMBEROF_DIRECTORY_ENTRIES, яка дорівнює 16-ти.
DataDirectory: IMAGE_DATA_DIRECTORY - каталог даних. Простіше кажучи це масив (розміром 16), кожен елемент якого містить структуру з двох DWORD-их значень.

Розглянемо що являє собою структура IMAGE_DATA_DIRECTORY :

Typedef struct _IMAGE_DATA_DIRECTORY ( DWORD VirtualAddress; DWORD Size; ) IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;
Що ми маємо? Ми маємо масив з 16 елементів, кожен елемент якого містить адресу і розмір (чого? як? навіщо? все через хвилину). Постає питання чого саме це характеристики. Для цього у microsoft є спеціальні константи для відповідності. Їх можна побачити наприкінці опису структури. А поки:

// Directory Entries #define IMAGE_DIRECTORY_ENTRY_EXPORT 0 // Export Directory #define IMAGE_DIRECTORY_ENTRY_IMPORT 1 // Import Directory #define IMAGE_DIRECTORY_ENTRY_RESOURCE2 // URITY 4 // Security Directory #define IMAGE_DIRECTORY_ENTRY_BASERELOC 5 // Base Relocation Table #define IMAGE_DIRECTORY_ENTRY_DEBUG 6 // Debug Directory // IMAGE_DIRECTORY_ENTRY_COPYRIGHT 7 // (X86 usage) #define IMAGE_DIRECTORY_ENTRY_ARCHITECTURE 7 / define IMAGE_DIRECTORY_ENTRY_TLS 9 // TLS Directory #define IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG 10 // Load Configuration Directory #define IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT 11 // Bound Import Directory in headers #define DESCRIPTOR 14 // COM Runtime descriptor
Ага! Ми бачимо, що кожен елемент масиву відповідає за прикріплену до нього таблицю. Але на жаль і ах, поки ці береги недосяжні для нас, т.к. ми не вміємо працювати з VA та RVA адресами. А для того, щоб навчитися, нам потрібно вивчити що таке секції. Саме вони розкажуть про свою структуру та роботу, після чого стане зрозуміло для чого потрібні VA, RVA та вирівнювання. У рамках цієї статті, ми торкнемося тільки експорт та іморт. Призначення інших полів можна знайти у оф. документації, чи книжках. Так ось. Власне поля:

VirtualAddress: DWORD - RVA на таблицю, якій відповідає елемент масиву
Size: DWORD - розмір таблиці в байтах

Отже! Щоб дістатися таких екзотичних берегів як таблиці імпорту, експорту, ресурсів та інших, нам необхідно пройти квест із секціями. Ну що ж юнга, поглянемо на загальну карту, визначимо де ми зараз знаходимося і рухатимемося далі:

А знаходимося ми безпосередньо перед широкими просторами секцій. Нам потрібно неодмінно випитати, що вони тануть і розібратися вже нарешті з іншим видом адресації. Нам хочеться справжніх пригод! Ми хочемо якнайшвидше вирушити до таких республік як таблиці імпорту та експорту. Старі пірати кажуть, що не кожен зміг до них дістатися, а той, хто дістався, повернувся - із золотом і жінками зі священними знаннями про океан. Вирушаємо і тримаємо шлях на Section header.

- Ти скинутий, Сілвер! Злазь з бочки!”
(Острів скарбів)

Section-header (IMAGE_SECTION_HEADER)

Відразу за масивом DataDirectoryодин за одним йдуть секції. Таблиця секцій являє собою суверенну державу, яка поділяється на NumberOfSectionsміст. Кожне місто має своє ремесло, свої права, а також розмір 0x28 байт. Кількість секцій вказано у полі NumberOfSectionsщо зберігається в File-header-і. Отже, розглянемо структуру:

Typedef struct _IMAGE_SECTION_HEADER ( BYTE Name; union ( DWORD PhysicalAddress; DWORD VirtualSize; ) Misc; DWORD VirtualAddress; DWORD SizeOfRawData; DWORD PointerToRawData; DWORD Relocations; WORD NumberOfLinenumbers; DWORD Characteristics;
Name: BYTE - назва секції. На даний момент має довжину 8 символів.
VirtualSize: DWORD - розмір секції у віртуальній пам'яті.
SizeOfRawData: DWORD - розмір секції у файлі.
VirtualAddress: DWORD - адреса секції RVA.
SizeOfRawData: DWORD - розмір секції у файлі. Має бути кратен FileAligment.
PointerToRawData: DWORD - RAW усунення до початку секції. Також має бути кратен FileAligment…
Характеристики: DWORD - атрибути доступу до секції та правила для її завантаження у вірт. пам'ять. Наприклад, атрибут для визначення вмісту секції (ініц. дані, не ініціал. дані, код). Або атрибути доступу – читання, запис, виконання. Це не весь їхній спектр. Характеристики задаються константами з того ж WINNT.h, які починаються з IMAGE_SCN_. Докладніше ознайомитися з атрибутами секцій можна. Також добре описані атрибути у книгах Кріса Касперські – список літератури наприкінці статті.

Щодо імені слід запам'ятати наступне - секція з ресурсами, завжди повинна мати ім'я.rsrc. В іншому випадку ресурси не будуть підвантажені. Що стосується решти секцій – то ім'я може бути будь-яким. Зазвичай зустрічаються осмислені імена, наприклад. data, . src тощо… Але буває таке:

Секції це така область, яка вивантажується у віртуальну пам'ять і вся робота відбувається безпосередньо з цими даними. Адреса у віртуальній пам'яті, без жодних зсувів називається Virtual address, скорочено VA. Вподобана адреса для завантаження програми, задається в поле ImageBase. Це як точка, з якої починається область програми у віртуальній пам'яті. І щодо цієї точки відраховуються усунення RVA (Relative virtual address). Тобто VA = ImageBase+ RVA; ImageBaseнам завжди відомо і отримавши своє розпорядження VA або RVA, ми можемо висловити одне через інше.

Тут начебто освоїлися. Але ж це віртуальна пам'ять! А ми щось знаходимося у фізичній. Віртуальна пам'ять для нас зараз це як подорож в інші галактики, які ми поки що можемо лише уявляти. Так що у віртуальну пам'ять нам на даний момент не потрапити, але ми можемо дізнатися, що там буде, адже це взято з нашого файлу.

Вирівнювання

Для того, щоб правильно представляти вивантаження у вірт. пам'ять необхідно розібратися з таким механізмом як вирівнювання. Для початку погляньмо на схему того, як секції вивантажуються в пам'ять.

Як можна помітити, секція вивантажується на згадку не за своїм розміром. Тут використовуються вирівнювання. Це значення, якому мають бути краті розмір секції в пам'яті. Якщо подивитися на схему, ми побачимо, що розмір секції 0x28, а вивантажується у розмірі 0x50. Це відбувається через розмір вирівнювання. 0x28 "не дотягує" до 0x50 і як наслідок, буде вивантажена секція, а решта простору в розмірі 0x50-0x28 занульиться. А якщо розмір секції був би більшим за розмір вирівнювання, то що? Наприклад sectionSize= 0x78, а sectionAligment= 0x50, тобто. залишився без змін. У такому разі секція займала б у пам'яті 0xA0 (0xA0 = 0x28 * 0x04) байт. Тобто значення яке кратне sectionAligmentі повністю криє sectionSize. Слід зазначити, що секції у файлі вирівнюються аналогічним чином лише на розмір FileAligment. Отримавши необхідну базу ми можемо розібратися з тим, як конвертувати з RVA в RAW.

"Тут вам не рівнина, тут клімат інший."
(В.С. Висоцький)

Невеликий урок арифметики

Перед початком виконання, якась частина програми повинна бути відправлена ​​в адресний простір процесора. Адресний простір - це обсяг оперативно пам'яті, що фізично адресується процесором. "Кусок" в адресному просторі, куди вивантажується програма називається віртуальним чином (virtual image). Образ характеризується адресою базового завантаження (Image base) та розміром (Image size). Так ось VA (Virtual address) - це адреса щодо початку віртуальної пам'яті, а RVA (Relative Virtual Address) щодо місця, куди було вивантажено програму. Як дізнатися базову адресу завантаження? Для цього існує окреме поле в опціональному заголовку під назвою ImageBase. Це була невелика прелюдія щоб освіжити у пам'яті. Тепер розглянемо схематичне подання різних адресацій:

Як же все-таки прочитати інформацію з файлу, не вивантажуючи його у віртуальну пам'ять? Для цього потрібно конвертувати адреси у формат RAW. Тоді ми зможемо всередині файлу зробити крок на потрібну нам ділянку і прочитати необхідні дані. Так як RVA - це адреса у віртуальній пам'яті, дані по якому були спроектовані з файлу, ми можемо зробити зворотний процес. Для цього нам знадобиться дев'ять ключ на шістнадцять проста арифметика. Ось кілька формул:

VA = ImageBase + RVA; RAW = RVA - sectionRVA + rawSection; // rawSection - зміщення до секції від початку файлу // sectionRVA - RVA секції (це поле зберігається всередині секції)
Як видно, щоб вирахувати RAW, нам потрібно визначити секцію, якій належить RVA. Для цього потрібно пройти по всіх секціях та перевірити такі умови:

RVA >= sectionVitualAddress && RVA< ALIGN_UP(sectionVirtualSize, sectionAligment) // sectionAligment - выравнивание для секции. Значение можно узнать в Optional-header. // sectionVitualAddress - RVA секции - хранится непосредственно в секции // ALIGN_UP() - функция, определяющая сколько занимает секция в памяти, учитывая выравнивание
Склавши всі пазли, отримаємо такий листинг:

Typedef uint32_t DWORD; typedef uint16_t WORD; typedef uint8_t BYTE; #define ALIGN_DOWN(x, align) (x & ~(align-1)) #define ALIGN_UP(x, align) ((x & (align-1)))?ALIGN_DOWN(x,align)+align:x) // IMAGE_SECTION_HEADER sections; // init array sections int defSection(DWORD rva) ( for (int i = 0; i< numberOfSection; ++i) { DWORD start = sections[i].VirtualAddress; DWORD end = start + ALIGN_UP(sections[i].VirtualSize, sectionAligment); if(rva >= start && rva< end) return i; } return -1; } DWORD rvaToOff(DWORD rva) { int indexSection = defSection(rva); if(indexSection != -1) return rva - sections.VirtualAddress + sections.PointerToRawData; else return 0; }
*Я не став включати в код оголошення типу та ініціалізацію масиву, а лише надав функції, які допоможуть при розрахунку адрес. Як бачите, код вийшов не дуже складним. Хіба що трохи заплутаним. Це проходить ... якщо приділити ще трохи часу ковзання в.exe через дизассемблер.

УРА! Розібралися. Тепер ми можемо вирушити до краю ресурсів, бібліотек імпорту та експорту і взагалі куди душа бажає. Адже ми щойно навчилися працювати з новим видом адресації. В дорогу!

"-Не погано, не погано! Все ж таки вони отримали свій пайок на сьогодні!”
(Острів скарбів)

Export table

У першому елементі масиву DataDirectoryзберігається RVA на таблицю експорту, представлену структурою IMAGE_EXPORT_DIRECTORY. Ця таблиця властива файлам динамічних бібліотек (DLL). Основним завданням таблиці є зв'язок експортованих функцій зі своїми RVA. Опис представлено у оф. специфікації:

Typedef struct _IMAGE_EXPORT_DIRECTORY ( DWORD Characteristics; DWORD TimeDateStamp; WORD MajorVersion; WORD MinorVersion; DWORD Name; DWORD Base; DWORD AddressOfNameOrdinals; ) IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;
Ця структура містить три покажчики на три різні таблиці. Це таблиця імен (функцій) ( AddressOfNames), ординалів( AddressOfNamesOrdinals), адрес ( AddressOfFunctions). У полі Name зберігається RVA імені динамічної бібліотеки. Ординал - це як посередник, між таблицею імен і таблицею адрес, і є масив індексів (розмір індексу дорівнює 2 байти). Для більшої наочності розглянемо схему:

Розглянемо приклад. Допустимо i-ий елемент масиву імен вказує на назву функції. Тоді адресу цієї функції можна отримати звернувшись до i-го елемента масиві адрес. Тобто. i – це ординал.

Увага!Якщо ви взяли наприклад другий елемент у таблиці ординалів, це означає 2 - це ординал для таблиць імен і адрес. Індексом є значення, яке зберігається у другому елементі масиву ординалів.

Кількість значень у таблицях імен ( NumberOfNames) та ординалів рівні і не завжди збігаються з кількістю елементів у таблиці адрес ( NumberOfFunctions).

“За мною прийшли. Дякую за увагу. Зараз, мабуть, вбиватимуть!”
(Острів скарбів)

Import table

Таблиця імпорту є невід'ємною частиною будь-якої програми, яка використовує динамічні бібліотеки. Ця таблиця допомагає співвіднести дзвінки функцій динамічних бібліотек з відповідними адресами. Імпорт може відбуватися у трьох різних режимах: стандартний, що зв'язує (bound import) та відкладений (delay import). Т.к. тема іморту досить багатогранна і тягне на окрему статтю, я опишу лише стандартний механізм, а решту опишу лише «скелетом».

Стандартний імпорт- у DataDirectoryпід індексом IMAGE_DIRECTORY_ENTRY_IMPORT(=1) зберігається таблиця імпорту. Вона є масивом з елементів типу IMAGE_IMPORT_DESCRIPTOR. Таблиця імпорту зберігає (масивом) імена функцій/ординалів і в яке місце завантажувач має записати ефективну адресу цієї функції. Цей механізм дуже ефективний, т.к. відверто кажучи, все зводиться до перебору всієї таблиці експорту для кожної необхідної функції.

Bound import- при даній схемі роботи в поля (у першому елементі стандартної таблиці імпорту) TimeDateStamp та ForwardChain заноситься -1 та інформація про зв'язування зберігається в комірці DataDirectoryз індексом IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT(=11). Тобто це свого роду прапор завантажувачу про те, що потрібно використовувати bound import. Також для «ланцюжка bound імпорту» фігурують свої структури. Алгоритм роботи полягає в наступному - у віртуальну пам'ять додатка вивантажується необхідна бібліотека і всі необхідні адреси «біндять» ще на етапі компіляції. З недоліків можна відзначити те, що при перекомпіляції dll, потрібно буде перекомпілювати саму програму, т.к. адреси функцій буде змінено.

Delay import- при даному методі мається на увазі, що .dll файл прикріплений до виконуваного, але в пам'ять вивантажується не відразу (як у попередніх двох методах), а тільки при першому зверненні додатка до символу (так називають елементи, що вивантажуються з динамічних бібліотек). Тобто програма виконується в пам'яті і як тільки процес дійшов до виклику функції з динамічної бібліотеки, викликається спеціальний обробник, який підвантажує dll і розносить ефективні адреси її функцій. За відкладеним імпортом завантажувач звертається до DataDirectory (елемент із номером 15).

Трохи висвітливши методи імпорту, перейдемо безпосередньо до таблиці імпорту.

“Це моряк! Одяг у нього був морський. - Та НУ? А ти думав знайти тут єпископа?
(Острів скарбів – Джон Сільвер)

Import-descriptor (IMAGE_IMPORT_DESCRIPTOR)

Щоб дізнатися координати таблиці імпорту, нам потрібно звернутися до масиву DataDirectory. До елемента IMAGE_DIRECTORY_ENTRY_IMPORT (=1). І прочитати адресу RVA таблиці. Ось загальна схема шляху, який потрібно зробити:

Потім з RVA отримуємо RAW, відповідно до формул, наведених вище, і потім “крочемо” по файлу. Тепер ми впритул перед масивом структур під назвою IMAGE_IMPORT_DESCRIPTOR. Ознакою кінця масиву служить "нульова" структура.

Typedef struct _IMAGE_IMPORT_DESCRIPTOR ( union ( DWORD Characteristics; DWORD OriginalFirstThunk; ) DUMMYUNIONNAME; DWORD TimeDateStamp; DWORD ForwarderChain; DWORD Name; DWORD FirstThuNG_ ;
Я не зміг вивчити посилання msdn на опис структури, але ви можете спостерігати її у файлі WINNT.h. Почнемо розбиратися.

OriginalFirstThunk: DWORD – RVA таблиці імен імпорту (INT).
TimeDateStamp: DWORD - дата та час.
ForwarderChain: DWORD - індекс першого переправленого символу
Name: DWORD - RVA рядки з ім'ям бібліотеки
FirstThunk: DWORD - RVA таблиці адрес імпорту (IAT).

Тут дещо схоже на експорт. Також таблиця імен (INT) і теж рубище на ньому адрес (IAT). Також є RVA імені бібліотеки. Тільки ось INT і IAT посилаються на масив структур IMAGE_THUNK_DATA. Вона представлена ​​у двох формах - для 64 - і для 32-й систем і відрізняються лише розміром полів. Розглянемо з прикладу x86:

Typedef struct _IMAGE_THUNK_DATA32 ( union ( DWORD ForwarderString; DWORD Function; DWORD Ordinal; DWORD AddressOfData; ) u1; ) IMAGE_THUNK_DATA32,*PIMAGE_THUNK_DATA32;
Важливо відповісти, що подальші дії залежить від старшого біта структури. Якщо він встановлений, то біти, що залишилися, являють собою номер імпортованого символу (імпорт за номером). В іншому випадку (старший біт скинутий) біти, що залишилися, задають RVA імпортованого символу (імпорт на ім'я). Якщо ми маємо імпорт на ім'я, то покажчик зберігає адресу на наступну структуру:

Typedef struct _IMAGE_IMPORT_BY_NAME ( WORD Hint; BYTE Name; ) IMAGE_IMPORT_BY_NAME, *PIMAGE_IMPORT_BY_NAME;
Тут Hint- це номер функції, а Name- Ім'я.

Навіщо це все? Всі ці масиви, структури ... Розглянемо для наочності чудову схему з

28
лют
2012

PE Explorer 1.99 R6 RePack

Рік зробити: 2011
Жанр: Редактор файлів
Розробник: Heaventools Software
Сайт розробника: http://www.heaventools.ru
Мова інтерфейсу:Українська
Тип збирання: RePack
Розрядність: 32/64-bit
Операційна система: Windows XP, Vista, 7
Системні вимоги:Процесор Intel Pentium® або AMD K5 166 MHz, 16 MB RAM

Опис: PE Explorer - це програма для перегляду, вивчення, аналізу та редагування внутрішнього пристрою файлів, що виконуються. За допомогою PE Explorer ви можете досліджувати як власні програми та бібліотеки, так і програми від сторонніх розробників, до чиїх вихідних текстів у вас немає доступу. Сюди відноситься вивчення пристрою вірусів, троянів та інших шкідливих програм.
PE Explorer дозволяє відкривати, дивитися та редагувати 32-бітові PE (Portable Executable) файли для Windows будь-якого типу: EXE, DLL і ActiveX, SCR (скринсейвери), CPL (Control Panel Applets), SYS, DRV, MSSTYLES, MUI, BPL, DPL, та багато інших.

* Дивитися, що знаходиться всередині виконуваних файлів і для чого вони призначені
* Змінювати та кастомізувати елементи графічного інтерфейсу програм
* Визначати, куди звертається програма і які з неї викликаються DLL бібліотеки
* Передбачити поведінку програми та логіку взаємодії з іншими модулями
* Перевірити наявність та цілісність цифрового підпису у файлу, верифікувати постачальника
* Отримати підказку про параметри функцій, що експортуються із системних бібліотек
* Безпосередньо відкривати файли, запаковані UPX, UPack або NSPack
* Особлива підтримка для програм, написаних на Delphi

* Редактор заголовків та секцій
* Редактор ресурсів
* Засіб перегляду списку експортованих/імпортованих функцій та їх параметрів
* Дизассемблер
* Сканер залежностей
* В'ювер цифрового підпису
* Статичні розпакувальники UPX, UPack та NSPack
* І багато іншого

Можливість роботи з пошкодженими файлами у безпечному режимі
- Перевірка інтеграції виконуваного файлу
- Автоматичне розпакування файлів, упакованих UPX, WinUpack, NSPack
- Збереження змін у вигляді нових виконуваних файлів
- Дизассемблер відновлення первинного коду виконуваного файла
- Аналізатор залежностей для визначення мінімального набору потрібних для файлу бібліотек
- засіб видалення налагоджувальної інформації, укладеної всередині файлу
- Засіб видалення таблиць виправлень
- Виправлені помилки, що виникали при перегляді файлів у Windows Vista і усунуті дрібні баги.

25
квіт
2011

UFS Explorer Professional Recovery 3.19.1 RePack

Рік зробити: 2011
Жанр: Відновлення даних

21
квіт
2017

Fraps 3.5.99 Build 15618 RePack by D!akov

Рік зробити: 2016
Жанр: Зняття скріншотів, захоплення екрану, FPS
Сайт розробника: fraps.com
Мова інтерфейсу: Українська
Тип збирання: RePack
Розрядність: 32/64-bit
Системні вимоги Windows XP | Vista | 7| 8| 10
Опис: Fraps - призначена для підрахунку кількості FPS (кадрів на секунду) у програмах, що працюють у режимах OpenGL та Direct3D. Утиліта вміє робити скріншоти та записувати відео з зображенням з екрана. Fraps складається з трьох модулів Benchmarking Software, Screen Capture Software, Realtime Video Capture Software. Benchmarking Software - показує, скільки кадрів за секунду (FP ...

07
квіт
2016

Windows 10 PE by Ratiborus v.4.5.1 BootDVD 64-bit

Рік зробити: 2016
Жанр: Завантажувальний диск Windows 10 PE
Розробник: Ru.Board
Сайт розробника: https://href.li/?http://forum.ru-board.com/topic.cgi?forum=2&topic=5328#1
Мова інтерфейсу: Українська
Тип складання: BootDVD
Розрядність: 64-bit
Операційна система: Windows)
Системні вимоги: Processor: 1 GHz or faster RAM: 2 GB Screen resolution: 1024 x 768
Опис: Завантажувальний диск на базі Windows 10 PE – для обслуговування комп'ютерів, роботи з жорсткими дисками та розділами, резервного копіювання та відновлення дисків та розділів, діагностики комп'ютера, відновлення даних. Дод. інфор...

21
лют
2011

Minecraft World Explorer 1.4

Рік зробити: 2010
Жанр: Arcade
Розробник: Robots and Pencils Inc.
Сайт розробника: http://hq.robotsandpencils.com/
Мова інтерфейсу: Українська
Платформа: iPhone
Системні вимоги: iOS 3.2 та вище
Опис: Minecraft шалено затягує гра - легко почати, але неможливо зупинити. Нарешті, ви можете створювати, грати та вивчити 3D-світи на Ваших IPad та iPhone.

05
квіт
2011

Deepnet Explorer 1.5.3 Beta + RUS

Рік виконання: 2006
Жанр: Браузер
Розробник: Deepnet Security
Сайт розробника: http://www.deepnetexplorer.com/
Мова інтерфейсу: Англійська + Українська
Платформа: Windows XP, Vista, 7
Опис: Deepnet Explorer - це перший у світі браузер із RSS News Reader, P2P клієнта інтеграції та фішинг тривоги. браузера чудова безпека, функціональність і зручність використання, до цих пір роблять Deepnet виділитися з натовпу. Перейдіть на досвід перегляду, як ніколи раніше. Додаткова інформація Deepnet Explorer є одним з найбезпечніших веб-браузерів. Хоча Deepnet Explorer використання IE ...

26
лют
2008

My Phone Explorer 1.6.2 RUS (Нова версія) (2007)

Рік виконання: 2007
Жанр: програма для мобільного телефону developer: FJ. WESHSELBERGER
Видавництво: MadMax
Тип видання: піратка
Мова інтерфейсу: тільки російська
Ліки: Не потрібно
Платформа: PC
Системні вимоги: Windows 95, 98, 2000, me, XP, VISTA, 16 MB RAM
Опис: Найпотужніша програма для керування телефоном. Має файловий менеджер, редактори смс, телефонної книги, профілів тощо. Також вміє зберігати резервні копії всього, що є в телефоні і відповідно відновлювати з резервних копій. Вміє синхронізуватися із Outlook. Загалом можливості дуже великі. Теоретично має...

07
березень
2011

DiskSpace Explorer 3.0.1.328 Home Edition

Версія: 3.0.1.328
Рік виконання: 2004
Жанр: Каталогізатор
Розробник: EAST Technologies
Сайт розробника: http://www.east-tec.com
Мова інтерфейсу: Англійська
Платформа: Windows 95, 98, Me, 2000, XP, 2003, Vista, 2008, 7
Системні вимоги: Процесор Pentium II, 200Мгц, 1Мб місця на диску
Опис: Програма будує кругові діаграми файлової системи. Це дозволить вам побачити в яких папках лежить багато важких файлів, що допомагає при чистці вінчестера від старого мотлоху. Crack додається.
Дод. інформація: Запускаємо установник. Після встановлення кидаємо патч у папку з програмою, запускаємо...

16
березень
2012

TechSmith Camtasia Studio 7.1.1.1785 + Lite RePack + Portable + RePack

Рік зробити: 2011
Жанр: Захоплення екрану, зображення
Розробник: TechSmith Corporation
Сайт розробника: http://www.techsmith.com/
Мова інтерфейсу: Російська + Англійська
Тип збирання: Standard + Portable + RePack
Розрядність: 32-bit
Операційна система: Windows XP, Vista, 7
Системні вимоги: Microsoft DirectX 9 або версії 1.5 GHz, single-core minimum ~ Recommended: Intel 2.0 GHz dual-core or better 1 GB RAM minimum ~ Recommended: 2.0 GB або більше 500 MB of 1024x768 or greater
Опис: Camtasia Studio - потужна програма...

07
сен
2012

XnView 1.99.1 Full + Portable

Рік зробити: 2012
Жанр: Графічний редактор, конвертер
Розробник: XnView
Сайт розробника: http://www.xnview.com/

Тип збирання: Standard + Portable
Розрядність: 32/64-bit

Опис: XnView - зручна утиліта для перегляду та конвертації графічних файлів. Цей непоганий переглядач графічних файлів має високу швидкість роботи, зручний інтерфейс, підтримує понад 500 графічних форматів і конвертує між собою 50 форматів. XnView може здійснювати обрізання графіки, зміна е...

10
але я
2013

VSO ConvertXtoDVD 5.1.0.2 Final RePack RePack

Рік зробити: 2013
Жанр: Відео конвертер
Розробник: VSO Software
Сайт розробника: http://ua.vso-software.fr
Мова інтерфейсу: Мультимовна (російська присутня)
Тип збирання: RePack
Розрядність: 32/64-bit
Операційна система: Windows XP, Vista, 7, 8
Опис: VSO ConvertXtoDVD - програма, призначена для перетворення відео у формат, сумісний з DVD Video, та подальшого запису вмісту на DVD. Програма підтримує відео файли AVI, MPEG, MPEG4, DivX, Xvid, MOV, WMV, WMV HD, DV, MKV, DVD, а також потокове відео. Для роботи програми не потрібні зовнішні AVI-кодеки, оскільки вона використовує...

25
квіт
2011

UFS Explorer Professional Recovery 3.19.1 32-bit/64-bit

Рік зробити: 2011
Жанр: Відновлення даних
Розробник: SysDevSoftware, Development & Research division of SysDev Laboratories LLC.
Сайт розробника: http://www.ufsexplorer.com/
Мова інтерфейсу: Російська + Англійська
Платформа: Windows 2000, XP, XP x64, 2003, 2003 x64, Vista, Vista x64, 2008, 2008 x64, 7, 7 x64
Системні вимоги: CPU: Pentium-сумісні, 32 та 64 бітні.
Жорсткий диск: 10MB вільного простору.
Оперативна пам'ять: щонайменше 256MB.
Опис: UFS Explorer Professional Recovery - професійна версія програмного продукту, що є потужним, всебічним та легким.

25
квіт
2011

UFS Explorer Standard Recovery 4.9.1 32-bit/64-bit

Рік зробити: 2011
Жанр: Відновлення даних
Розробник: SysDevSoftware, Development & Research division of SysDev Laboratories LLC.
Сайт розробника: http://www.ufsexplorer.com/
Мова інтерфейсу: Російська + Англійська
Платформа: Windows 2000, XP, XP x64, 2003, 2003 x64, Vista, Vista x64, 2008, 2008 x64, 7, 7 x64
Системні вимоги: CPU: Pentium-сумісні, 32 та 64 бітні.
Жорсткий диск: 10MB вільного простору.
Оперативна пам'ять: щонайменше 256MB.
Опис: UFS Explorer Standard Recovery – повнофункціональний продукт, створений спеціально для відновлення даних. Включає весь н...

30
сен
2017

Adobe InDesign CC 2017.1 12.1.0.56 RePack by KpoJIuK 12.1.0.56 RePack

Рік зробити: 2017
Жанр: Графічний редактор
Розробник: Adobe
Сайт розробника: www.adobe.com
Мова інтерфейсу: Мультимовна (російська присутня)
Тип збирання: RePack
Розрядність: 64-bit
Операційна система: Windows 7, 8, 8.1, 10
Системні вимоги: Процесор Intel Pentium 4 або AMD Athlon 64 Microsoft Windows 7 з пакетом оновлень SP1, Windows 8, Windows 8.1 або Windows 10 2 ГБ оперативної пам'яті (рекомендується 8 ГБ) 2,6 ГБ вільного простору на жорсткому диску для встановлення; додатковий вільний простір, необхідний для встановлення (не встановлюється на знімні пристрої х...

22
липень
2017

AusLogics BoostSpeed ​​9.1.4.0 DC 14.07.2017 RePack (Portable) by elchupacabra 9.1.4.0 RePack

Рік зробити: 2017
Жанр: Оптимізація системи
Розробник: Auslogics Software Pty Ltd.
Сайт розробника: http://www.auslogics.com/ru/
Мова інтерфейсу: Російська + Англійська
Тип збирання: RePack
Розрядність: 32/64-bit
Операційна система: Windows XP, Vista, 7, 8, 8.1, 10
Опис: Auslogics BoostSpeed ​​– популярний набір інструментів для оптимізації та налаштування вашої операційної системи. За допомогою цієї програми ви зможете значно оптимізувати роботу вашої системи, з легкістю налаштувати різні параметри Windows, очистити жорсткий диск та системний реєстр від сміття та непотрібних записів, зробити...

05
лют
2017

Total Commander 9.0a Freemen 17.1 Repack by notn 9.00a Repack

Рік виконання: 2017.02.03
Жанр: Файловий менеджер
Розробник: Christian Ghisler
Сайт розробника: http://www.ghisler.com/
Мова інтерфейсу: Мультимовна (російська присутня)
Тип збирання: RePack
Розрядність: 32/64-bit
Операційна система: Windows (XP,2003,Vista,2008,7,2012,8.x,10,2016)
Системні вимоги: Windows 7, 8, 10
Опис: Total Commander є найпотужнішим і стабільним файловим менеджером для Windows зі зручним інтерфейсом користувача. Total Commander продовжує добру традицію двох-панельних файлових менеджерів, але відрізняється підвищеною зручністю і функціональністю.

SDL Passolo 2015 - найпотужніша утиліта з перекладу програм різними мовами світу. Розуміє багато форматів, розрізняє тип мови. Шаблонний редактор ресурсів із розширеними можливостями, призначений для локалізації ПЗ. SDL Passolo 2015 має візуальний редактор діалогів з цілим рядом зручних інструментів форматування, підтримує роботу практично з будь-якими ресурсами, має безліч тонких налаштувань, опцію пакетної обробки та вбудовану систему перевірки орфографії. Програма SDL Passolo 2015 може допомогти перекладачеві заощадити багато сил і часу при локалізаціях програм. Це через те, що в програмі передбачено функцію автоматичного перекладу та перевірки перекладеного тексту на більшість типових помилок. Функція автоматичного перекладу здійснюється за наявності певних словників, яких існує безліч в інтернеті, у тому числі від компанії Microsoft. Якщо вас вже готові словники не влаштовують, їх можна створювати самому. Достатньо один раз перекласти якусь програму та експортувати список перекладу до словника. І надалі цей словник можна буде підключати під час перекладу нових версій програм. У SDL Passolo 2015 дуже розвинене візуальне коригування діалогових вікон у програмах, що перекладаються. Досить буде сказати, що вона не набагато поступається редагуванню форм Microsoft Visual Studio.Net. Якщо ви скажете, що і у Resource Hacker хороше коригування діалогів, то ви не бачили Passolo. На цьому список переваг Passolo не обмежується. Дод. інформація: Нові можливості: * Термінологія тепер надана також зі списків перекладів Passolo. * Служби для попереднього перекладу, пошуків нестрогих перекладів, збігів та термінології можуть тепер легко бути обрані у діалозі параметрів. * Пошук перекладів за допомогою швидких індексів у проектах та глосаріях набагато прискорює процес пошуку. * Новий сучасний інтерфейс користувача, який дозволяє довільно стиковувати вікна виводу. Новий параметр Автоприховування вікон виведення. * Поєднання клавіш можуть бути змінені в діалозі налаштування панелі інструментів. * Пошук нестрогих перекладів тепер маркує відмінності нестрогих відповідностей у тексті кольоровими кольорами. * При виборі запису термінології вибираються в контекстному меню вихідного тексту, спливаючи з додатковою інформацією щодо елемента термінології, що відображається. * Файли можуть бути перенесені мишею у вікно проекту, щоб додати їх як вихідний файл або імпортувати інформацію. * Історія всіх змін у тексті забезпечена датою та ім'ям користувача. Колишні версії даних можна відновити за допомогою функції Відкат. * Записи у проектному вікні тепер можуть бути відфільтровані та згруповані. * Записи у проектному вікні можна фільтрувати як списки рядків.

Стаття-огляд скопійована (нахабно) із сайту fiks-ru.net

PEiD 0.95
​

PEiD- Найпопулярніший аналізатор виконуваних файлів. Остання версія 0.95 від листопада 2008 року. Аналіз проводиться по внутрішній та зовнішній базі сигнатур, є кілька рівнів сканування від швидкого до глибокого, можна обробляти цілі каталоги. Функціонал легко розширюється зовнішніми плагінами, сигнатури зберігаються в окремому текстовому файлі, так що ви можете легко додавати туди свої власні. Для роботи з базою сигнатур написано спеціальну програму PEiDSO. Розробникам плагінів у комплекті додається SDK з прикладами різними мовами програмування та описом API. Оф-сайт програми походу наказав довго жити, але в будь-якому випадку скачати його краще тут, тому що інакше потрібний набір плагінів і сигнатур вам довелося б збирати самим, а тут він укомплектований.

Посібник з PEiD можна прочитати

DiE 0.65 Rus​

Detect it Easy (DiE), Вітчизняна технологія, останню версію 0.65 я перевів на дозвіллі російською (якщо не подобається переклад - викиньте файл DiE.RU з директорії - буде Eng). У версію 0.65 було додано емулятор. Схожа на PEiD, але основний акцент робиться на власні евристичні аналізатори, а вже потім на сигнатурний аналіз. Також програма надає деякі корисні функції: перегляд імпорту, секцій, перегляд файлу в hex-режимі, дизассемблер, перегляд основних характеристик PE, отримання хеша MD5 та CRC-32. Функціонал розширюється за допомогою плагінів.
Оф-сайт програми

DiE (Detect it Easy) 0.70 alpha 12
​

Оновлення DiE (Detect it Easy) до версії 0.70. Програму повністю переписано – раніше вона була на Borland Delphi, а тепер на Microsoft Visual C++. У зв'язку з чим, подальший її переклад російською вважаю недоцільним, оскільки дамп вже не даси, а "мучати" жорстко кодовані рядки в HEX-редакторі мабуть не варто. Оф-сайт програми тепер знаходиться . Завантажити нову версію можна прямо з оф-сайту (в архів не додавав).
P.S. Дякую товаришу з exelab.ru за надану інформацію про нову версію.

ExeInfo PE 0.0.3.2
​

ExeInfo PEтакож дуже схожа на PEiD, остання версія 0.0.3.2 від 11 вересня 2012 року. Вбудовані сигнали (667 штук). У програмі є цікава функція: якщо протектор визначений, вона дає інформацію, з якого інструменту його можна спробувати распаковать. Для новачків ця інформація буде дуже корисною. Також з корисних інструментів є ріппер архівів із SFX-модулів, пошук текстових рядків, звернень до реєстру, коригування OEP та інші. Завантажити можна з офсайту. Також з оф-сайту можна завантажити плагін-перехідник для PEiD та DiE, який дозволяє виконувати сканування файлів через ExeInfo PE.

PE-Scan 3.31​

Pe-Scanвід snyper, остання версія 3.31, офсайт припинив своє існування. При мінімальному розмірі програма має великі можливості. Це евристичний та сигнатурний аналізатор виконуваних файлів, розпакувальник деяких пакерів, динамічний пошук OEP. Крім перелічених інструментів у Pe-Scan є унікальний ймовірнісний аналізатор для незнайомих пакувальників та шифрувальників файлів (кнопка "adv.scan"). Він показує у відсотковому відношенні який з відомих йому пакувальників схожий досліджуваний невідомий. Допомагає визначати звичайні пакери типу UPX, оброблені різними скремблерами та модифікаторами.

Stud PE 2.6.1.0​

Stud PE, остання версія 2.6.1.0 від 2 червня 2012 року Дуже непогана програма, крім аналізу, ніж упакований файл, показує ще багато іншої корисної інформації: секції, ресурси, таблиці імпорту та експорту, DOS-заголовок. Вбудований в Stud_PE HEX-редактор підсвічує вибрані поля заголовка файлу, що дуже зручно при аналізі його структури. Також є менеджер процесів із вбудованим дампером. Функціонал розширюється за допомогою плагінів, причому підходять плагіни PEID. Опис API та SDK для розробників додається у комплекті.

File Format Identifier 1.4
​

File Format Identifier– дуже вдала розробка китайської антивірусної компанії SUCOP, остання версія 1.4 від 2008 року. Аналізатор працює за зовнішніми сигнатурами у форматі PEiD, але головну цінність представляє вбудований статичний розпакувальник простих пакерів. Розпакувальник працює за технологією віртуальної машини, тобто реально ніякий код не виконується, що особливо важливо при дослідженні шкідливих програм. Також з корисних інструментів у програмі є реконструктор імпорту, ребілдер виконуваних файлів, offset калькулятор та вилучення оверлеїв. Якщо розберетеся з китайською, то можете завантажити з офсайту, але рекомендую взяти цю збірку з архіву наприкінці посту. У ній прибрано все зайве, двигун розпакувальника замінений на комерційний з покращеними функціями, додана зовнішня база сигнатур. File Format Identifier рекомендується завжди мати під рукою.

Protection ID 0.6.4.1
​

Protection ID, остання версія 0.6.4.0 Непогана програма, яка використовується переважно для аналізу захищених CD/DVD дисків. Крім цього визначає близько 350 пакувальників, донглів, інсталяторів файлів, що виконуються. Не вимагає додаткових файлів, але при цьому немає можливості додавати свої сигнатури. В останніх версіях помічено погану тенденцію автора заштовхувати в утиліту купу непотрібного барахла, типу індикатора завантаження системи, менеджера процесів, оптимізатора пам'яті та інших надмірностей.

RDG Packer Detector v.0.7.0​

RDG Packer Detector, остання версія 0.7.0 від 27 грудня 2012 року. Хороша задумка, але жахлива реалізація, ще один приклад розробникам на що НЕ треба перетворювати свої програми. Якщо розберетеся у потворному інтерфейсі, то на додачу до аналізатора отримаєте ще кілька інструментів типу OEP Detector, Cryptographic Analyzer, які у мене так нормально і не заробили. Свіжу версію додано до архіву.

FastScanner v.3.0
​

FastScannerвід крякерської команди AT4RE, остання версія 3.0 Сканер працює з сигнатурами від PEiD, підтримує плагіни. Гарний інтерфейс, але результат перевірки файлів часто буває помилковим. З корисних функцій є непоганий редактор PE – файлів у вигляді плагіна.

Bit Detector 2.8.5.6
​

Bit Detector- нова розробка, а також від арабської крякерської команди Under SEH Team, остання публічна версія 2.8.5.6 від червня 2012 року. Крім функції визначення компілятора та пакувальника несе на борту кілька корисних і не дуже інструментів.

MiTeC EXE Explorer
​

MiTeC EXE Explorer- невеликий безкоштовний переглядач структури файлів, що виконуються. Показує інформацію із заголовка файлу, таблицю імпорту та експорту, TLS, версію файлу, форми Delphi, дерево ресурсів з можливістю переглянути картинки та діалоги у зручному вигляді та зберегти їх на диск, а також є зручна функція пошуку у файлі текстових рядків.

The Ultimate Hellspawn"s EXE Analyzer 0.6
​

The Ultimate Hellspawn"s EXE Analyzer- Прототип аналізатора DiE. Стане в нагоді швидше для колекції, ніж для практичного застосування, тому що сильно застарів. Показує основні характеристики EXE-файлу, евристично визначає деякі пакувальники та протектори.

file insPEctor XL
​

file insPEctor XLвід ViPER – старовинний аналізатор 2001 року, з того часу більше не оновлювався. Евристично визначає пакувальники та компілятори виконуваних файлів, показує основні дані з PE-заголовка, секції, таблиці імпорту та експорту. Крім аналізатора включає кілька корисних інструментів, наприклад, додавання порожньої секції у файл або нових функцій в імпорт, калькулятор RVA to Offset, зміна дати та часу файлу, перенаправлення OEP, менеджер процесів та інші. Підтримує плагіни та багатомовний інтерфейс. Стане в нагоді не тільки для колекції, але і для практичного застосування.

SCANiT 1.85​

SCANiT- аналізатор файлів від крекерської команди tPORt. Функціонал невеликий, сканує файл із сигнатур від PE Tools, підтримує плагіни якогось незрозумілого формату.

PEPirate 0.51​

PEPirateвід kosfiz – детектор протекторів, компіляторів, пакувальників, якими можуть бути запаковані PE-файли. Написаний на асемблері, може сканувати директорії, рахувати ентропію файлу. Часто помиляється, незважаючи на запевнення щодо 95-99% точності влучення.

gAPE 1.01
​

gAPE– аналізатор від крякерської команди TLG. Підтримує сигнатури від PE Tools та плагіни від PEiD. З інструментів є працюючий калькулятор ентропії та кривий калькулятор зміщень у файлі. Стане в нагоді хіба що для колекції.

PeStudio 7.95​

Давно хотів написати про програму PeStudio, та всі руки не доходили. Офф-сайт програми переїхав ==>СЮДИ<== версии там последнее время идут одна за одной, просто обновлять не успеваю - уже 7.95 натикало. Было немного времени, глянул у проги ресурсы на предмет локализации. В самом исполняемом файле можно разве что менюшку перекинуть, да и то смысла почти нет - на русском всего несколько слов появится (значит кириллицу до сих пор поддерживает), а вот все остальное у ней походу большей частью в файле PeStudioIndicators.xmlлежить, і при спробі змінити їх на російські у мене взагалі всі значення, наприклад, відразу зникли навіть без крякозябрів. Можна звичайно ще помудрити - типу змінити кодування з горезвісної utf-8 на жорстку windows-1251 і перезберегти документ з юнікоду в ANSI (можна звичайним віндовським блокнотом) але час на експерименти на жаль немає, та й толку від них мало буде - версії зараз скачуть одна за одною. Коротше кому цікаво можуть спробувати, а мені й англійська в цій прозі не заважає – і так наче видно.

InspectExe​

InspectExeдодає у вікно властивостей файлів, що виконуються, додаткові вкладки для перегляду секцій, таблиці імпорту, ресурсів, маніфесту та інших даних.

DNiD 1.0
​

DNiD- програма аналогічна PEiD, але орієнтована на .NET програми. Дозволяє визначати кілька десятків різних версій компіляторів, протекторів, пакувальників та обфускаторів.NET програм.

A-Ray Scanner 2.0.2.2​

A-Ray Scanner, проект давно не оновлювався, остання версія 2.0.2.2 від 2005 року. Програма призначена лише для сканування CD/DVD-дисків та визначає кілька десятків захистів дисків від копіювання. Також визначає деякі пакувальники та протектори виконуваних файлів.

ClonyXXL 2.0.1.5
​

Clony XXL- Утиліта визначальна тип захисту компакт-дисків. Як і попередня програма давно не оновлювалася, остання версія 2.0.1.5 від 2003 року. Визначає захисту: SafeDisc, SecuROM, Discguard, LaserLok, Psx/Lybcrypt, Cactus Data Shield (Audio CDs), Lock Blocks, CD Check, Protectet CD-VOB, CD-Extra та захисту, засновані на нестандартному розміщенні інформації на диску. За замовчуванням інтерфейс німецькою мовою, але в налаштуваннях перемикається англійською.

Перед атакою на будь-який навісний захист корисно дізнатися, який пакувальник або протектор був використаний. З досвідом ви зможете визначати на око більшість протекторів, але для більш точної перевірки використовуються аналізатори файлів, що виконуються. Крім інформації про пакувальника чи протектора вони також надають багато інших корисних даних: яким компілятором був створений файл, розміри та назви секцій, коефіцієнт стиснення, точку входу та дизассембльований фрагмент коду на ній, та ін. У різних програмах список можливостей може різнитися.

File Format Identifier – дуже вдала розробка китайської антивірусної компанії SUCOP, остання версія 1.4 від 2008 року. Аналізатор працює за зовнішніми сигнатурами у форматі PEiD, але головну цінність представляє вбудований статичний розпакувальник простих пакерів. Розпакувальник працює за технологією віртуальної машини, тобто реально ніякий код не виконується, що особливо важливо при дослідженні шкідливих програм. Також з корисних інструментів у програмі є реконструктор імпорту, ребілдер виконуваних файлів, offset калькулятор та вилучення оверлеїв. Якщо розберетеся з китайською, то можете завантажити з офсайту, але рекомендую взяти мою збірку з прикріпленого файлу. У ній прибрано все зайве, двигун розпакувальника замінений на комерційний з покращеними функціями, додана зовнішня база сигнатур. File Format Identifier рекомендується завжди мати під рукою.

Bit Detector – нова розробка, також від арабської крякерської команди Under SEH Team, остання публіка версія 2.8.5.6 від червня 2012 року. Крім функції визначення компілятора та пакувальника несе на борту кілька корисних і не дуже інструментів.

DNiD- програма аналогічна PEiD, але орієнтована на .NET програми. Дозволяє визначати кілька десятків різних версій компіляторів, протекторів, пакувальників та обфускаторів.NET програм.

DNiD.1.0.zip (273,389 bytes)

A-Ray Scanner, проект давно не оновлювався, остання версія 2.0.2.2 від 2005 року. Програма призначена лише для сканування CD/DVD-дисків та визначає кілька десятків захистів дисків від копіювання. Також визначає деякі пакувальники та протектори виконуваних файлів.

A-Ray.Scanner.2.0.2.2.zip (320,892 bytes)

Clony XXL- Утиліта визначальна тип захисту компакт-дисків. Як і попередня програма давно не оновлювалася, остання версія 2.0.1.5 від 2003 року. Визначає захисту: SafeDisc, SecuROM, Discguard, LaserLok, Psx/Lybcrypt, Cactus Data Shield (Audio CDs), Lock Blocks, CD Check, Protectet CD-VOB, CD-Extra та захисту, засновані на нестандартному розміщенні інформації на диску. За замовчуванням інтерфейс німецькою мовою, але в налаштуваннях перемикається англійською.

ClonyXXL.2.0.1.5.zip (276,879 bytes)

Крім універсальних аналізаторів, є кілька утиліт для певних протекторів. Найбільш корисні з них ASPrINF, VerA, Armadillo Find Protected, Armadillo Informant та Detemida.

ASPrINFвід nik0g0r з команди TLG, ще одна вітчизняна розробка, остання версія 1.6 beta. Невелика утиліта для точного визначення версії ASProtect протектора, яким накритий файл. Використовується динамічний аналіз, а чи не сигнатурний, тому версія визначається безпомилково. Крім точної версії ASProtect утиліта показує інформацію, на кого зареєстрований протектор, так що шароварники, які використовують для своїх виробів ламані варезні протектори, можуть бути легко виведені на чисту воду:)