[B][SIZE=«3»]IDA Pro [/SIZE][/B]

[URL=http://imageshost.ru/links/fe04e7bc7cfbcab92712f8fc66599bb4][IMG]http://img6.imageshost.ru/imgs/090527/8dddae6950/tb414d.jpg[/IMG][/URL]

[B]IDA Pro [/B] это дизассемблер, альтернативы которому просто нет. Для профессиональной работы это единственный пригодный дизассемблер. Он давно стал стандартом, и если говорят о дизассемблере, то в первую очередь имеют в виду [B]IDA Pro[/B]. IDA Pro имеет огромной количество функций и модулей, которые значительно упрощают процесс дизассемблирования. Сюда входит распознавание стандартных библиотечных функций, распознавание аргументов функций и их типов, представление всего кода в удобной древовидной форме и многое другое. Основные группы пользователей IDA Pro это антивирусные компании, крупные разработчики ПО, специалисты по информационной безопасности. IDA Pro поставляется в двух версиях [B]Standard [/B]и [B]Advanced[/B]. [B]Standard[/B] поддерживает более 20 семейств процессоров, а [B]Advanced[/B] — более 50.

[URL=«letitbit.net/download/935a01bf23/ida.rar.html»]Скачать[/URL]

[SIZE=4][B]WinHex[/B][/SIZE]

[URL=«imageshost.ru/links/82c9d9c7fb69821fb6594986933dfffb»][IMG]http://img7.imageshost.ru/imgs/090926/fc340f3dea/t0fbd4.jpg[/IMG][/URL]

Наверное самый лучший шестнадцатиричный редактор. Позволет редактировать файлы, память, диски, отображение адресации в [B]HEX[/B] и десятичном формате, отображает значения, как байты, слова, двойные слова. Может конвертировать информацию (прибавлять, модифицировать по [B]XOR[/B]). Может выдать исходники массива на паскале или си. Может производить автозамену по шестнадцатиричным значениям и по строкам. В общем, он лучший!

[URL=«www.cracklab.ru/_dl2/centner/instruments/X-Ways.WinHex.v15.3.zip»]Скачать
[/URL]

[B]Registry Trash Keys Finder[/B]

[URL=http://imageshost.ru/links/596248f627a7b57e86cdd16f1f68ba19][IMG]http://img7.imageshost.ru/imgs/090926/85e37d0a9b/t59853.jpg[/IMG][/URL]

[FONT=Courier New][SIZE=2][COLOR=Black]Это особый инструмент для очистки Реестра. Главное предназначение программы это удаление ключей Реестра Windows, ставших уже ненужными для Вашей операционной системы. Многие программы оставляют в Реестре созданные ими ключи, причем даже после использования специальных деинсталляторов, поставляемых с этими же программами. RTKF позволяет Вам самим решать, стоит ли оставить найденные ключи, или их следует удалить.[/COLOR][/SIZE][/FONT]

[URL=«cracklab.ru/_dl2/centner/122008/TrashReg.v3.8.1.zip»]Скачать[/URL]
[URL=«cracklab.ru/_dl2/centner/122008/TrashReg.v3.8.1.zip»][/URL]

[B]W32Dasm[/B]

Достаточно удобный дизассемблер, не самый продвинутый конечно, но для крэкерских задач средней сложности обычно хватает. Часто работа с ним описывается в статьях по взлому. Имеется String Reference функциональность, которая зачастую может очень помочь при исследование защиты программ. Отображается виртуальное и реальное смещение команды в файле, что поможет при необходимости поставить брэйкойнт на виртуальный адрес или пропатчить программу по реальному смещению, не разбираясь в формате PE исполняемого файла.

[URL=«cracklab.ru/_dl/tools/w32dasm10.rar»]Скачать
[/URL]

[B]Revirgin[/B]

Программа для полуавтоматического восстановления импорта исполняемых PE файлов с которых был снят дамп с целью их распаковки. Программа аналогчна Import REConstructor 1.6, однако, в некоторых случаях одна из программ ошибается при восставновлении WinAPI функций импорта и бывает полезно сравнить результаты, полученные в обеих программах.

[URL=«cracklab.ru/_dl/tools/revir.rar»]Скачать[/URL]

[B]Universal Import Fixer [/B]

Программа для исправления Import Elimination, Directly Imports и Hashed Imports. Может изменять IAT Base Address. Протестирована на таких протах как Armadillo, ASProtect, Enigma, ExeCryptor, eXPressor, PeSpin, RlPack, TheMida.

[URL=«www.cracklab.ru/_dl2/centner/instruments/Universal.Import.Fixer.v1.2.zip»]Скачать[/URL]

[SIZE=4][B]Restorator[/B][/SIZE]

.[URL=«imageshost.ru/links/733eeb07ee8c95198fcf71f1c03a8b8f»][IMG]http://img7.imageshost.ru/imgs/090926/af4542d1d3/t4af32.jpg[/IMG][/URL]

Restorator — редактор ресурсов для Windows. Ресурсы — это дополнительные данные, входящие в состав [B]Win32[/B] исполняемых файлов и обычно они представляют из себя часть интерфейса приложения (окна, диалоги, меню, картинки, кнопки и т.д.). Restorator 2007 как раз создан для редактирования ресурсов, что позволит вам без перекомпиляции изменить интерфейс своего или чужого приложения (например, сделать его более удобным или русифицировать программу). Но можно пользовать Restoratorом еще и просто как средством для просмотра, извлечения, ресусов из файлов. Вы можете, к примеру, запустить поиск по диску и извлечь из всех исполняемых файлов и [B]DLL [/B]библиотек все иконки, содержащиеся в них, что поможет вам создать неплохую коллекцию. Но даже и это не все возможности этого замечательного инструмента.

[URL=«cracklab.ru/_dl2/centner/2007/Restorator_2007_v3.70.1709.zip»]Скачать[/URL]

[SIZE=4][B]EDB[/B][/SIZE]
ос: Linux

[IMG]http://4.bp.blogspot.com/_oxXdxKIGwp0/StMe5Eni9lI/AAAAAAAAALs/B0AWbQikJ7I/s320/32.png[/IMG]

EDB — отладчик для Linux, интуитивно понятный интерфейс, очень напоминает [URL=«wasm.ru/tools/9/odbg.zip»]Olly Debugger[/URL]. Окно разделено на 4 части: дизассемблер, стек, дамп памяти со вкладками, содержание регистров. Можно ставить точки прерывания, искать строки, переходы к регистрам, и еще очень много других полезных функций.Интерфейс написан в QT4 потому можно запускать на разных платформах. Нужно лишь откомпилировать под нужной осью.

[URL=«kerny-auroras.blogspot.com/2009/10/blog-post.html»]Инструкция по установке[/URL]

[URL=«www.codef00.com/projects/debugger-0.9.10.tgz»]Скачать[/URL]

[B]Immunity Debugger[/B] [URL=«www.immunityinc.com/products-immdbg.shtml»]http://www.immunityinc.com/products-immdbg.shtml[/URL] [IMG]http://www.kioptrix.com/gdb/imm3.jpg[/IMG] Известный мод одноименной фирмы, специализирующейся на безопасности и скрестившей Ольгу 1.10 с Питоном интерпретируемым языком, на котором очень легко и быстро писать скрипты. Конечно, писать их можно прямо в Ольге, но это не слишком удобно, все приходится делать вручную и решать типовые задачи (типа поиска в памяти), которые уже давно решены.

В Immunity Debugger входит множество библиотек, написанных на Питоне и заточенных под хакерские нужды. Библиотеки вызываются из Питоновых программ, среди которых значится и searchcrypt.py отличное средство идентификации следующих криптографических алгоритмов: AES, BLOWFISH, CAMELLIA, CAST, MD5, RC2, RC5, RIPEMD160, SHA1, SHA256, SHA512.

Immunity Debugger используют многие специалисты по безопасности, выкладывающие proof-of-concept expolit'ы, написанные на Питоне и предназначенные для работы исключительно в среде данного отладчика. И хотя хакер с головой разберется в алгоритме работы exploit'а и без Immunity Debugger'а, портируя exploit на любой другой язык, рано или поздно отладчик оказывается на компьютере, зачастую становясь основным инструментом, вытесняющим Ольгу.

[B]SoftICE[/B] [URL=«www.google.com»]www.google.com[/URL] [IMG]http://zoneland.ru/pics/images/2806221.jpg.jpg[/IMG] Всем известный (даже тем, кто к крякингу даже близко не подходил) отладчик для Windows, работающий дна уровне ядра. В отличие от прикладного отладчика, как например OllyDbg, SoftICE способен приостановить все операции в Windows, что очень важно для отладки драйверов. Работает в обход MS Debugging API, что значительно усложняет антиотладку, однако, учитывая, что для разработчиков защит soft-ice враг номер один, практически все протекторы легко распознают его присутствие в системе. Поэтому никак не обойтись без специальных расширений (которые упомянем дальше). SoftICE был первоначально разработан компанией NuMega, которая включала его в пакет программ для быстрой разработки высокопроизводительных драйверов под названием Driver Studio, который впоследствии был приобретён Compuware. Помнишь, сколько всевозможных мануалов было по поводу установки Soft-Ice'а под Windows XP? Увы, начиная с висты, отладчик не работает. Разработчики приостановили разработку в апреле 2006 года. На официальном сайте его не найти и доступен только на торрентах.

[B]Microsoft Debugger[/B] [URL=«www.microsoft.com/whdc/devtools/ddk/default.mspx»]www.microsoft.com/whdc/devtools/ddk/default.mspx[/URL] [IMG]http://www.insidepro.com/kk/295/295_4.jpg[/IMG] Входит в состав WDK (Windows Driver Kit бывший Driver Development Kit или DDK), а также в комплект Debugging Tools. Оба они бесплатны, но WDK намного больше по объему и требует предварительной регистрации для получения Windows Live ID, в то время как Debugging Tools раздается без регистрации вместе с SDK, в которую входит документация, заголовочные файлы, библиотеки и несколько примеров, как надо писать плагины.

Microsoft Debugger может работать как на прикладном уровне (ring-3), так и на уровне ядра. Вплоть до XP ядерная отладка требовала, как минимум, двух машин, соединенных COM-шнурком, но теперь достаточно и одной.

Поставляется в двух редакциях: windbg.exe графический интерфейс и cdb.exe интерфейс командой строки. И та и другая являются лишь тонкими обертками вокруг dbgeng.dll, в которой, собственно, и реализован основной отладочный «движок», документированный протокол обмена. Поэтому, чтобы в очередной раз не писать трассер с нуля, dbgeng.dll можно использовать в качестве «фундамента» при написании универсальных распаковщиков исполняемых файлов.

[B]Syser Kernel Debugger[/B] [URL=«www.sysersoft.com»]www.sysersoft.com[/URL] [IMG]http://i070.radikal.ru/0810/2d/1f7ae51945c7.jpg[/IMG] Достойных отладчиков ядра всего три: SoftICE, Syser и Microsoft Kernel Debugger, но SoftICE не работает на Висте и Server 2008, а Microsoft Kernel Debugger для хакерских целей не самый лучший вариант. Остается Syser, который хакеры взяли на вооружение и весьма активно используют. Написан он двумя предприимчивыми китайскими реверсерами Wu YanFeng и Chen JunHao. По сути, Syser — отладчик уровня ядра с графическим оконным интерфейсом. Позволяет отлаживать как приложения, так и драйвера. Сочетает в себе функции IDA Pro, Softice и Ollydbg. Поддерживает подсветку листинга дизассеблера, динамическую загрузку и выгрузку, все команды отладчика SoftICE, полноценную работу с юникодом и многопроцессорными системами. Проработаны многие мелочи: например корректно работает буфер обмена, позволяющий копировать данные из уровня Ring 3 в уровень Ring 0. Многие из операций можно автоматизировать с помощью скриптов. Надо сказать, что Syser — преемник SoftICE, из которого, как говорят, были дернуты целые модули. У него масса преимуществ, как, впрочем, масса недостатков, поэтому реально его приходится юзать совместно с Microsoft Kernel Debugger.

[B]GDB[/B] [URL=«sourceware.org/gdb»]sourceware.org/gdb[/URL] [IMG]http://www.insidepro.com/kk/295/295_7.jpg[/IMG] GNU Debugger основной отладчик под UNIX, ориентированный на совершенно иной тип мышления, чем все вышеперечисленные отладчики. Это не просто интерактивный отладчик, скорее это станок с программным управлением, гибким и мощным интерфейсом. Отлаживать с его помощью «честные» программы одно удовольствие, но в плане антиотладки дела обстоят плохо. GDB даже не пытается сопротивляться и работает через библиотеку ptrace (которая на самом деле никакая не библиотека, а системный вызов). GDB принципиально неспособен отлаживать программы, которые не хотят, чтобы их отлаживали. А такие программы мало-помалу начинают появляться.

Естественно, помимо GDB существуют и другие отладчики для никсов, например, Lin-Ice, но поскольку антиотладочные технологии под UNIX только-только начинают развиваться, в большинстве случаев вполне сгодиться и GDB.

[B]Hex-Rays[/B] [URL=«www.hex-rays.com»]www.hex-rays.com[/URL] [IMG]http://www.hex-rays.com/products/ida/pix/thumbs/idalarge.gif[/IMG] Дальше разработчики подумали и решили, что уж раз смогли получить человеческий код на ассемблере, то неплохо дописать еще одну фичу, переводящую китайскую ассемблерную грамоту в доступный и понятный листинг на языке Си. Закипела напряженная работа, по ходу которой выявлялись все новые и новые подводные камни, обход которых требовал времени, усилий и мозговой активности. В итоге на свет появился Hex-Rays — декомпилятор, требующий обязательно установленную на компьютеру ИДУ. Декомпилятору подается на вход бинарник, указывается ряд параметров, после чего Hex-Rays выплевывает исходник на чистом C — в большинстве своем понятный и доступный. Правда, спешить компилировать его обратно в бинарник не стоит, потому как в большинстве случаев в момент компиляции ты увидишь столько ошибок, сколько еще не видывал. Одна из причин — отсутствие поддержки в Hex-Rays ресурсов.

[B]DeDe[/B] [URL=«www.google.com»]www.google.com[/URL] [IMG]http://www.insidepro.com/kk/069/069_1.gif[/IMG] Начинающие хакеры обычно испытывают большие трудности при взломе программ, написанных на Delphi и Builder, поскольку классические трюки, типа бряка на GetWindowTextA, не работают. Для декомпиляции кода, написанного на Delphi/Borland C++ Builder, т.е программ, которые используют библиотеку VCL от Borland, нужен специальный подход, и он реализован в утилите DeDe. По сути, это единственный работающий декомпилятор для Delphi-программ, которые не смотря ни на что никак не умирают. DaFixer, автор проекта, к сожалению, забросил заниматься своим детищем, поэтому официальной страницы у проекта в настоящий момент нет.

[B]VB Decompiler[/B] [URL=«www.vb-decompiler.org»]www.vb-decompiler.org[/URL] [IMG]http://img.allsoft.ru/Screens/mig/2010/05/24/t_124297.png[/IMG] VB Decompiler — это декомпилятор программ (EXE, DLL, OCX), написанных на Visual Basic 5.0 и 6.0 и дизассемблер программ, написанных на любом из языков .NET технологии. Как известно, программы, разработанные на Visual Basic'е, могут быть скомпилированы либо в интерпретируемый p-code, либо в выполняемый native code. .NET сборки всегда компилируются в компилируемый в процессе запуска IL код.

Так как p-code представляет собой высокоуровневые команды, то появляется реальная возможность восстановить из этого кода исходный (правда имена переменных и некоторых функций само собой восстановить не удастся). VB Decompiler восстанавливает исходный код из псевдокода максимально близко к оригинальному, поэтому его при некоторых доработках реально довести до компилируемого.

Если программа была откомпилирована в native code, то о полном восстановлении исходника из машинных инструкций не может быть и речи. Но VB Decompiler и здесь поможет анализировать программу. В него встроен мощный дизассемблер и эмулятор команд, позволяющий насколько это возможно приблизить ассемблерный код к исходному. Естественно из-за сложности обработки всякого рода оптимизаций тут не обходится без ошибок сворачивания и вывода неверных инструкций, но для анализа данный метод декомпиляции и свертывания максимально полезен.

В случае если программа была создана в среде .NET декомпилятор полностью восстановит структуру таблиц сборки, а также будет полезен для дизассемблирования и анализа IL кода. Для декомпиляции не потребуется ни сама среда .NET Framework, ни поддерживаемая .NET операционная система. Декомпилятор работает в любой 32х битной операционной системе семейства Windows.

В общем, VB Decompiler — идеальное средство для анализа программ и идеально подходит в случае потери исходных кодов и необходимости частично восстановить проект.

[B]PeiD[/B] [URL=«peid.has.it»]peid.has.it[/URL] [IMG]http://users.skynet.be/crisanar/cours/images/PEIDcours1.gif[/IMG] Любой коммерческий продукт должен быть достаточно хорошо защищен. Разработчики намеренно использует разного рода упаковщики и так называемые протекторы, которые применяют разного рода антиотладочные средства, максимально препятствующие взлому программы. Обойти их можно, но для этого нужно четко представлять, что использовалось для защиты программы, какой плагин для отладчика использовать — и от этого «крутиться». Изящно определить название и версию упаковщик способна небольшая утилита PEiD (peid.has.it). Собственно, для этого она и нужна.

[B]Pe Explorer[/B] [URL=«www.heaventools.com»]www.heaventools.com[/URL] [IMG]http://i.d.com.com/i/dl/media/dlimage/35/51/3/35513_medium.jpeg[/IMG] Программа для просмотра и редактирования PE-файлов — начиная с EXE, DLL и ActiveX контролов, и заканчивая скринсейвверами SCR (Screensavers), апплетами панели управления CPL, SYS и бинарниками для платформы Windows Mobile. По сути, это не одна утилита, а целый набор тулз для того, чтобы посмотреть изнутри, как работает программа или библиотека. Включает в себя просмотрщик заголовков, экспорт вызовов API-функций, редактор ресурсов, дизассемблер.

[B]LinICE[/B] [URL=«www.linice.com»]www.linice.com[/URL] [IMG]http://www.insidepro.com/kk/040/040_3.jpg[/IMG] Как уже можно догадаться по названию, Linice это неофициальный «порт» легендарного SoftICE под Linux. В отличие от большинства других отладчиков, работающих через нереентерабельный и легко обнаруживаемый защитами механизм ptrace (Windows-аналогом которого является DEBUG_PROCESS, используемый прикладными отладчиками), Linice использует нативную трассировку, такую же, как в SoftICE, что позволяет обоим отладчикам отлаживать круто защищенные программы, с которыми другие уже не справляются.