Отладчики и дизассемблеры:
Ollydbg v1.10
Уже идет с плагинами
Plugins можно найти здесь:
_http://www.openrce.org/downloads/browse/OllyDbg_Plugins
_http://www.cracklab.ru/olya/
upload
upload2
Turbo Debugger v5.5
Довольно не плохой дебагер от Borland.
upload
TRW2000
Данный отладчик позволяет исследовать DOS .com, DOS .exe, приложения DOS, работающие в защищенном режиме, 16-разрядные NE, 32-разрядные PE программы. Имеется возможность установки нескольких контрольных точек. В TRW использовано много новых идей по трассировке программ под Windows 95. После SoftICE, TRW - лучший отладчик для Windows, но к сожалению не под XP/NT/2k.
upload
IDA Pro 5.0
IDA Pro - это интерактивный дизассемблер и отладчик одновременно. Она позволяет превратить бинарный код программы в ассемблерный текст, который может быть применен для анализа работы программы.
Название IDA Pro происходит от английского Interactive Disassembler. IDA используется для анализа вирусов (antivirus companies), исследования защит систем (software security auditing), обратной инженерии (reverse engineering). Хотя IDA и не является декомпилятором (decompiler), она содержит отладчик (debugger) и может анализировать программы на высоком уровне.
upload
BORG 2.28
По словам довольно не плохой дизассемблер, в комплекте идут исходники на С . Если вы передете по ссылки вы можете найти все необходимое для финальной 2-ой ветки, на данный момент автор работает над Borg 3.0
upload
PE тузлы:
PEiD v0.94
Программа позволяет определять сотни пакеров, компрессоров, joiner-ов и навесных защит для PE-файлов (определяет более 450 подписей к PE-файлам). Для каждого reverse инженера и крякера
upload
Process Explorer 9.21
Наблюдать за запущенными процессами на компьютере можно посредством встроенного в
систему диспетчера задач TaskManager. Однако с его помощью можно увидеть далеко не
все процессы. Программа Process Explorer справляется с этой задачей гораздо лучше и
позволит эффективнее осуществлять мониторинг запущенных процессов. Каждый такой
процесс с помощью данной утилиты можно завершить или установить на него определенный
приоритет. В программу встроена поисковая система, позволяющая осуществлять поиск
определенного процесса по загруженной библиотеке *.dll. Программа не требует инсталляции и
имеет небольшой размер. Разработчик: http://www.sysinternals.com Mark Russinovich
upload
Process Monitor 1.12
передовая утилита мониторинга для Windows,
позволяющая показывать в реальном времени активные реестровые записи,
процессы. Она объединяет две утилиты от Sysinternals, Filemon и Regmon и
добавляет обширный список улучшений, включая достоверную информацию о процессе
и многое другое.
upload
Stud_PE v2.3.0.1
Красивый редактор исполняемых файлов. Отображает секции, импорты, ресурсы,
при помощи встроенных PEiD-сигнатур определяет упаковщик, наглядно показывает в
HEX-листинге по какому смещению находятся в заголовке PE файла некие константы,
характеризующие исполняемый файл. Думаю, инструмент будет интересен во время изучения
структуры PE файлов.
upload
Сниффиры и анализаторы:
tcpdump for Windows 1.0
Работающий из командной строки сетевой сниффер. Позволяет прослеживать входящие и исходящие пакеты. О каждом пакете выводится краткая информация - кто послал пакет, кому, протокол, некоторые параметры пакета.
upload
Wireshark 1.0.0
программа предназначена для сбора и анализа информации о входящем/исходящем сетевом трафике. Wireshark поддерживает DNS, FDDI, FTP, HTTP, ICQ, IPV6, IPX, IRC, MAPI, MOUNT, NETBIOS, NFS, NNTP, POP, PPP, TCP, TELNET, X25 и т.д
upload
Дополнительно:
HIEW 7.26 FULL + plugins
Hiew позволяет просматривать файлы неограниченной длины в текстовом и шестнадцатеричном форматах, а также в режиме дизассемблера процессора Pentium® 4. Вот основные возможности Hiew: редактирование в шестнадцатеричном режиме и в режиме дизассемблера; встроенный ассемблер Pentium® 4; просмотр и редактирование логических и физических дисков; возможность создавать новые файлы \\\"с нуля\\\" (может быть, и сгодится когда; поиск и замена в блоке ; help контексно-зависимый; поиск ассемблерных команд по шаблону; клавиатурные макросы; встроенный 64битный калькулятор.
upload
Дампер:
LordPE Deluxe (329 Кб)
Очень полезный инструмент для того, кто занимается ручной распаковкой программ. Может дампить процесс целиком или частями, менять поля заголовка PE файлов, может разбить PE файл на части и собрать обратно. Может оптимизировать дамп, да и просто PE файл после компилятора, размер файла программы уменьшается за счёт удаления ненжных пустот из секций. Есть также полезная возможность Break & Enter, которая поволит вам загрузить файл в отладчик начиная прямо на точке входа.
upload
Восстановление импорта:
Import REConstructor v1.7a (573 Кб)
Когда вы вручную распаковываете программу вы получаете вначале дамп исполняемого файла. Если дамп снят с программы, защищенной протектором, то после этого его весьма сложно "оживить", так как протектор искажает и перестраивает "под себя" все ресурсы и импорты программы. Import REConstructor как раз и занимается восстановлением импортов программы, он полностью перестраивает таблицу импорта, возвращает ASCII названия импортируемых функций, но не ждите, что всегда это делает автоматически. Иногда встречаются импортируемые функции, которые вам придётся научиться восстанавливать вручную или использовать/писать специальный плагин для каждого отдельного протектора.
upload
Ollydbg v1.10
Уже идет с плагинами
Plugins можно найти здесь:
_http://www.openrce.org/downloads/browse/OllyDbg_Plugins
_http://www.cracklab.ru/olya/
upload
upload2
Turbo Debugger v5.5
Довольно не плохой дебагер от Borland.
upload
TRW2000
Данный отладчик позволяет исследовать DOS .com, DOS .exe, приложения DOS, работающие в защищенном режиме, 16-разрядные NE, 32-разрядные PE программы. Имеется возможность установки нескольких контрольных точек. В TRW использовано много новых идей по трассировке программ под Windows 95. После SoftICE, TRW - лучший отладчик для Windows, но к сожалению не под XP/NT/2k.
upload
IDA Pro 5.0
IDA Pro - это интерактивный дизассемблер и отладчик одновременно. Она позволяет превратить бинарный код программы в ассемблерный текст, который может быть применен для анализа работы программы.
Название IDA Pro происходит от английского Interactive Disassembler. IDA используется для анализа вирусов (antivirus companies), исследования защит систем (software security auditing), обратной инженерии (reverse engineering). Хотя IDA и не является декомпилятором (decompiler), она содержит отладчик (debugger) и может анализировать программы на высоком уровне.
upload
BORG 2.28
По словам довольно не плохой дизассемблер, в комплекте идут исходники на С . Если вы передете по ссылки вы можете найти все необходимое для финальной 2-ой ветки, на данный момент автор работает над Borg 3.0
upload
PE тузлы:
PEiD v0.94
Программа позволяет определять сотни пакеров, компрессоров, joiner-ов и навесных защит для PE-файлов (определяет более 450 подписей к PE-файлам). Для каждого reverse инженера и крякера
upload
Process Explorer 9.21
Наблюдать за запущенными процессами на компьютере можно посредством встроенного в
систему диспетчера задач TaskManager. Однако с его помощью можно увидеть далеко не
все процессы. Программа Process Explorer справляется с этой задачей гораздо лучше и
позволит эффективнее осуществлять мониторинг запущенных процессов. Каждый такой
процесс с помощью данной утилиты можно завершить или установить на него определенный
приоритет. В программу встроена поисковая система, позволяющая осуществлять поиск
определенного процесса по загруженной библиотеке *.dll. Программа не требует инсталляции и
имеет небольшой размер. Разработчик: http://www.sysinternals.com Mark Russinovich
upload
Process Monitor 1.12
передовая утилита мониторинга для Windows,
позволяющая показывать в реальном времени активные реестровые записи,
процессы. Она объединяет две утилиты от Sysinternals, Filemon и Regmon и
добавляет обширный список улучшений, включая достоверную информацию о процессе
и многое другое.
upload
Stud_PE v2.3.0.1
Красивый редактор исполняемых файлов. Отображает секции, импорты, ресурсы,
при помощи встроенных PEiD-сигнатур определяет упаковщик, наглядно показывает в
HEX-листинге по какому смещению находятся в заголовке PE файла некие константы,
характеризующие исполняемый файл. Думаю, инструмент будет интересен во время изучения
структуры PE файлов.
upload
Сниффиры и анализаторы:
tcpdump for Windows 1.0
Работающий из командной строки сетевой сниффер. Позволяет прослеживать входящие и исходящие пакеты. О каждом пакете выводится краткая информация - кто послал пакет, кому, протокол, некоторые параметры пакета.
upload
Wireshark 1.0.0
программа предназначена для сбора и анализа информации о входящем/исходящем сетевом трафике. Wireshark поддерживает DNS, FDDI, FTP, HTTP, ICQ, IPV6, IPX, IRC, MAPI, MOUNT, NETBIOS, NFS, NNTP, POP, PPP, TCP, TELNET, X25 и т.д
upload
Дополнительно:
HIEW 7.26 FULL + plugins
Hiew позволяет просматривать файлы неограниченной длины в текстовом и шестнадцатеричном форматах, а также в режиме дизассемблера процессора Pentium® 4. Вот основные возможности Hiew: редактирование в шестнадцатеричном режиме и в режиме дизассемблера; встроенный ассемблер Pentium® 4; просмотр и редактирование логических и физических дисков; возможность создавать новые файлы \\\"с нуля\\\" (может быть, и сгодится когда; поиск и замена в блоке ; help контексно-зависимый; поиск ассемблерных команд по шаблону; клавиатурные макросы; встроенный 64битный калькулятор.
upload
Дампер:
LordPE Deluxe (329 Кб)
Очень полезный инструмент для того, кто занимается ручной распаковкой программ. Может дампить процесс целиком или частями, менять поля заголовка PE файлов, может разбить PE файл на части и собрать обратно. Может оптимизировать дамп, да и просто PE файл после компилятора, размер файла программы уменьшается за счёт удаления ненжных пустот из секций. Есть также полезная возможность Break & Enter, которая поволит вам загрузить файл в отладчик начиная прямо на точке входа.
upload
Восстановление импорта:
Import REConstructor v1.7a (573 Кб)
Когда вы вручную распаковываете программу вы получаете вначале дамп исполняемого файла. Если дамп снят с программы, защищенной протектором, то после этого его весьма сложно "оживить", так как протектор искажает и перестраивает "под себя" все ресурсы и импорты программы. Import REConstructor как раз и занимается восстановлением импортов программы, он полностью перестраивает таблицу импорта, возвращает ASCII названия импортируемых функций, но не ждите, что всегда это делает автоматически. Иногда встречаются импортируемые функции, которые вам придётся научиться восстанавливать вручную или использовать/писать специальный плагин для каждого отдельного протектора.
upload
