die超好的查壳软件

В этой статье будет подробно описано, как создавать сигнатуры для программы „Detect It

Easy“. Detect It Easy или сокращённо DIE это программа для определения типов файлов.

DIE – кроссплатформенное приложение и кроме Windows-версии есть версии для Linux и

Mac OS.

Многие программы подобного рода(PEID, PE tools) позволяют использовать сторонние

сигнатуры. Но к сожалению эти сигнатуры сканируют только байты по заданной маске и

невозможно задать дополнительные параметры. Поэтому часто случаются ложные

скриптов. Язык скриптов очень похож на JavaScript и любой человек, понимающий основы

программирования, без труда разберется, как это работает. Возможно кому-то покажется,

что скрипты работают очень медленно. Действительно скрипты работают медленнее

скомпилированного кода, но благодаря хорошей оптимизации Script Engine это не

причиняет особых неудобств. А возможности открытой архитектуры компенсируют

недостатки.

DIE существует в трех версиях. Обычная версия(DIE), версия Lite(DIEL) и консольная(DIEC).

Все эти три версии используют одни и те же сигнатуры, которые лежат в папке «db». Если

открыть эту папку, то можно найти вложенные подпапки(„Binary“,“PE“ и другие). Имена

подпапок соответствуют типам файлов. Сначала DIE определяет тип файла, а затем

последовательно загружает все сигнатуры, которые лежат в соответствующей папке. В

 Binary все остальные файлы

Открыв файл в DIE можно узнать тип файла:

Центральная часть окна также меняется в зависимости от типа:

Сами сигнатуры являются обыкновенными текстовыми файлами, только с расширением

(*.sg). Их можно редактировать в любом текстовом редакторе. Каждая сигнатура должна

иметь в своем теле функцию detect, которая запускается при загрузке. Прототип этой

функции такой:

Если все три флага установлены, то для упаковщика UPX возвратится примерно такая

packer: UPX(3.09)[DLL32]

 packer - тип сигнатуры(Type). Не надо путать тип сигнатуры с типом файла.

Например для ASPack http://www.aspack.com/aspack.html тип файла PE, а тип

сигнатуры packer.

 UPX - имя(Name)

 3.09 - версия(Version)

 DLL32 - опции(Options)

Можно проигнорировать такую рекомендацию и просто возвращать строку

произвольного формата. Но тогда возможно обычная версия(DIE) не сможет корректно

отобразить результат(для версии lite и консольной версии это не имеет значения). Чтобы

В консольной версии это ключи -showoptions и -showversion (по умолчанию оба флага

установлены в 1).

Если воспользоваться готовым шаблоном сигнатуры, то не надо думать как правильно

сформировать возвращаемую строку. В шаблоне это все уже реализовано.

Присутствие функции detect в сигнатуре обязательно, но кроме этой функции в файле

могут находиться и пользовательские функции. Например:

Как уже говорилось, для редактирования и создания новых сигнатур можно использовать

любой текстовый редактор. Также это осуществимо и средствами самой программы. Для

этого запустим обычную версию DIE и откроем какой-нибудь файл.

Небольшое замечание, для комфортной работы с сигнатурами (особенно с отладчиком)

лучше отключить все пользовательские стили оформления. Для этого переходим на

вкладку «Appearance» меню настроек и переключаем стили на используемые по

умолчанию: