Различия

Показаны различия между двумя версиями страницы.

--- reverseenengineering:soft [2025/07/16 22:52] – [Pestudio] Lex
+++ reverseenengineering:soft [2025/07/17 02:18] (текущий) – [Граберы] Lex
@@ Строка 2: / Строка 2: @@
 ===== Отладчики =====
+Отладчики — ключевой инструмент реверс-инженера. Они позволяют по шагам выполнять бинарные файлы, устанавливать точки останова (breakpoints), изменять память и регистры, отслеживать системные вызовы и поведение исполняемого кода в реальном времени. Ниже представлены наиболее популярные отладчики, их преимущества и недостатки.
+----
 ==== x64dbg/x32dbg ====
-x64dbg и x32dbg — это отладчики с открытым исходным кодом для 64-битных и 32-битных Windows-приложений соответственно.
+Мощный и активно развиваемый отладчик с открытым исходным кодом для 64-битных (x64dbg) и 32-битных (x32dbg) PE-файлов на Windows. Представляет собой современную альтернативу OllyDbg.
+**Функциональность:**
+  * Графический дизассемблер и отладчик
+  * Поддержка плагинов и скриптов
+  * Удобная панель регистров, стек, память, карты модулей
+  * Поддержка обфусцированных и защищённых файлов (совместим с ScyllaHide)
+  * Поиск строк, API-вызовов, переходов и ссылок
+  * Интеграция с символами PDB
+  * Расширенные инструменты анализа (xAnalyzer)
 **Плюсы:**
-  * Удобный графический интерфейс
+  * Современный UI, горячие клавиши и настраиваемые макросы
-  * Активное сообщество и регулярные обновления
+  * Поддержка символов и комментариев
-  * Поддержка плагинов
+  * Бесплатен, активно развивается
-  * Расширенные функции скриптинга (xAnalyzer, ScyllaHide и т.д.)
 **Минусы:**
   * Только для Windows
-  * Может быть менее мощным для анализа сложных обфусцированных исполняемых файлов по сравнению с IDA Pro
+  * Зависит от структуры PE-файлов (мало пригоден для анализа прошивок и нестандартных форматов)
-**Лучше всего подходит для:**
+**Идеально подходит для:**
-  * Отладки PE-файлов
+  * Интерактивного анализа поведения вредоносного кода
-  * Реверс-инжиниринга вредоносных программ
+  * Динамического патчинга программ
-  * Патчинга исполняемых файлов
+  * Поиска уязвимостей и отладки софта Windows
 ----
 ==== OllyDbg ====
-OllyDbg — классический 32-битный отладчик для Windows.
+Легендарный отладчик для 32-битных приложений Windows. Свою популярность он получил за счёт простоты и большого количества доступных плагинов.
+**Функциональность:**
+  * Отладка и дизассемблирование кода
+  * Анализ импортов/экспортов, команд переходов
+  * Интерактивное редактирование кода и данных
+  * Система плагинов (OllyAdvanced, StrongOD и др.)
+  * Поиск по памяти, именам функций и т.д.
 **Плюсы:**
-  * Простота использования
+  * Интуитивно понятный интерфейс
-  * Хорошо подходит для начинающих
+  * Отлично подходит для обучения
-  * Большое количество плагинов
+  * Большое сообщество и документация
 **Минусы:**
-  * Нет поддержки 64-битных приложений
+  * Только 32-бит
-  * Проект устарел, давно не обновлялся
+  * Нет обновлений с 2014 года
-  * Ограниченные возможности по сравнению с современными отладчиками
+  * Сложности с новыми системами и защищёнными файлами
-**Лучше всего подходит для:**
+**Идеально подходит для:**
-  * Обучения отладке
+  * Реверса старых программ
-  * Реверса старого 32-битного ПО
+  * Учебных целей и демонстрации базовых техник
 ----
 ==== IDA Pro ====
-IDA Pro — один из самых мощных коммерческих дизассемблеров с функцией отладки.
+Один из самых мощных дизассемблеров и отладчиков на рынке. Представляет собой коммерческий инструмент для статического и динамического анализа исполняемых файлов.
+**Функциональность:**
+  * Гибридный статический анализ с возможностью отладки (Debugging + Disassembly)
+  * Поддержка десятков архитектур и форматов (x86, x64, ARM, MIPS, PowerPC и др.)
+  * Встроенный скриптовый язык IDC и Python API
+  * Интерактивная графовая навигация по коду (flow chart)
+  * Интеграция с декомпилятором (Hex-Rays Decompiler)
 **Плюсы:**
-  * Мощный статический анализатор
+  * Глубокий статический анализ
-  * Поддержка множества архитектур и форматов
+  * Расширяемость через скрипты и плагины
-  * Встроенный отладчик
+  * Широкое применение в профессиональном реверсе
-  * Интерактивная диаграмма потоков управления
 **Минусы:**
-  * Высокая стоимость лицензии
+  * Высокая цена ($$$)
   * Сложный интерфейс для новичков
-  * Ограничения демо-версии
+  * Некоторые функции недоступны в бесплатной версии (IDA Free)
-**Лучше всего подходит для:**
+**Идеально подходит для:**
-  * Глубокого статического анализа
+  * Глубокого анализа вредоносного кода, прошивок, драйверов
-  * Реверс-инжиниринга сложного ПО и прошивок
+  * Работа с редкими архитектурами и нестандартными бинарниками
-  * Анализа вредоносного ПО
+  * Исследовательской работы в области reverse engineering
 ----
 ==== RADARE2 ====
-RADARE2 — мощный кроссплатформенный фреймворк для анализа бинарных файлов.
+Продвинутый кроссплатформенный фреймворк для анализа бинарных файлов. Поддерживает отладку, дизассемблирование, патчинг, анализ и скриптинг. Имеет высокую кривую обучения.
-**Плюсы:**
+**Функциональность:**
-  * Кроссплатформенность (Linux, Windows, macOS)
+  * Консольный интерфейс + веб GUI (Cutter) и Ghidra-подобный декомпилятор (r2ghidra)
   * Поддержка множества архитектур
-  * Скриптуемость (ESIL, r2pipe)
+  * Символьный анализ, поиск входных точек, визуализация CFG
-  * Поддержка анализа прошивок
+  * Плагинная архитектура и мощный скриптовый движок (r2pipe, ESIL)
+**Плюсы:**
+  * Открытый исходный код
+  * Гибкость и расширяемость
+  * Работа на Linux, macOS, Windows
 **Минусы:**
-  * Высокий порог входа, сложный интерфейс
+  * Высокий порог входа (CLI-first)
-  * Отсутствие полноценного GUI (только r2ghidra и Cutter)
+  * Недостаток стабильности в некоторых плагинах
+  * Слабый GUI по сравнению с конкурентами
-**Лучше всего подходит для:**
+**Идеально подходит для:**
-  * Анализа нестандартных форматов и платформ
+  * Кроссплатформенного анализа бинарников
-  * Автоматизации реверса
+  * Сценарного анализа и автоматизации
   * Проектов с открытым исходным кодом
@@ Строка 84: / Строка 114: @@
 ==== GHIDRA ====
-GHIDRA — бесплатный инструмент от NSA для обратного инжиниринга.
+Открытый проект от Агентства национальной безопасности США (NSA), предназначенный для реверс-инжиниринга. Предоставляет продвинутую визуальную среду с декомпиляцией, графами и анализом.
+**Функциональность:**
+  * Поддержка PE, ELF, Mach-O, и других форматов
+  * Встроенный декомпилятор в стиле C-подобного кода
+  * Графовая навигация по коду, анализ зависимостей
+  * Поддержка скриптов на Java, Python (Jython)
+  * Совместная работа (multi-user mode), плагинная архитектура
 **Плюсы:**
-  * Бесплатная и мощная альтернатива IDA Pro
+  * Бесплатна и кроссплатформенна
-  * Поддержка различных платформ и форматов
+  * Постоянно обновляется
-  * Встроенный декомпилятор
+  * Сравнима по возможностям с IDA Pro
-  * Скриптуемость на Java и Python
 **Минусы:**
-  * Меньше готовых плагинов по сравнению с IDA
+  * Медленная работа на больших бинарниках
-  * Более медленная работа на больших проектах
+  * Некоторые баги при декомпиляции нестандартного кода
-  * GUI может быть неудобным для некоторых задач
+  * Интерфейс требует привыкания
-**Лучше всего подходит для:**
+**Идеально подходит для:**
-  * Статического анализа
+  * Начального и среднего уровня анализа
-  * Декомпиляции бинарных файлов
+  * Углублённой работы с декомпиляцией
-  * Обучения реверс-инжинирингу
+  * Исследования прошивок и вредоносных программ
-----
+===== Сравнительная характеристика =====
+^ Отладчик      ^ Архитектуры                   ^ GUI / CLI ^ Декомпиляция ^ API / Скрипты        ^ Расширяемость       ^ ОС           ^
+| x64dbg/x32dbg | x86, x64                     | GUI       | Нет (внешние) | Да (скрипты и плагин API) | Высокая (много плагинов) | Windows      |
+| OllyDbg       | x86                          | GUI       | Нет          | Ограничено (плагины)       | Средняя (устаревшие плагины) | Windows      |
+| IDA Pro       | x86, x64, ARM, MIPS, PowerPC, и др. | GUI + CLI | Да (Hex-Rays) | Да (IDC, Python API)     | Высокая (много плагинов, SDK) | Windows, Linux, macOS |
+| RADARE2       | x86, x64, ARM, MIPS, AVR, SPARC и др. | CLI (Cutter — GUI) | Да (через r2ghidra, cxx) | Да (ESIL, r2pipe, Python, JS) | Очень высокая (модули, плагины, open source) | Windows, Linux, macOS |
+| GHIDRA        | x86, x64, ARM, MIPS, PPC, и др. | GUI       | Да (встроенный) | Да (Java, Python (Jython)) | Высокая (плагины, open source) | Windows, Linux, macOS |
+| Bochs         | x86, x86-64                  | GUI + CLI | Нет          | Да (GDB integration)        | Низкая                    | Windows, Linux, macOS |
+| QEMU          | x86, x64, ARM, MIPS, и др.   | CLI       | Нет          | Да (GDB, TCG hooks)         | Средняя                   | Windows, Linux, macOS |
+| Unicorn Engine| x86, x64, ARM, ARM64, MIPS   | API Only  | Нет          | Да (C, Python, Ruby, Go)    | Высокая (библиотека для эмуляции) | Windows, Linux, macOS |
+  * Архитектуры — поддерживаемые архитектуры процессоров
+  * GUI / CLI — графический или командный интерфейс
+  * Декомпиляция — встроенный или сторонний декомпилятор (возможность восстановления C-подобного кода)
+  * API / Скрипты — возможность автоматизации через API, скриптовые языки
+  * Расширяемость — поддержка плагинов, модулей, настройка
+  * ОС — операционные системы, на которых работает отладчик
 ===== Сканеры ресурсов =====
@@ Строка 139: / Строка 192: @@
 ===== Граберы =====
 Инструменты для перехвата и извлечения данных, таких как логины, ключи и сетевой трафик.
+==== NinjaRipper ====
+NinjaRipper — инструмент для **перехвата и извлечения 3D-моделей**, текстур и других графических ресурсов из запущенных DirectX/OpenGL/Vulkan приложений (чаще всего — игр). Используется при создании модов, в обучающих целях, для анализа движков или цифровой архивации.
+**Функциональность:**
+  * Перехват моделей, мешей, текстур во время выполнения
+  * Поддержка DirectX 9/11/12, OpenGL, Vulkan (ограниченно)
+  * Возможность экспорта в формат `.rip` или `.obj`
+  * Сопровождается визуальным препросмотром (NinjaViewer)
+  * Перехватывает также шейдеры и их параметры (в зависимости от движка)
+**Плюсы:**
+  * Позволяет извлечь ресурсы даже из защищённых или нестандартных движков
+  * Может работать с 32/64-битными играми
+  * Сообщество активно делится профилями и опытом
+  * Поддержка различных хаков запуска (вкл. ReShade hook и Custom DLL Injection)
+**Минусы:**
+  * Не всегда работает с современными движками и античитами
+  * Часто требует подбора запуска (launch mode, wrapper, hooking)
+  * Модели могут экспортироваться без структуры (нужно вручную собирать сцены)
+  * Может вызывать падение игры или конфликт с защитой
+**Лучше всего подходит для:**
+  * Извлечения 3D-моделей из старых и средних по возрасту игр
+  * Создания модов, цифровой реставрации и обучения 3D-графике
+  * Исследования проприетарных движков, визуализации игровых сцен
+==== Сравнение: NinjaRipper vs 3D Ripper DX ====
+^ Характеристика         ^ NinjaRipper                         ^ 3D Ripper DX                          ^
+| Поддержка API          | DirectX 9/10/11/12, OpenGL, Vulkan  | Только DirectX 6–9                    |
+| Совместимость          | Современные и старые движки         | Только старые игры (до 2012 года)     |
+| Формат вывода          | .rip, .obj, текстуры (DDS/TGA)      | .3DR, .obj, .dds                      |
+| Поддержка 64-бит       | Да                                  | Нет                                   |
+| Работа в Windows 10/11 | Да (частично, зависит от метода)    | Ограниченно, часто нестабильно        |
+| Уровень захвата        | Более гибкий (свой рендер-хук)      | Низкоуровневый захват DX9 сцены       |
+| Поддержка ReShade      | Да (совместим через Proxy DLL)      | Нет                                   |
+**Вывод:**
+*3D Ripper DX* — устаревший, но всё ещё работает с очень старыми DirectX9-играми (2000–2012).
+*NinjaRipper* — универсальнее, работает с большинством современных игр и поддерживает больше API.
+----
+==== Интеграция с ReShade ====
+ReShade — инструмент постобработки, часто используемый как промежуточный **hook-слой** в графическом конвейере. Он может **конфликтовать с NinjaRipper**, но также помогает **обходить античиты**, выступая как "легитимный" графический фильтр.
+**Методы интеграции:**
+  * Установка ReShade перед запуском игры
+  * Использование ReShade `.dll` в качестве прокси-хука (`dxgi.dll` / `d3d11.dll`)
+  * Привязка NinjaRipper к ReShade-процессу (в режимах: `Intruder Injector` или `Wrapper Mode`)
+  * Изменение порядка загрузки DLL (через `LoadLibrary`)
+**Плюсы:**
+  * ReShade помогает перехватывать сцены там, где NinjaRipper не может напрямую
+  * Уменьшает вероятность детекта античитами (видится как графический фильтр)
+**Минусы:**
+  * Требует ручной настройки путей DLL и фильтрации ReShade-шейдеров
+  * Может сбивать порядок захвата текстур/буферов
+----
+==== Обход античитов ====
+Некоторые игры с EAC, BattleEye, Denuvo или собственными DRM-механизмами могут блокировать:
+  * инжекцию DLL
+  * отладку процессов
+  * графический хук
+**Способы обхода:**
+  * Использование **режима оффлайн** (Steam/Origin/Uplay)
+  * Запуск игры через **ReShade**, и подмена стандартных `d3d*.dll`
+  * Использование **пользовательских launchers** (например, с отключённым античитом)
+  * Инъекция через **NinjaRipper Intruder Injector** (настройка процесса захвата вручную)
+  * Работа с **Portable-версией игры** (если доступна)
+**Важно:** Многие античиты распознают NinjaRipper как потенциально вредоносную активность. Используйте **только для анализа, моддинга и образовательных целей** в **оффлайн-режиме**.
+----
+==== Рекомендованные конфигурации запуска NinjaRipper ====
+Для повышения шансов успешного захвата моделей:
+**1. ReShade-хук (гибридный метод):**
+  * Установить ReShade в папку с игрой
+  * Назначить `dxgi.dll` как целевой для захвата
+  * Выбрать в NinjaRipper режим `Intruder Injector`
+  * Указать путь к `ReShade64.dll` или `dxgi.dll`
+**2. Wrapper Mode (менее стабильный, но работает без инъекции):**
+  * Выбрать DLL-соответствие API (d3d11.dll, opengl32.dll)
+  * Поместить файлы NinjaRipper в корень игры
+  * Запустить игру напрямую
+**3. Параметры запуска:**
+  * `Admin mode`: всегда запускать NinjaRipper и игру от имени администратора
+  * `DelayInject`: увеличить задержку инъекции до 3000–5000 мс
+  * `Force Windowed`: запуск игры в оконном режиме для стабильности захвата
+  * `Disable anti-aliasing`: часто мешает корректному извлечению геометрии
+**Дополнительно:**
+  * Сохраняйте лог процесса
+  * Пробуйте разные версии NinjaRipper (1.7, 2.0 beta)
+  * Используйте **NinjaRipper Viewer** для первичного анализа `.rip` файлов
+----
 ==== Wireshark ====
@@ Строка 212: / Строка 375: @@
   * Предварительного сканирования перед реверсом
-====== Программное обеспечение ======
+===== Эмуляторы =====
+Позволяют запускать или анализировать поведение исполняемых файлов в изолированной или эмулируемой среде. Часто используются для анализа вредоносного ПО и отладки.
-===== Отладчики =====
-==== x64dbg/x32dbg ====
-x64dbg и x32dbg — это отладчики с открытым исходным кодом для 64-битных и 32-битных Windows-приложений соответственно.
+==== QEMU ====
 **Плюсы:**
-  * Удобный графический интерфейс
+  * Поддержка множества архитектур (x86, ARM, MIPS, RISC-V и др.)
-  * Активное сообщество и регулярные обновления
+  * Возможность запуска образов ОС
-  * Поддержка плагинов
+  * Используется в связке с GDB для отладки
-  * Расширенные функции скриптинга (xAnalyzer, ScyllaHide и т.д.)
 **Минусы:**
-  * Только для Windows
+  * Сложность настройки
-  * Может быть менее мощным для анализа сложных обфусцированных исполняемых файлов по сравнению с IDA Pro
+  * Менее удобен для Windows-приложений
 **Лучше всего подходит для:**
-  * Отладки PE-файлов
+  * Эмуляции нестандартных или встраиваемых систем
-  * Реверс-инжиниринга вредоносных программ
+  * Отладки low-level кода (прошивки, ядро)
-  * Патчинга исполняемых файлов
 ----
-==== OllyDbg ====
+==== Bochs ====
-OllyDbg — классический 32-битный отладчик для Windows.
 **Плюсы:**
-  * Простота использования
+  * Аппаратная эмуляция на уровне инструкций CPU
-  * Хорошо подходит для начинающих
+  * Поддержка отладки и трассировки инструкций
-  * Большое количество плагинов
 **Минусы:**
-  * Нет поддержки 64-битных приложений
+  * Медленная работа
-  * Проект устарел, давно не обновлялся
+  * Ограниченные возможности по сравнению с QEMU
-  * Ограниченные возможности по сравнению с современными отладчиками
 **Лучше всего подходит для:**
-  * Обучения отладке
+  * Отладки загрузчиков и низкоуровневого кода
-  * Реверса старого 32-битного ПО
+  * Эмуляции старых x86-систем
 ----
-==== IDA Pro ====
+==== Unicorn Engine ====
-IDA Pro — один из самых мощных коммерческих дизассемблеров с функцией отладки.
 **Плюсы:**
-  * Мощный статический анализатор
+  * Быстрая и лёгкая интеграция
-  * Поддержка множества архитектур и форматов
+  * Скриптуемость на Python, C и др.
-  * Встроенный отладчик
+  * Поддержка нескольких архитектур
-  * Интерактивная диаграмма потоков управления
 **Минусы:**
-  * Высокая стоимость лицензии
+  * Только эмуляция CPU (без ОС и API)
-  * Сложный интерфейс для новичков
+  * Требует ручной загрузки данных/регистров
-  * Ограничения демо-версии
 **Лучше всего подходит для:**
-  * Глубокого статического анализа
+  * Частичной эмуляции фрагментов бинарного кода
-  * Реверс-инжиниринга сложного ПО и прошивок
+  * Эмуляции shell-кода и вредоносных инструкций
-  * Анализа вредоносного ПО
 ----
-==== RADARE2 ====
+===== Декомпиляторы =====
-RADARE2 — мощный кроссплатформенный фреймворк для анализа бинарных файлов.
+Инструменты, преобразующие машинный код в псевдокод высокого уровня для лучшего понимания логики программы.
+==== RetDec ====
 **Плюсы:**
-  * Кроссплатформенность (Linux, Windows, macOS)
+  * Open Source
-  * Поддержка множества архитектур
+  * Поддержка множества форматов (PE, ELF, Mach-O)
-  * Скриптуемость (ESIL, r2pipe)
+  * Интеграция с IDA и Ghidra
-  * Поддержка анализа прошивок
 **Минусы:**
-  * Высокий порог входа, сложный интерфейс
+  * Псевдокод часто содержит лишние конструкции
-  * Отсутствие полноценного GUI (только r2ghidra и Cutter)
+  * Нет полноценного GUI
 **Лучше всего подходит для:**
-  * Анализа нестандартных форматов и платформ
+  * Декомпиляции редких форматов
-  * Автоматизации реверса
+  * Образовательных и исследовательских задач
-  * Проектов с открытым исходным кодом
 ----
-==== GHIDRA ====
+==== JEB Decompiler ====
-GHIDRA — бесплатный инструмент от NSA для обратного инжиниринга.
 **Плюсы:**
-  * Бесплатная и мощная альтернатива IDA Pro
+  * Поддержка Android, Java и native кода
-  * Поддержка различных платформ и форматов
+  * Прекрасный GUI
-  * Встроенный декомпилятор
+  * Поддержка obfuscation-aware анализа
-  * Скриптуемость на Java и Python
 **Минусы:**
-  * Меньше готовых плагинов по сравнению с IDA
+  * Платный (дорогая лицензия)
-  * Более медленная работа на больших проектах
+  * Требует регистрации
-  * GUI может быть неудобным для некоторых задач
 **Лучше всего подходит для:**
-  * Статического анализа
+  * Анализа Android-приложений и DEX-файлов
-  * Декомпиляции бинарных файлов
+  * Обратного инжиниринга Java-кода
-  * Обучения реверс-инжинирингу
 ----
-===== Сканеры ресурсов =====
+===== Инструменты упаковки/распаковки =====
-Программы, предназначенные для извлечения ресурсов (иконок, строк, изображений, диалогов) из исполняемых файлов.
-==== Resource Hacker ====
+==== UPX ====
 **Плюсы:**
-  * Простой интерфейс
+  * Высокая степень сжатия
-  * Позволяет изменять ресурсы напрямую
+  * Поддержка множества форматов (PE, ELF, Mach-O)
-  * Поддержка как .exe, так и .dll
+  * Возможность распаковки
 **Минусы:**
-  * Только Windows
+  * Легко обнаруживается защитными средствами
-  * Не поддерживает некоторые нестандартные форматы
+  * Простота обхода
 **Лучше всего подходит для:**
-  * Модификации GUI-элементов программ
+  * Минимизации размера файлов
-  * Извлечения ресурсов
+  * Тестирования unpacking-рутин в анализе вредоносного ПО
-==== PE Explorer ====
+----
+==== MPRESS, ASPack, Themida (коммерческие) ====
 **Плюсы:**
-  * Анализ PE-структуры
+  * Защита от реверс-инжиниринга и анализа
-  * Интеграция дизассемблера
+  * Встроенные анти-дизассемблерные техники
-  * Хорошая поддержка ресурсов
 **Минусы:**
-  * Платный
+  * Трудности при отладке/анализе
-  * Устаревший интерфейс
+  * Может вызывать ложные срабатывания антивирусов
 **Лучше всего подходит для:**
-  * Изучения структуры PE-файлов
+  * Защиты авторского ПО
-  * Редактирования и анализа ресурсов
+  * Усложнения анализа вредоносного кода
 ----
-===== Граберы =====
+===== Мониторинг API =====
-Инструменты для перехвата и извлечения данных, таких как логины, ключи и сетевой трафик.
-==== Wireshark ====
+==== API Monitor ====
 **Плюсы:**
-  * Поддержка множества сетевых протоколов
+  * Перехват WinAPI и COM-вызовов в реальном времени
-  * Фильтрация и анализ трафика в реальном времени
+  * Настраиваемые фильтры
-  * Расширяемость с помощью плагинов
+  * Возможность перехвата параметров и возвращаемых значений
 **Минусы:**
-  * Требует знаний сетевых протоколов
+  * Только для Windows
-  * Не все шифрованные протоколы можно расшифровать
+  * Ограниченная автоматизация
 **Лучше всего подходит для:**
-  * Сниффинга трафика
+  * Анализа поведения исполняемых файлов
-  * Анализа сетевой безопасности
+  * Поиска точек входа для отладки
-==== WebBrowserPassView / Mail PassView ====
+----
+==== Procmon (Sysinternals) ====
 **Плюсы:**
-  * Мгновенный доступ к сохранённым паролям
+  * Логгирование всех файловых, реестровых и сетевых операций
-  * Поддержка большинства популярных браузеров и клиентов
+  * Гибкая фильтрация событий
 **Минусы:**
-  * Распознается антивирусами как потенциально вредоносное ПО
+  * Много лишнего шума
-  * Не работает при шифровании профиля пользователя
+  * Нет возможности детальной трассировки кода
 **Лучше всего подходит для:**
-  * Восстановления забытых паролей
+  * Поведенческого анализа ПО
-  * Анализа скомпрометированных систем
+  * Обнаружения следов активности малвари
 ----
-===== Анализаторы =====
+===== Инструменты анти-анализа =====
-Программы, выполняющие статический или динамический анализ кода, структуры или поведения файлов.
+Техники и утилиты, используемые для защиты программ от анализа, отладки и реверс-инжиниринга.
-==== CFF Explorer ====
+==== ScyllaHide (для x64dbg) ====
 **Плюсы:**
-  * Удобная работа с PE-заголовками
+  * Скрытие от отладчиков
-  * Интеграция с PE-дизассемблером
+  * Обход анти-отладочных проверок
-  * Возможность модификации структур PE
 **Минусы:**
-  * Устаревший интерфейс
+  * Требует настройки
-  * Не подходит для глубокой отладки
+  * Может быть несовместим с некоторыми конфигурациями
 **Лучше всего подходит для:**
-  * Изучения структуры исполняемых файлов
+  * Обхода защит в процессе отладки
-  * Модификации импортов и заголовков
+  * Анализа защищённых бинарников
-==== Detect It Easy (DIE) ====
+----
+==== VMProtect / Enigma Protector / Themida (анализируемые) ====
 **Плюсы:**
-  * Определение компиляторов, упаковщиков
+  * Используют виртуализацию инструкций
-  * Расширяемая сигнатурная база
+  * Противодействуют статическому и динамическому анализу
 **Минусы:**
-  * Только статический анализ
+  * Сложны для реверса
-  * Возможны ложные срабатывания
+  * Часто требуют написания собственных распаковщиков/декодеров
 **Лучше всего подходит для:**
-  * Быстрого определения типа файла
+  * Обучения анти-анализу
-  * Анализа защиты файлов
+  * Анализа сложных вредоносных образцов
-==== Pestudio ====
+----
+==== Pafish (для песочниц и анализаторов) ====
 **Плюсы:**
-  * Автоматический анализ подозрительных характеристик
+  * Проверяет наличие виртуализации, отладчиков, хуков
-  * Интеграция с VirusTotal и другими сервисами
+  * Используется как тест для песочниц и sandboxes
 **Минусы:**
-  * Нет динамического анализа
+  * Не защищает, а проверяет окружение
-  * Закрытый исходный код
 **Лучше всего подходит для:**
-  * Малварного анализа
+  * Анализа среды исполнения
-  * Предварительного сканирования перед реверсом
+  * Тестирования эффективности анти-анализов