Есть прога, много импорта защищённого всякими там жампами и т.д, но нет антитрассировки, зато по ходу вызывает массу левых функций. Пробовал Qunpack-ом трассировать выдаёт первую ф-цию(левую) с ImpRec-ом то же самое. В принципе можно написать плагин, который будет тоже трассировать, но не кричать на первой функции УРА-нашёл, а возвращать номер этой функции (в EAX) потом следующую и т.д., скажем при вызов первой функции записывает в EAX 1, а в EIP аддрес возврата из стека, фторой в EAX 2, и т.д. потом смотреть - что получили в конце в EAX. Подскажите, кто знает - можно ли написать такой плагин для Imprec или для QUnpack или скрипт? кто знает где взять подробное описание интеофейса плагинов и вообще можно ли такое сделать ?

| Сообщение посчитали полезным:

Проектом QuickUnpack занимается Archer.
К нему обращайся.

| Сообщение посчитали полезным:

mADmAT пишет:
Есть прога, много импорта защищённого всякими там жампами и т.д, но нет антитрассировки, зато по ходу вызывает массу левых функций.
Для начала надо написать, что такое стремное там висит.
mADmAT пишет:
можно ли написать такой плагин для Imprec или для QUnpack или скрипт?
При желании можно что угодно. Есть образцы, но проще написать крипт для ольки имхо.
Ray пишет:
Проектом QuickUnpack занимается Archer.
К нему обращайся.
Так а что, он ему скрипт будет писать?

-----
Программист SkyNet

| Сообщение посчитали полезным:

mADmAT пишет:
Есть прога, много импорта защищённого всякими там жампами и т.д,

Где прога эта? В студию!
Надо смотреть конкретно...
Написать скрипт на основании твоего объяснения "на пальцах" невозможно...

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

DaRKSiDE пишет:
Написать скрипт на основании твоего объяснения "на пальцах" невозможно...

А что тут не понятно? Восстанавливать так же как и QuickUnpack только возвращать не первую функсию а правильную ! Алгоритм, как это сделать, я написал.

| Сообщение посчитали полезным:

FrenFolio пишет:
Так а что, он ему скрипт будет писать?
И не нужно мне скрипт писать, я в принципе могу быстро такую прогу набросать, которая импорт восстановит этим способом.
Интересно тут скрипт или плагин написать для уже имеющихся тулзов!

| Сообщение посчитали полезным:

mADmAT
Если у тебя получается восстананавливать импорт руками но неопределенных функций слишком много, есть смысл писать плаг. Описания интерфейса плагинов ImpREC лично не видел - учился на примере плага для tElock. В папке с импреком (1.7) лежат сорцы некоторых плагов. Изучай их. Рекомендую сначала изучить именно плаг для tElock. Самый простой и понятный.

P.S. А вообще надо сразу выкладывать прогу. Ты даже не сказал чем запротекчено. И не надо было создавать вторую тему.

| Сообщение посчитали полезным:

Плаги для КУ не пашут-это сразу говорю. Сделано было давно, интерфейс никакой не выведен, так что вряд ли ими что-то толковое можно сделать. Остаются только скрипты.
Давненько я не брал в руки его скрипты, но по моим прикидкам с некоторыми ограничениями можно сварганить что-то подобное. Если есть желание-пишите, я не против Я с этим возиться не буду, ибо время схавает немало, а смысла нет.
Метод будет не фонтан хотя бы тем, что некоторые проты юзают, скажем, GetProcAddress, всё тогда свалится.
Если так надо-выложи прогу, я выложу дерево импорта уже готовое сразу.
З.Ы. Archer этим проектом занимаЛСЯ. Подробности я уже описывал несколько раз. В частности, в теме про QuickUnpack, когда её закрывал.

| Сообщение посчитали полезным:

Зря конечно, мало кто имеет антитрэйсер в обработчике импорта, но даже его легко обойти, а получился бы более-менее универсальный восстановитель импорта !


| Сообщение посчитали полезным: