Щас вот сижу копаю прогу с армой, линг на которую мне дал saniassin. Sothink SWF Decompiler... OEP нашел(у меня спец. свой скрипт для олли), нечитаемую секцию кода сдампил думпером Астерикса, а дальше стал париться с импортом.
IAT Elimination я понял что такое. ну тут можно подменить адрес на свой, в этом ниче сложного нет. Но в этой проге импорт перемешан, то есть в одном FThunk могут быть функции с разных библиотек... это что, тоже фича армы или же такой компилятор(по данным saniassin - Visual C++ 7.0). Вот вроде в проге, предложенной MC707(Asterisk Password) ВРОДЕ с импортом в этом плане все фпоряде(но таки elimination есть).

| Сообщение посчитали полезным:

IAT в SWFDecompiler`е можно восстановить так:
Арма сначала создаёт нормальную IAT (можно отловить, поставив бряк на адрес с IAT), скопируй её куда-нить, а затем в цикле записи адресов ф-ций в секцию кода я дописывал цикл поиска адресов в нормальной IAT.
Главное создать нормальную и покорёженную (т.е. Eliminated) IAT без переходников (как я не помню уже )

| Сообщение посчитали полезным:

так функции не будут перепутаны?

| Сообщение посчитали полезным:

Дык я ж говорю, что надо цикл поиска адресов в нормальной IAT написать (типа mov ecx, адрес ф-ции в Eliminated IAT, mov ebx, адрес первой ф-ции в нориальной IAT, cmp ebx, ecx add ebx,4 и т.д.)

| Сообщение посчитали полезным:

| Сообщение посчитали полезным:

значит ты распаковал прогу эту?

| Сообщение посчитали полезным:

> секцию кода сдампил думпером Астерикса

О, значит дампер ещё актуален?
Тогда может релизнуть новую версию, ибо в предыдущей имеется пару багов в интерфейсе..

1178670889__dumper.png

| Сообщение посчитали полезным:

Asterix пишет:
О, значит дампер ещё актуален?
ну не знаю, чем его заменить
как еще сдампить секцию кода, как не им?
а ведь арма вроде 3.75, раз elimination
только сразу дампить он там отказывается, а только когда потрейсишь во втором треде

| Сообщение посчитали полезным:

хм... а разве в арме с elimination бывает нормальный копимем (1000 байт) ???

| Сообщение посчитали полезным:

> только сразу дампить он там отказывается, а только когда потрейсишь во втором треде

Я делал по другому, отлавливаю момент когда страница в которой находится OEP восстановится самой армой, потом открываю эту страницу памяти в WinHEX и пихаю два байта на OEP - 0EBh, 0FEh
т.е. jmp $, потом можно дампить

| Сообщение посчитали полезным:

Asterix пишет:
Я делал по другому, отлавливаю момент когда страница в которой находится OEP восстановится самой армой, потом открываю эту страницу памяти в WinHEX и пихаю два байта на OEP - 0EBh, 0FEh
т.е. jmp $, потом можно дампить
я между прочим также и делал - вбивал EB FE на OEP после третьего срабатывания WriteProcessMemory. но страница не дампится.

| Сообщение посчитали полезным:

дык я что-то так и не въехал - зачем нужен дампер для 2-х байтного копимема ?

| Сообщение посчитали полезным:

> я между прочим также и делал

Если ты не ошибся с процессом, и если код этой страницы уже действительно восстановлен, то причина может быть только в одном - ты забыл отпустить родительский процесс..

| Сообщение посчитали полезным:

Нормальную секцию кода можно дампить сразу после записи адресов ф-ций в секцию кода.

| Сообщение посчитали полезным:

Asterix пишет:
ты забыл отпустить родительский процесс..
точно! ну тогда фтопку дампер

| Сообщение посчитали полезным: