какое то время назад начал кодить анпакер, в результате были написаны
отладочный двиг + это чудо . На замену импрека не притендует, просто нужно потестить,
ну и может кто захочет довести до ума. Есть проблема с форвардами, но в скором времени я её
утсраню. Pаботать должно почти на всех виндах. (кроме 98/ME - когда процесс нах-ся под
отладкой, из-за создающихся переходников).

- Восстанавливает импорт у простых пакеров.
- Находит размазанный импорт. (когда он разделён больше чем 1 раздилителем)
- Находит смещённый импорт (есть адресса не выровненные по 4 относительно других)

Кому нужны исходники, пишите в личку поделюсь.

Easy import finder 0.10b | by Hellsp@wn

http://hellspawn.nm.ru/works/eif.zip http://hellspawn.nm.ru/works/eif.zip

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Да вроде работает

Находишь таблицу по методу Сида?

| Сообщение посчитали полезным:

ну вобщем да... тока в моём исполнении + свёл участие юзера к минимуму. Может позже дизасм
редирекченного импорта прикручу, т.е. будет восстанавливать импорт после некоторых протов...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Выгрузку в формат импрека не планируешь?

| Сообщение посчитали полезным:

pavka пишет:
Выгрузку в формат импрека не планируешь?

сделаемс раз надо

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Прикрути пару кнопок "Dump", "OEP finder" и "Change EP to OEP"
P.S недавно скачал "Oep Finder V1.59 by Human-MiNT" она исходником на ASMе может пригодиться?


26e9_05.04.2007_CRACKLAB.rU.tgz - Oep Finder V1.59 by Human-MiNT.rar

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Flint пишет:
Oep Finder V1.59 by Human-MiNT

там у него стольло всего, я смотрел уже исходник, в основе лежит несколько известных
методов в принципе то оеп знать не надо, импорт и так найдётся! Дампилку
прикручу + фикс секций.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
в принципе то оеп знать не надо
Дампить не на оеп - совершенно ненадёжно, большинство прог после запуска проходит определенную инициализацию (касается не только делфи) и пишет служебные данные в некоторые секции, следовательно сдампленная не на оеп прога если и запустится, то будет работать нестабильно

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Hellspawn

Hi:

Examination of the increase ASPack things, even if he could not find entry forms : I do not know whether it was because the machine is a 64-bit .

| Сообщение посчитали полезным:

Hellspawn Отличная идея создания такой проги! При первом же удобном случае потестю...

-----
бессмысленные манипуляции не становятся более разумными если их повторять

| Сообщение посчитали полезным:

я не совсем понял, что linhanshi имел ввиду? AsPack 2.12 только что посмотрел,
импорт находиться влёт...

Smon
очень часто надо дампить именно не на оеп

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
очень часто надо дампить именно не на оеп
Никто не спорит, неплохая тема дампить сразу после распаковки секций еще до восстановления импорта )

ЗЫ: Прога полезная, развивай )))

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Hellspawn Все равно сделай опцию Dump on OEP, имхо пригодится

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Flint пишет:
Прикрути пару кнопок "Dump", "OEP finder" и "Change EP to OEP"
Имхо это все лишнее
Hellspawn пишет:
Может позже дизасм
редирекченного импорта прикручу, т.е. будет восстанавливать импорт после некоторых протов...
самое то.. в этом направлении и развивай нафиг делать комбайн

| Сообщение посчитали полезным:

давайте тогда начнём, pavka ты у нас по анпаку с какого прота начать?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Начать с простеньких типа Телка или ктиайцев PEQuake PE-Armor потом чего нить посложнее
В последнем RLpacke простенький импорт как говорит apox написал его за полчаса можно на нем можно потренироватся

| Сообщение посчитали полезным:

tE!Lock, PeX - там оч простые переходнички

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

Hellspawn
ничего так. мило. мну понравилось. надо будет задать тебе несколько вопросов)

-----
Уважайте других и пишите грамотно.

| Сообщение посчитали полезным:

мля, чтобы написать универсально надо будет:
1) сделать небольшой эмуль, который будет дизасмить и анализировать переходник
2) или передавать управление на адрес переходника и пошагово трассировать до попадания
в библу и так все переходники...

иначе придётся затачивать под каждый прот и делать опцию

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

lord_Phoenix пишет:
tE!Lock, PeX - там оч простые переходнички
ACProtect.
Там тоже несложные...

| Сообщение посчитали полезным:

Easy import finder 0.11b

hellspawn.nm.ru/works/eif.0.11b.zip

исправлен небольшой косяк в поиске, добавил удаление выбранной функи,
оцпия "max separators" - максимальное кол-во байт между библами импорта,
после которых тулза считает, что импорт закончен

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
Не помешала бы фича - брякаться на заданном юзверем адресе

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon
Smon пишет:
Не помешала бы фича - брякаться на заданном юзверем адресе
Поддерживаю - часто очень нужно бывает такое..
Hellspawn
Полезная штука, надо развивать!

| Сообщение посчитали полезным:

Hellspawn пишет:
иначе придётся затачивать под каждый прот и делать опцию
имхо универсальный 1 + imprec совместимые плагины

| Сообщение посчитали полезным:

трассить надо в самом крайнем случае имхо. и надо что то придумать с определением эмул. функций

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

Потестил, вот коротенький отчет:
Не нашел импорт:
yoda's Crypter 1.3
yoda's Protector 1.02
eXPressor - PE compressor 1.5.0.1
Krypton v.0.3
RLPack 1.16 FullEdition
tElock v0.98


Нашел лишний импорт:
Petite 2.3
Software Compress LITE Edition. Version 1.2 Не до конца нашел оригинальный импорт!

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

lord_Phoenix пишет:
трассить надо в самом крайнем случае имхо
+1. М0жн0 сделать переходник, который прога будет трейсить очень долго...
Hellspawn пишет:
1) сделать небольшой эмуль, который будет дизасмить и анализировать переходник
Более реальный вариант.

| Сообщение посчитали полезным:

Flint пишет:
Petite 2.3

есть переходники вида:

00416020 84743958 X9t. Thunk to KERNEL32.GetModuleFileNameA
00416024 00421073 s.B. MICROSOF.00421073
00416028 00421078 x.B. MICROSOF.00421078
0041602C 84743988 .9t. Thunk to KERNEL32.LoadLibraryA

Flint пишет:
yoda's Crypter 1.3
yoda's Protector 1.02
eXPressor - PE compressor 1.5.0.1
Krypton v.0.3
RLPack 1.16 FullEdition
tElock v0.98

вообще-то тут редерекчен импорт... я же говорил, что это не обрабатывается пока

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn

Хороший друг, поддерживает инструмент который вы развиваете.

Poor

| Сообщение посчитали полезным:

bbs.pediy.com/showthread.php?p=295371#post295371

| Сообщение посчитали полезным: