какое то время назад начал кодить анпакер, в результате были написаны
отладочный двиг + это чудо . На замену импрека не притендует, просто нужно потестить,
ну и может кто захочет довести до ума. Есть проблема с форвардами, но в скором времени я её
утсраню. Pаботать должно почти на всех виндах. (кроме 98/ME - когда процесс нах-ся под
отладкой, из-за создающихся переходников).

- Восстанавливает импорт у простых пакеров.
- Находит размазанный импорт. (когда он разделён больше чем 1 раздилителем)
- Находит смещённый импорт (есть адресса не выровненные по 4 относительно других)

Кому нужны исходники, пишите в личку поделюсь.

Easy import finder 0.10b | by Hellsp@wn

http://hellspawn.nm.ru/works/eif.zip http://hellspawn.nm.ru/works/eif.zip

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

linhanshi it is only beginning

так давайте разберёмся, как определить что перед нами возможный переходник?
как я вижу:

- адресс принадлежит выделенному региону памяти (тут всё просто, перечисляем все регионы
и убирает те в которых нет флага исполнения)
- адресс принадлежит "основной" памяти проги, например -> MICROSOF.00421073

тогда, скорее всего перед нами переходник и надо проверять, что по адресу...
поправте меня если что не так или бывает по другому...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

lord_Phoenix

leader

| Сообщение посчитали полезным:

Hellspawn пишет:
тогда, скорее всего перед нами переходник и надо проверять, что по адресу...
поправте меня если что не так или бывает по другому...
по другому не бывает..

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

In the right forum to express your opinions, thank you .

| Сообщение посчитали полезным:

Hellspawn пишет:
как определить что перед нами возможный переходник
для делфи и асма можно сканить на близлежащие jmp[] - если они указывают за пределы файла - значит переходник, аналогично но посложней для си - там переходники вида call[] и (mov reg,addr, call reg) разбросаны, но насколько помнится, в самих прогах коллы в выделенную память встречаются нечасто

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

нам не надо искать джампы и т.д. у нас есть адрес, нам надо узнать - мусор это или адрес переходника

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

lord_Phoenix пишет:
у нас есть адрес, нам надо узнать - мусор это или адрес переходника
Для этого можно просканить секцию кода и проверить джампы и коллы на дворд этого адреса - если нет, значит мусор

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

у армы афаир были мусорные вызовы мусора

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

lord_Phoenix
У армы они однообразные, надо добавить отсев по ним.
В других протах вызов мусора что-то не припомню.

| Сообщение посчитали полезным:

заточка не рулит, надо универсально. так что идеи хелла верны. ну и isbadptr

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

lord_Phoenix пишет:
у армы афаир были мусорные вызовы мусора

они просто указывали в сист библу? или это были валидные функи, которые не оспользовались?

и ещё, объясните как работает ArmInline, вводим регион памяти в котором ИАТ + размер,
дальше он находит апи в этом промежутке, а как осуществляется редирект? т.е. нам в самой
проге надо пропатчить JMP DWORD PTR [XXXXXXXX] или CALL DWORD PTR [XXXXXXXX], а каким
образом это лучше всего сделать?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
дальше он находит апи в этом промежутке, а как осуществляется редирект? т.е. нам в самой
проге надо пропатчить JMP DWORD PTR [XXXXXXXX] или CALL DWORD PTR [XXXXXXXX], а каким
образом это лучше всего сделать?

Smon пишет:
Для этого можно просканить секцию кода и проверить джампы и коллы на дворд этого адреса

А чтобы всё это работало быстро - просто пишем в табличку все адреса из секции кода, где встретились данные call'ы и jump'ы и сканим по ней

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Hellspawn пишет:
они просто указывали в сист библу? или это были валидные функи, которые не оспользовались?
это были jmp [] которые указывали на "переходники", которые были или бесконечной вермишелькой джампов или просто мусором

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

lord_Phoenix пишет:
это были jmp [] которые указывали на "переходники", которые были или бесконечной вермишелькой джампов
там были конструкции вида:

@3: jump @1
@2: jump @3
@1: jump @2

и мусорные конструкции с вызовом каких то левых апи.

Смысл в том, что на эти мусорные вызовы нет ни джампов ни каллов из секции кода - они просто разбавляют основную иат

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon
и все таки нам не надо искать адреса..нам надо просто узнать - мусор это или адрес переходника, и если да, то попробовать восстановить

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

Hellspawn пишет:
они просто указывали в сист библу? или это были валидные функи, которые не оспользовались?
003C9F63 push ebp
003C9F64 mov ebp,esp
003C9F66 push 0
003C9F68 call [3E5118] // = ntdll.dll/0306/RtlRestoreLastWin32Error
003C9F6E push dword ptr [ebp+18]
003C9F71 push dword ptr [ebp+14]
003C9F74 push dword ptr [ebp+10]
003C9F77 push dword ptr [ebp+C]
003C9F7A push dword ptr [ebp+8]
003C9F7D call [3E52CC] // = user32.dll/0056/CreateDialogParamA
003C9F83 pop ebp
003C9F84 retn 14

переходник армы =)

| Сообщение посчитали полезным:

sniperZ
мы не о том.. что ты привел - стандарт у армы, антиимпрек-трейсер..

-----
Тут не могла быть ваша реклама

| Сообщение посчитали полезным:

lord_Phoenix пишет:
мы не о том.. что ты привел - стандарт у армы, антиимпрек-трейсер..
привел для т0г0, чтоб он не стал анти-Easy import finder трейсер...
HoBleen пишет:
В других протах вызов мусора что-то не припомню.
были, были. ща не помню где, но видел. вспомню - скажу.

| Сообщение посчитали полезным:

Hellspawn
А чего вдруг за арму зацепились? Отполировал бы технологию на простых переходниках с банальным ксором а там бы и дальше смотреть куда идти ....

| Сообщение посчитали полезным:

pavka пишет:
Отполировал бы технологию на простых переходниках с банальным ксором
аля ацпротект...

| Сообщение посчитали полезным:

да мне то поф для чего писать) ещё один момент...
вот встретили адресс аля 00BXXXX <- выделенная память, я что думаю,
есть карта памяти, извлекли из неё соотв. регион и прочитали в буфер целиком, или
прочитали мал кусочек, проанализировали и если это переходник, то прочитали в буфер
весь регион...

я и так весь процесс целиком читаю в буфер, так искать легче и быстрее, боюсь слишком
много опреативы жрать будет...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
я и так весь процесс целиком читаю в буфер
А если используется антидамп аля Private Exe Protector с надутой нулями секцией? И он не единственный...

Имхо лучше читать небольшими блоками 0x1000 - 0x10000 и считывать новые только по мере необходимости.

| Сообщение посчитали полезным:

HoBleen пишет:
А если используется антидамп аля Private Exe Protector с надутой нулями секцией? И он не единственный...

это всё можно обойти будет... сделаю опции.

HoBleen пишет:
Имхо лучше читать небольшими блоками 0x1000 - 0x10000 и считывать новые только по мере необходимости.

плохой вариант, скорость упадёт в разы + есть возможность проскочить апи, т.к. ищется побайтно.
Можно коненчо усложнить алгоритм поиска, но я уже реализовал по другому... Теперь я сканю
по блокам памяти процеса скоро выложу переработанный вариант...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Easy import finder 0.12b

hellspawn.nm.ru/works/eif.0.12b.zip

[!] Переработан поиск, теперь он идёт по регионам памяти процесса.
[!] Добавлена опция "Import redirected".
[!] Добавлен поиск переходников JMP XXXXXXXX -> JMP IAT (Petite 2.x).
[!] Немного оптимизирован движок.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

@Hellspawn

еще насчет армы и ИАТ эллима: там не только колы и джампы используются. есть строки вида
mov eax,dword ptr ds:[xxxxxx]
call eax
также есть и другие вещи подобного типа! например
xor eax,dword ptr ds:[xxxxxx]
ну и так далее...

| Сообщение посчитали полезным:

Hellspawn, при попытке повторного полуения импорта выдал " Access violation at address 0048BFD5 in module 'eif.exe'. Read of address 76B2136C. "
После перезапуска, при попытке прикрутить импорт, выдал " Access violation at address 00402CB5 in module 'eif.exe'. Write of address 56CC6547. "
После 2-го дубля " Access violation at address 004195D9 in module 'eif.exe'. Read of address 00000018. "

А вообще за идею +5
P.S.: файл был упакован FSG

| Сообщение посчитали полезным:

Hill пишет:
используются. есть строки вида
mov eax,dword ptr ds:[xxxxxx]
call eax
также есть и другие вещи подобного типа! например
xor eax,dword ptr ds:[xxxxxx]
кроме армы полным полно такой адресации

| Сообщение посчитали полезным:

pavka пишет:
кроме армы полным полно такой адресации

здесь имеется ввиду к примеру
call dword ptr ds: [c9d454]

mov eax, dword ptr ds: [c9d46e]
call eax

xor eax,dword ptr ds:[c9d511]

если это не восстанавливать то прога работать не будет... это в ранних версиях только колы и джампы редиректились теперь все подряд...

| Сообщение посчитали полезным:

=Shidla пишет:
P.S.: файл был упакован FSG

всё поправил, был косяк... сёдня может ещё пару переходников добавлю, что под рукой найду)

Hill пишет:
call dword ptr ds: [c9d454]
mov eax, dword ptr ds: [c9d46e]
call eax
xor eax,dword ptr ds:[c9d511]

это импорт?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hill пишет:
если это не восстанавливать то прога работать не будет... это в ранних версиях только колы и джампы редиректились теперь все подряд...
Такие вещи обходятся восстановлением оригинальной таблички, к сейчас этим заморачиваться ?

| Сообщение посчитали полезным: