Сейчас на форуме: _MBK_ (+6 невидимых)

 eXeL@B —› Основной форум —› Easy import finder
<< . 1 . 2 . 3 .
Посл.ответ Сообщение


Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

 Создано: 05 апреля 2007 18:17 · Поправил: Hellspawn
· Личное сообщение · #1

какое то время назад начал кодить анпакер, в результате были написаны
отладочный двиг + это чудо . На замену импрека не притендует, просто нужно потестить,
ну и может кто захочет довести до ума. Есть проблема с форвардами, но в скором времени я её
утсраню. Pаботать должно почти на всех виндах. (кроме 98/ME - когда процесс нах-ся под
отладкой, из-за создающихся переходников).

- Восстанавливает импорт у простых пакеров.
- Находит размазанный импорт. (когда он разделён больше чем 1 раздилителем)
- Находит смещённый импорт (есть адресса не выровненные по 4 относительно других)

Кому нужны исходники, пишите в личку поделюсь.

Easy import finder 0.10b | by Hellsp@wn

http://hellspawn.nm.ru/works/eif.zip http://hellspawn.nm.ru/works/eif.zip

-----
[nice coder and reverser]

Ранг: 36.7 (посетитель)
Активность: 0.010
Статус: Участник

 Создано: 10 апреля 2007 20:11
· Личное сообщение · #2

pavka пишет:
Такие вещи обходятся восстановлением оригинальной таблички, к сейчас этим заморачиваться ?

обходятся но не всегда... попалось мне два экземпляра... когда вроде табличка оригинальная восстановлена, а вот прога не работает... именно вот из-за подобных строк... просто как оказалось не все попало в табличку...



Ранг: 500.5 (!), 8thx
Активность: 0.230
Статус: Участник

 Создано: 10 апреля 2007 20:23
· Личное сообщение · #3

Hill пишет:
xor eax,dword ptr ds:[c9d511]

Никогда не видел, чтобы что то в секции кода ксорилось из иат....

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels


Ранг: 353.0 (мудрец)
Активность: 0.370
Статус: Участник
resreveR

 Создано: 10 апреля 2007 21:13
· Личное сообщение · #4

Smon пишет:
Никогда не видел, чтобы что то в секции кода ксорилось из иат....
+1.. или арма уже начала адреса в иат еще и ксорить,а перед вызовом опять ксорить? %)

-----
Тут не могла быть ваша реклама


Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

 Создано: 11 апреля 2007 22:34
· Личное сообщение · #5

Easy import finder 0.14b

hellspawn.nm.ru/works/eif.0.14b.zip

[!] Добавлена ситуация, когда импорт начинается сначала региона памяти.
[!] Улучшено распознавание мусора в импорте.
[!] Добавлен запрос об остановке, если был найден импорт.
[!] Тулза стала более стабильная.

почти довёл до ума алго поиска... Надо ещё пару моментов переписать и будет гууд

-----
[nice coder and reverser]

Ранг: 213.5 (наставник)
Активность: 0.120
Статус: Участник
забанен

 Создано: 12 апреля 2007 06:30 · Поправил: Demon666
· Личное сообщение · #6

Hellspawn
Хм… а твой анализатор (если он там есть или просто сделан поиск опкода jmp(?)) сможет проанализировать такое:
jz xxxxxxxx
jnz xxxxxxxx
xxxxxxxx-одинаковые
Конечно, этот примитивный джамп без метаморфа… но может, ты уже думал о таких джампах как их кодом проанализировать?

-----
ЗЫ: истЕна где-то рядом, Welcome@Google.com


Ранг: 990.2 (! ! !), 380thx
Активность: 0.680
Статус: Модератор
Author of DiE

 Создано: 12 апреля 2007 08:07
· Личное сообщение · #7

пока нету) я бы отметил в ридми. Щас просто заточка под конкретные переходники, надо
чтобы движок на обычных функах не глючил, а потом уже мона будет усложнать

-----
[nice coder and reverser]
<< . 1 . 2 . 3 .
 eXeL@B —› Основной форум —› Easy import finder
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати