Use this tool for fixing Import Elimination, Directly Imports and Hashed Imports.
so you can use this tool for changing IAT Base Address and Sorting IATs.

Tested on:

Armadillo
ASProtect
Enigma
ExeCryptor
eXPressor
PeSpin
RlPack
TheMida
HyperUnpackMe

and any protector with Import Elimination, Directly Imports and Hashed Imports.

download 1.2 final: (~170kb)

http://magic.shabgard.org/UIF-12-Final.zip http://magic.shabgard.org/UIF-12-Final.zip

more info and how to use :

http://www.exetools.com/forum/showthread.php?t=11381 http://www.exetools.com/forum/showthread.php?t=11381

| Сообщение посчитали полезным:

Very nice tool I already found a use for it

| Сообщение посчитали полезным:

Я, конечно, утверждать не могу, но думаю ,что эта программа будет не всегда корректно работать, например, в случае такого кода(код реальный):
ret
nop ; Добавлено компилятором!
jmp xxxxx; direct jmp to API
ret ; 0xC3 - мусор,добавлено протектором
nop; добавлено протектором
jmp xxxxx; direct jmp to API


Учитывая то, что протектор может вместо "NOP после директ джамп" писать случайный байт, НЕВОЗМОЖНО определить, какой байт,снизу или сверху,нужно использовать для восстановления jmp'а.

| Сообщение посчитали полезным:

eXPressor 1.5.0.1 Full Protection Unpacking with UIF

---------------------------------------------------------------------- ----------

Flash tut for unpacking eXPressor 1.5.0.1 full protection with Universal Import Fixer ( UIF ).

download tut : (~1.8 meg)

rapidshare.com/files/83088593/eXpressor.1.5.0.1.Full.Mup.Magic_h2001.rar.html

| Сообщение посчитали полезным:

tempread пишет:
Я, конечно, утверждать не могу, но думаю
Дежавю ;) Где то видел подобный вопрос по импреку А чего ты гадаешь будет не будет возьми да проверь

| Сообщение посчитали полезным:

море инфы мну недоступно
//страничка не грузитЦа
и пока не дуплю чего от неё мне надо.
Насколько понял переносим иат,по типу утили адмирала?
--------------
Прикольно, как накрытая тулзень "железяки" на адреса обходит, и не прерываетЦа на них.
Понимаю, что унпачить уже параноя , но умну чего-то дампик вышел на 6 метров.
Нехило нспак жмёт..

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
Нехило нспак жмёт..

Интересно, это автоматический скремблер поверху или ручками сделано

| Сообщение посчитали полезным:

Gideon Vi
Фиг знает, мну nspack не часто попадаетЦа. На аппаратный hr esp-4, он ловитЦа. Прерываешься на длинном джампе, потом по ф7 заходишь в секцию кода.
Мне непонятно почему при включонной опции в фантоме
[+] - protect DRx
Железяки на адрес не срабатывают.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
На аппаратный hr esp-4
типа того:
var oep

gpa "LoadLibraryA","kernel32.dll"
bp $RESULT
erun
bc eip
rtu
GMEMI eip, MEMORYBASE
mov oep,$RESULT
find oep,#619DE9#
/*
00992544 61 POPAD
00992545 9D POPFD
00992546 - E9 E994ACFF JMP UIF.0045BA34
*/
cmp $RESULT,0
je quit
mov oep,$RESULT+2
bp oep
erun
bc eip
sti
msg "oep faund"

| Сообщение посчитали полезным:

Date : 2005.02.23
она три года в привате чтоле была?

| Сообщение посчитали полезным:

tempread пишет:
Учитывая то, что протектор может вместо "NOP после директ джамп" писать случайный байт, НЕВОЗМОЖНО определить, какой байт,снизу или сверху,нужно использовать для восстановления jmp'а.
+1
Хотя решение интересное.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Для востановление Import Elimination в Armadillo, лучше не пользоватся.
Хотя если не важен результат, то можно.
Для сравнения:

8b8d_12.01.2008_CRACKLAB.rU.tgz - Import.txt

| Сообщение посчитали полезным:

Потестил на PeSpin работает 100% достаточно сбросить импорт в табличку
С HyperUnpackMe то же все на ура Добавляем секцию Меняем после VirtualAlloc
EAX 008C0000 на 01123000
EAX 008D0000 на 01126000
Встаем на оеп запускаем утиль и пишем табличку по старому адресу 01001000 Дамп импрек и фиксим скриптом ссылки в последних секциях из старой иат в новую для запуска на всех осях
Приятная утиль экономит много времени

| Сообщение посчитали полезным:

кто нибудь тестил с TheMida?
особенно зафемидовыми dll-ми...

| Сообщение посчитали полезным:

Universal Import Fixer (UIF) v1.0 FINAL

Final version released :

News in Final version (2008.01.15):

-Some small bugs fixed.
+Algorithm improved for very big IAT size.
+Auto fill improved for detecting dlls correctly.

Download (~160 kb) :

magic.shabgard.org/UIF.zip

www.exetools.com/forum/showthread.php?t=11382

| Сообщение посчитали полезным:

icerix пишет:
кто нибудь тестил с TheMida?
завиртуализированые API оно точно не фиксит

| Сообщение посчитали полезным:

к тому же, если автор тулзы ориентировался на взаимодействие с ImpREC, то ему стоило выдавать RVA не относительно базы загруженного модуля, а относительно той что указана в PE заголовке

| Сообщение посчитали полезным:

drin
Смотри мувик пока не поймешь для чего тулза и вопросы такие отпадут

| Сообщение посчитали полезным:

pavka пишет:
Смотри мувик
А что есть "мультик" по юзабили?
//океан инфы мну не доступен...

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco
Мультик-это, видимо то, что выкладывалось в 3 посте данного топика (шапка, от неё 3-й пост), флаш-тутор по распаковке. С таким рангом заблудиццо на 1 странице-покайся, грешник Зная твою любовь к флуду-не отвечай, пожалей свой ранг

| Сообщение посчитали полезным:

Bronco пишет:
А что есть "мультик" по юзабили?
Ну да, мульт показывающий применение тулзы при снятии Expressor'a rapidshare.com/files/83088593/eXpressor.1.5.0.1.Full.Mup.Magic_h2001.rar.html

-----
Программист SkyNet

| Сообщение посчитали полезным:

Сенькс за синема
//не BMW конечно,но таксовать можно...
12 мега по ходу утиля резервирует, или пакер нашалил.
Пошинковал дамп,вроде работает.(400 кило)

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Обьясните тупице и ламеру и чайнику в одном лице, я не вьехал.
посмотрел мувик, думаю вау, сел распаковывать длл (слегка совсем пошифорванная Тэмидой)
целый день химичил.

все вызовы тулза в дллке фиксит, но как импорт востановить я невьехал.
1. тулза перенаправляет все вызовы api через новосозданную табличку в которой прописаны прямые адреса
2. из этих адресов imprec реконструирует Import таблицы
Но! imprec добавляет новую import секцию по совсем другому адресу же, а вызовы так и происходят по той табличке по которой imprec импорты востанавливает, т.е что есть новая import секция, что ее нету, пофиг.
в мувике тоже самое, новый IAT по одному адресу, а новая секция по другому.
в чем мой тупизм?
в imprec галка Create New IAT стоит но нихрена неделает, кстати вообще чего она делает?

Обьясните по пальцам пожалуйста, я взломом очень давно занимался, уже навык потерял, все позабыл, а уже другие времена.
а очень нужно с одной дллки темиду снять, темида на ддлке ну очень легко навешана, просто чтобы кул-хацкеры ручками нелазали и на производительность невлияло.

Заранее спасибо.

| Сообщение посчитали полезным:

maxlosyam
там небольшая часть импорта виртуализирована

maxlosyam пишет:
толку 0, а свои "фичи" прикрутить к клиенту из-за этого неполучается
как раз толк есть, что бы такие как ты не хексили Я все свои фичи прикрутил...

| Сообщение посчитали полезным:

drin:
там небольшая часть импорта виртуализирована
как раз толк есть, что бы такие как ты не хексили Я все свои фичи прикрутил...
лучше подскажи куда копать.

| Сообщение посчитали полезным:

drin
maxlosyam
Заканчивайте вести тему не в ту сторону. Либо в личке общайтесь, либо в запросы на взлом, ибо тема не туда пошла. Будет продолжаццо-посты буду тереть нещадно.

| Сообщение посчитали полезным:

News in Final version (2008.02.23):
====================================
+Algorithm improved for better fixing Directly imports.
+Show modules count and progress in StatusBar.
-GUI bug fixed on large fonts >=120 dpi.



aa76_22.02.2008_CRACKLAB.rU.tgz - UIF-Final.zip

| Сообщение посчитали полезным:

Инструмент обновился до версии 1.2.

Universal Import Fixer v1.2 Stable (2008.04.04):

+ Algorithm improved for Fast Speed
- Option 'Main exe Exports' removed (now UIF can detect it automatically)
- Option 'Fix NtDll to Kernel32' removed (now UIF can detect it automatically)
- Minor Bugs fixed

magic.shabgard.org/UIF-12.zip (170 kb)

| Сообщение посчитали полезным:

v1.2 FINAL (2008.04.19):
========================
+Now UIF can process Ring0 Hooked APIs (KAV,ZoneAlarm,... etc).
-Minor Bugs fixed.

download (~170kb): magic.shabgard.org/UIF-12-Final.zip

| Сообщение посчитали полезным:

Just Dll release...

v1.2 FINAL update (2008.06.15):
===============================
+Code Optimized again for better result.
+UIF.dll released (for using UIF in other applications).
Coded with pure Api,very fast and small size.


download : (~180kb):

_http://magic.shabgard.org/UIF-12-Final.zip

| Сообщение посчитали полезным: