| Сейчас на форуме: zds, kris_sexy, ==DJ==[ZLO] (+7 невидимых) |
 |
eXeL@B —› Крэки, обсуждения —› ImpRec Revolution :) |
| . 1 . 2 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 13 июня 2006 09:53 · Личное сообщение · #1 Почему бы не создать новый ImpRec на основе драйвера(метода) Syd'a?Просто иногда простым ImpRec'om бывает очень сложно восстановить импорт,а этот метод понадёжнее будет.Или объеденить все стрипперы в одну оболочку(так сказать доделать QuickUnpacker),ведь везде испульзуется этот драйвер Engine.sys by Syd.  |
|
|
Создано: 13 июня 2006 09:55 · Личное сообщение · #2 Исходники ты даш? 
|
|
|
Создано: 13 июня 2006 09:55 · Личное сообщение · #3 везде - это например в :AsProtect Stripper,ArmStripper,QuickUnpacker. |
|
|
Создано: 13 июня 2006 09:56 · Личное сообщение · #4 Исходники?
Я только предлагаю кодерам такое замусолить |
|
|
Создано: 13 июня 2006 10:00 · Поправил: maikkri5ki · Личное сообщение · #5 Я имею в виду то, что никто с нуля это писать никто не будет! А исходников стриперов и импрека нет, так что .... 
И к тому же бесперспективная идея. |
|
|
Создано: 13 июня 2006 10:01 · Личное сообщение · #6 Вовсе не бесперспективная идея.Исходники есть у авторов того,чего я уже выше писал.Во как. |
|
|
Создано: 13 июня 2006 10:04 · Личное сообщение · #7 XQuader пишет Или объеденить все стрипперы в одну оболочку И получиться абра-кадабра
XQuader пишет: Исходники? Я только предлагаю кодерам такое замусолить А че мутить то ? вон syd закрыл проэкт stripper'a попроси у него исходники
maikkri5ki пишет: А исходников стриперов и импрека нет, так что ... У меня например есть исходники от QuickUnpack'a и Stripper'a ;) |
|
|
Создано: 13 июня 2006 10:13 · Личное сообщение · #8 Там не вдрайвере восстановление идет. Драйвер это только отладчик ring0, чтобы не юзать DebugAPI. А само алго простое, составляем массивы DWORD'ов (адресов АПИ) из загруженых DLL и ищем все рефернсы на них в программе, так сказать ищем потенциальную IAT. Затем лишнее отрезаем, сортируем выделяем начало и конец IAT и ребилдим. Всё тоже, что делает ImpREC, но он берет первый рефернс, и идет по IAT пока не встретит адрес, который не является адресом АПИ. Это он считает концом IAT. Т.е. он сглючивает на мусоре. А искать он начинает от OEP, поэтому может зацепить IAT прота, тогда это будет не та IAT. Вот и всё алго и никакой тайны тут нет, чистая математика. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 13 июня 2006 10:39 · Личное сообщение · #9 Z0oMiK Ну от Stripper'a и у меня есть к примеру.
|
|
|
Создано: 13 июня 2006 10:56 · Личное сообщение · #10 XQuader пишет: Почему бы не создать новый ImpRec на основе драйвера(метода) Syd'a? Идея неплохая только кто этим будет заниматься |
|
|
Создано: 13 июня 2006 11:06 · Личное сообщение · #11 а смысл? ImpRec при умелом подходе почти всё восстанавливает, а основное алго PE_Kill написал, ничего сложного нету, можно и с 0 это всё грамотно реализовать... только зачем?
----- [nice coder and reverser] |
|
|
Создано: 13 июня 2006 11:13 · Личное сообщение · #12 Иногда и при умелом подходе сложно восстановить импорт через ImpRec.А второй метод по-моему отлавливает все вызовы библиотек,берёт с них весь экспорт и прикручивает к екзешнику,что намного быстрее и лучше. |
|
|
Создано: 13 июня 2006 11:16 · Личное сообщение · #13 По-моему ,стоит написать новый ImpRec.В хозяйстве пригодится. |
|
|
Создано: 13 июня 2006 11:22 · Личное сообщение · #14 столько энтузиазма, а вот ты возьми и напиши ) не у всех есть столько свободного времени... да и вроде была как-то подобная идея, успехом не увенчалась 
----- [nice coder and reverser] |
|
|
Создано: 13 июня 2006 11:26 · Личное сообщение · #15 Hellspawn И эта идея тоже успехом не увенчается. |
|
|
Создано: 13 июня 2006 12:03 · Личное сообщение · #16 Этим уже заниается BUGOR, вот ему-то исходники от стриппера и надо дать... а то получается, что исходники у всех есть, а толку нету... http://exelab.ru/f/action=vthread&forum=6&topic=5251 Было бы неплохо, если реализация была бы выполнена в виде плагина под ollydbg, а то ollydbg хромает при восстановлении импорта. maikkri5ki пишет: с нуля это писать никто не будет А BUGOR вот решил писать с нуля... maikkri5ki пишет: И эта идея тоже успехом не увенчается Не говори гоп... У самого-то хоть одна идея увенчалась успехом, если - да - расскажи, а не обламывай других на полпути! Будем надеяться, что FEUERRADER и, возможно, PE_Kill помогут челу написать восстановление импорта и прикрутить к ollydbg ;) |
|
|
Создано: 13 июня 2006 12:08 · Личное сообщение · #17 [dicr0n] А тебе интересно до моих идей, умник? Раз такой умный, иди и помоги ему тоже! Сорри за офтоп. |
|
|
Создано: 13 июня 2006 12:15 · Личное сообщение · #18 maikkri5ki пишет: Сорри за офтоп. Ясно, только оффтопить и можешь, причем, с успехом ;) Вот скоро таким образом наберешь высокий ранг, ну а дальше как по статье intty ;) Если бы я мог помочь, то помог бы без базара, но я в этой области не копался... |
|
|
Создано: 13 июня 2006 12:40 · Личное сообщение · #19 [dicr0n], я пока решил написать всего-лишь унпакер для FSG, ничего более
|
|
|
Создано: 13 июня 2006 13:03 · Личное сообщение · #20 BUGOR пишет: всего-лишь унпакер для FSG Считаю, что восстановление импорта вполне подойдёт и для большинства других пакеров/протекторов |
|
|
Создано: 13 июня 2006 13:22 · Личное сообщение · #21 Z0oMiK .....Или объеденить все стрипперы в одну оболочку А что интересная мысль! QuickUnpack отлично сделан почему бы с помощью плагинов не попробовать! |
|
|
Создано: 13 июня 2006 13:35 · Поправил: PE_Kill · Личное сообщение · #22 [dicr0n] написание анпакера для простого пакера не требует создания чего то, что напоминало бы импрек даже отдаленно. По крайней мере я еще с таким не встречался. Даже у простых протов это можно сделать, да что там у простых я и у АСПРа восстанавливал без импрека. импрек нужен для мануал распаковки, когда скриптом долго, или при очень крутых защитах. В АСПРе например это просто очень долго, поэтому лучше импрек, или как сделал Syd. А написания импрека для анпакера простого пакера говорит лишь о том, что чел практически не разбирался с кодом пакера. Что то типа HR ESP-4 and ImpREC. Если разобрать алго работы с IAT, то можно и так всё восстановить, ну а если не хочется копаться, то о каком анпакере может идти речь? Взял QU и вперед. Всё это ИМХО конечно. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 13 июня 2006 13:41 · Личное сообщение · #23 pavka Ну так в чем проблема то я не понимаю ? SDK для QU есть сиди да пиши на здоровье 
|
|
|
Создано: 13 июня 2006 13:47 · Личное сообщение · #24 Z0oMiK Проблеммы нет! Я только не понял почему ты считаешь это абракадаброй ?
Если это уже и так есть ! |
|
|
Создано: 13 июня 2006 13:59 · Личное сообщение · #25 PE_Kill пишет: для простого пакера не требует создания чего то, что напоминало бы импрек даже отдаленно А FSG,Upack разве относятся к протекторам? Однако импорт восстанавливать всё-равно нужно... QU именно так и делает, кстати, через imprec.dll и syd.method |
|
|
Создано: 13 июня 2006 16:38 · Личное сообщение · #26 Хотите написать плагин для ImpRec? Кстати, сорри за оффтоп - где можно скачать его новую версию? |
|
|
Создано: 13 июня 2006 18:39 · Личное сообщение · #27 Looney пишет: Кстати, сорри за оффтоп - где можно скачать его новую версию? Нвых версий уже нет, последняя 1.6 FINAL |
|
|
Создано: 13 июня 2006 22:28 · Личное сообщение · #28 Как у меня появится побольше свободного времени, возьмусь доделкой восстановления импорта по методу сида, а пока не знаю чем помочь в таком бесперспективном сабже. |
|
|
Создано: 14 июня 2006 03:42 · Личное сообщение · #29 agentru пишет: Нвых версий уже нет, последняя 1.6 FINAL Да в привате какая то версия валяется на pub не выкладывают
|
|
|
Создано: 14 июня 2006 04:58 · Личное сообщение · #30 FEUERRADER Как у меня появится побольше свободного времени, возьмусь доделкой восстановления импорта по методу сида..... Неплохо бы было сделать возможность сохранять в формате импрек tree |
| . 1 . 2 . >> |
|
eXeL@B —› Крэки, обсуждения —› ImpRec Revolution :) |
Для печати