MackT
Author website http://www.tuts4you.com/forum/showtopic=6410
Description This tool is designed to rebuild imports for protected/packed Win32 executables. It reconstructs a new Image Import Descriptor (IID), Import Array Table (IAT) and all ASCII module and function names. It can also inject into your output executable, a loader which is able to fill the IAT with real pointers to API or a ripped code from the protector/packer (very useful against emulated API in a thunk).

Sorry but this tool is not designed for newbies, you should be familiar a bit with manual unpacking first (some tutorials are easy to find on internet).

Features:

- Imports
- An original tree view
- 2 different methods to find original imports (by IAT and/or API calls)
- A *FULL* complete rebuilder (including a new fresh IAT)

- Loader
- An analyzer and ripper of redirected API code
- An injected loader code to support mix of imports + ripped code in a thunk
- A heuristic relocator

- Tracers
- 3 default tracers (disasm, hook & ring3) to find APIs in redirected code
- A plugin interface to develop your own tracers

- Misc
- Support ALL 32/64bits Windows (9x, ME, NT, 2k, XP and Vista32/64)
- An export renormalizer for Win9x/ME (ala Icedump)
- A built-in coloured disasm/hex-viewer to analyze the redirected code
- A built-in dumper
- Support almost all known antidump tricks

www.tuts4you.com/request.php?415

| Сообщение посчитали полезным:

Добавлю, что это не новая версия ImpRec'а, а пропатченная версия 1.6.

Changes in Version 1.7:

- Fixed RestoreLastError API set to SetLastError for WinXP/Vista compatibility (MaRKuS_TH-DJM)
- user32.dll is always read from the system, prevents a crash from corrupted PE of user32.dll (MaRKuS_TH-DJM)
- Latest version of psapi.dll (6.0.6000.16386) included
- Fixed Vista64 crash bug (jstorme)
- GUI modified and improved (based upon Fly's modification)
- Updated/corrected plugins and deleted dups

| Сообщение посчитали полезным:

kioresk пишет:
Добавлю, что это не новая версия ImpRec'а, а пропатченная версия 1.6.
Может быть это распакованая патченая версия флая Но плугов там богато для не самых хилых протов..
.00400000: 4D 5A 40 00-01 00 00 00-02 00 04 00-FF FF 02 00 MZ@   
.00400010: 40 00 00 00-0E 00 00 00-1C 00 00 00-00 00 00 00 @
.00400020: 57 69 6E 33-32 20 6F 6E-6C 79 21 0D-0A 24 0E B4 Win32 only! $ ┤
.00400030: 09 BA 00 00-1F CD 21 B8-01 4C CD 21-40 00 00 00 ║ ═!╕ L═!@
.00400040: 50 45 00 00-4C 01 04 00-34 19 20 3F-5B 4C 6F 72 PE L 4 ?[Lor
.00400050: 64 50 45 5D-E0 00 0F 01-0B 01 06 00-00 C0 04 00 dPE]α └

| Сообщение посчитали полезным:

Это да, в комплекте идет 60 плагинов:

1. ACProtect #1
2. ACProtect #2
3. ACProtect #3
4. Alex Protector
5. Armadillo 2.6
6. ASProtect 1.22
7. ASProtect 1.23 rc4
8. ASProtect 1.2x Emul API #1
9. ASProtect 1.2x Emul API #2
10. ASProtect 1.2x
11. ASProtect 1.3
12. ASProtect 2.xx
13. CoolCrypt
14. Cryptocrack's PE Protector
15. Excalibur
16. ExeCryptor
17. EXEStealth275
18. Expressor 1.5.x
19. ExtOverlay
20. GoatsPEMutilator16
21. Krypton 0.4 - 0.5 #1
22. Krypton 0.4 - 0.5 #2
23. Krypton 0.5
24. Morphine
25. NTKrnl Protector 0.1.x
26. Null
27. Obsidium #1
28. Obsidium #2
29. Obsidium #3
30. Obsidium 1.3
31. PE123
32. PECompact 2.7.x
33. PELock 1.06 (regged)
34. PELock 1.0x
35. Perplex101
36. PESpin
37. PESpinPlugin
38. PrivateExeProtector 1.8
39. Privilege
40. Protection Plus 4.x
41. RLPack 0.7
42. RLPack 0.7.x
43. RLPack 0.x
44. RLPack 1.16
45. RLPack 1.18
46. SDProtector 1.12
47. SVK Protector #1
48. SVK Protector #2
49. tELock 0.71
50. tELock 0.92
51. tELock 0.98 #1
52. tELock 0.98 #2
53. tELock 0.98 #3
54. tELock 0.98 #4
55. tELock 0.98 #5
56. tELock 0.99
57. tELock 0.9x
58. TPP
59. VisualProtect
60. Yoda Crypter 1.02

| Сообщение посчитали полезным:

kioresk пишет:
в комплекте идет 60 плагинов
Даже есть сорцы к некоторым
-----------
Интересуюсь без "козы" на пальцах, когда последний раз юзали плуги..

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Верно подметил, сейчас плагины не так актуальны, как раньше, поскольку есть более простое и гибкое решение — скрипты.

Сам последний раз плагином пользовался больше года назад.

| Сообщение посчитали полезным:

kioresk пишет:
56. tELock 0.99

У меня другой вопрос: кто-нибудь может этой версией пакера поделиться?

| Сообщение посчитали полезным:

Gideon Vi пишет:
kioresk пишет:
56. tELock 0.99

У меня другой вопрос: кто-нибудь может этой версией пакера поделиться?
держи:
dump.ru/files/o/o434558973/

| Сообщение посчитали полезным:

Import Reconstructor v1.7a

- Misc
- Fixed Win2K crash, AllocConsole was replaced with ActivateActCtx (jstorme)

www.tuts4you.com/download.php?view.415

| Сообщение посчитали полезным:

[off]
простите, а чем отличается tELock 0.99 от 0.98?

| Сообщение посчитали полезным:

alexey_k пишет:
простите, а чем отличается tELock 0.99 от 0.98?

сие есть тайна Судя по показаниям peid есть ещё 1,0 приватный, но мне не попадался

| Сообщение посчитали полезным:

Gideon Vi пишет:
ещё 1,0 приватный, но мне не попадался
есть еще XXX

| Сообщение посчитали полезным:

Неплохо кстати импортрек пофиксили...

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
Неплохо кстати импортрек пофиксили...

Вообще MackT умница, после импрека уже никакие тулзы для восстановления импорта не воспринимаются серьезно... ИМХО

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

да, теперь не надо так часто вручную вписывать начало таблицы импорта после скрипта Volx

-----
Ламер - не профессия :))

| Сообщение посчитали полезным:

что-то не понятно, макт вернулся за разработку или это реверсеры код дописывают?

| Сообщение посчитали полезным:

Av0id пишет:
что-то не понятно, макт вернулся за разработку или это реверсеры код дописывают?

правый нижний угол ссылка на tuts4you ни о чем не говорит?

| Сообщение посчитали полезным:

DaRKSiDE пишет:
после импрека уже никакие тулзы для восстановления импорта не воспринимаются серьезно
Дык...чтоб пересчитать наличие инструмента, для этих задач, , пальцев на одной руке будет многовато...
А вот наши, всё же краше...
//Мну про QUnpack

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Av0id пишет:
что-то не понятно, макт вернулся за разработку или это реверсеры код дописывают?
Дописываю ;) Китайцы еще парочку выложили...

| Сообщение посчитали полезным:

pavka пишет:
Дописываю ;)

Дописываешь?

pavka пишет:
Китайцы еще парочку выложили...

Дык кидал бы сразу сюда - у них пока что сольёшь

| Сообщение посчитали полезным:

kioresk пишет:
26. Null
Кто-нибудь знает для чего этот плагин?

| Сообщение посчитали полезным:

Djeck пишет:
Кто-нибудь знает для чего этот плагин?

мей би пустышка - как пример?

| Сообщение посчитали полезным:

Djeck
Это пустышка. Просто сканпелировали темплейт из сдк и воткнул в плагины. он ниче не делает

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Переложите куда нибудь если можно.

| Сообщение посчитали полезным:

hxxp://dump.ru/files/o/o7881852994/
или
hxxp://rapidshare.com/files/95136037/ImpREC_17a.rar

| Сообщение посчитали полезным:

Обновился сабж до версии 1.7b
rapidshare.com/files/97890013/ImpREC_1.7b.rar.html

| Сообщение посчитали полезным:

VaZeR
Написал бы, что там поменялось то.

Уже нашёл:
- Misc
- Fixed invalid API bug in user32.dll on Windows 98 (jstorme)
- Modified code to improve support for discardable/unreadable sections (jstorme)
- Fixed ImageBase problem with DLL's when "Use PE Header from Disk" is checked (jstorme)
- Added an "ImpREC Classic" looking version

| Сообщение посчитали полезным:

VaZeR
А официальный источник не лучше разве?
www.tuts4you.com/request.php?415

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Import REConstructor 1.7c

- Fixed bug introduced in 1.7b when DLL's have discardable sections (jstorme)

tuts4you.com/download.php?view.415

| Сообщение посчитали полезным:

Одни баги фиксят, другие добавляют

| Сообщение посчитали полезным: