Написал тут кое-чего. Посмотрите. Хотя эта программа вряд ли кому-то понадобится )) Написано на VB
=================
DumpImportFinder 1.0
=================

После того, как мы сдампили прогу, первое, что приходит на ум - восстановить импорт замечательной программой Import REConstructor.
Но после некоторых пакеров (например, PECompact) она восстанавливаться никак не хочет... Приходится искать его вручную.
Эта программа призвана находить таблицу импорта в дампе, который мы получаем после снятия дампа памяти распакованной программы.

85bb_04.12.2006_CRACKLAB.rU.tgz - ImportFinder.zip

-----
Уважайте других и пишите грамотно.

| Сообщение посчитали полезным:

Executioner
Ради интереса на нем самом проверил ни фига не находит ;)

| Сообщение посчитали полезным:

pavka пишет:
Executioner
Ради интереса на нем самом проверил ни фига не находит ;)
Тоже самое - попробовал на 7 различных программах, результат один - Nothing found!

| Сообщение посчитали полезным:

он на VB. с ним ничего не выйдет.
снимите дамп и натравите на дамп прогу. у меня все работает)
Если снова не будет работать - говорите.

-----
Уважайте других и пишите грамотно.

| Сообщение посчитали полезным:

вообще она работает только с прогами, которые импортируют GetModuleHandleA
может адрес ее неверно определяет...

-----
Уважайте других и пишите грамотно.

| Сообщение посчитали полезным:

> он на VB. с ним ничего не выйдет.
ну и чё... прикинь MS релизят винду и говорят, новые девайсы не поддерживаются, т.к. ядро на плюсах... не вижу смысла...

-----
Shalom ebanats!

| Сообщение посчитали полезным:

SLV просто vb-программа импортирует только MSVBMХХ.dll, поэтому эта прога и не определяет импорт в vb-программах. щас профиксим.

-----
Уважайте других и пишите грамотно.

| Сообщение посчитали полезным:

дык неплохо бы алго описывать, а то хрен пойми чего она там и где ищет...

| Сообщение посчитали полезным:

Executioner
А ты отдельно сделай для vb он валяется как правило по одному адрессу 401000

| Сообщение посчитали полезным:

Вот версия 1.1)) Вроде должна работать.
Кстати, значения, которые она выдает - это не rva, о смещение в файле.
Импорт VB-прог определяет. Спасибо pavka ))
Тестируем!

-----
Уважайте других и пишите грамотно.

| Сообщение посчитали полезным:

вот.

d292_05.12.2006_CRACKLAB.rU.tgz - ImportFinder.zip

-----
Уважайте других и пишите грамотно.

| Сообщение посчитали полезным:

Тулза не имеет право на жизнь. Вот если бы она процессом оперировала и сканировала на предмет адресов из подгруженых DLL, то тогда можно было бы и развить, а так просто учимся писать на VB, готов поспорить секции там вообще не учитываются ;)

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
а так просто учимся писать на VB
на VB пишем уже 5 лет как ;)
С процессами на VB работать очень сложно( Будем переписывать на ассемблере.
Какие будут предложения или пожелания? Просто не хотелось бы сделать клон ImpRec))

-----
Уважайте других и пишите грамотно.

| Сообщение посчитали полезным:

Executioner пишет:
Просто не хотелось бы сделать клон ImpRec
И не получится ИМХО. Да и в импреке в принципе всё есть, что напрягает, так это его система поиска АПИ и механизм работы с плугинами. Тока чтобы написать нечто подобное ImpREC надо изучить МНОГО инфы и затратить довольно много времени. Я начинал писать свой проект, но заморозил т.к. как раз времени то и нет совсем.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Executioner пишет:
на VB пишем уже 5 лет как
оффтоп
по этому выражению вспомнился сегодня случай. Меня студент на паре "опустил" по полной тем что он и на паскале и на Си и на делфи уже несколько лет пишет, а потом сидел почти час над заданием сортировки массива, выдал что это сильно сложно и пошел кидать кнопки на форму. В журнал ему пошла двоечка
/оффтоп

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill
Может у него и время есть и желание ;) пусть пишет чего его отговаривать ? Не троя не вирусы полезную тулзу хочет написать ;) пусть пишет

| Сообщение посчитали полезным:

Дык а я и не отговариваю, просто говорю, что это очень долгий и трудный проект, если есть время и желание, то конечно пусть пишет...

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

эх... после сессии займусь вплотную.

-----
Уважайте других и пишите грамотно.

| Сообщение посчитали полезным:

PE_Kill
[offtop]
забавно другое, следующим таким штудентом может оказаться какой-нибудь "активист" данного форума.
мде, еще один препод открылся и главно тоже модер =)
[/offtop]

| Сообщение посчитали полезным:

Неа, я не препод, я на замене. Преподом не стану, ибо поубиваю нахер этих придурков.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Executioner пишет:
эх... после сессии займусь вплотную.

если реально будешь писать, можем объеденить усилия, есть кое-какие наработки + PE_Kill
наставлял на путь истЕнный

PE_Kill пишет:
Неа, я не препод, я на замене. Преподом не стану, ибо поубиваю нахер этих придурков.

прально, ибо нех)

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

PE_Kill, за 'пошел кидать кнопки на форму' +1

| Сообщение посчитали полезным:

Hellspawn пишет:
можем объеденить усилия, есть кое-какие наработки
Можно попробовать.

-----
Уважайте других и пишите грамотно.

| Сообщение посчитали полезным:

PE_Kill
бедные штуденты, мне их даже жалко ;)

Executioner
хоть мне и без надобности такой утиль (хиевом удобее будет), но откомментируюсь:
1) выдавать файловые смещения бессмысленно (все тот же хиев, опять же рулит), хотя бы по IMAGE_SECTION_HEADER'ам пробежаться надо, имхо.
2) и опять же *вытягивать* описание чего же она там ищет не хочется. впринципе понятно что ищется адрес GetModuleHandleA и что-то там еще для бейсика. но все-же предпочитаю иметь описание того что будет делаться.

PS ой, в ридми к последней версии про RVA уже написано

| Сообщение посчитали полезным:

Executioner
Есть такая прога - ArmInline - она написана на васике, и ищет примерное нахождение иат в указанном процессе Вот на неё в первую очередь и ориентируйся, если доработать - будет полезная штука.

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

васик очень очень хреново работает с указателями( и литература по работе с указателями в VB очень скудная. поэтому с процессами работать уж очень тяжко.... поэтому все это дело уже начало переписываться на АСМ.
еще.. может кто-нить подскажет, где найти хорошее описание РЕ-формата, а то некоторые вещи я не очень понимаю. вроде видел на waswm'е, но сейчас что-то не могу найти.

-----
Уважайте других и пишите грамотно.

| Сообщение посчитали полезным:

Executioner

www.wasm.ru/doclist.php?list=2

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn, спасибо большое. У меня в архиве этого почему-то нет...

-----
Уважайте других и пишите грамотно.

| Сообщение посчитали полезным:

Ну а я могу заняться дизигном + ГУЯми.
Так что камон! Больше проектов хороших и разных.

| Сообщение посчитали полезным:

Grim Fandango
Grim Fandango пишет:
Ну а я могу заняться дизигном + ГУЯми.
PE_Kill пишет:
пошел кидать кнопки на форму
хе-хе)

-----
Уважайте других и пишите грамотно.

| Сообщение посчитали полезным: