| Сейчас на форуме: bartolomeo, johnniewalker, NIKOLA, vasilevradislav (+6 невидимых) |
 |
eXeL@B —› Софт, инструменты —› DumpImportFinder 1.0 |
| << . 1 . 2 . 3 . |
| Посл.ответ | Сообщение |
|
|
Создано: 04 декабря 2006 06:39 · Личное сообщение · #1 Написал тут кое-чего. Посмотрите. Хотя эта программа вряд ли кому-то понадобится )) Написано на VB ================= DumpImportFinder 1.0 ================= После того, как мы сдампили прогу, первое, что приходит на ум - восстановить импорт замечательной программой Import REConstructor. Но после некоторых пакеров (например, PECompact) она восстанавливаться никак не хочет... Приходится искать его вручную. Эта программа призвана находить таблицу импорта в дампе, который мы получаем после снятия дампа памяти распакованной программы.  85bb_04.12.2006_CRACKLAB.rU.tgz - ImportFinder.zip
----- Уважайте других и пишите грамотно.  |
|
|
Создано: 24 декабря 2006 23:58 · Поправил: PE_Kill · Личное сообщение · #2 Enter PID(in dec):2896 Modules Analysed:2 <- почему 2? Там 36 модулей! Module:7c900000, EAT RVA:395c, Export Function Count:1315 Module:7c800000, EAT RVA:2644, Export Function Count:949 In Main function. At all 2264 functions Please wait while sorting table... In sort function. Read 2264 elements. Sort complete! Reading process memory info... Reading process memory... Scaning memory to IAT... Scan is Completed. IAT RVA Got:7000 Size:c4 ^^^^^^^^^^^^^^^^^^^^^ Нифига не правильно PS Вводить PID в DEC это вообще маразм. Хотя бы в HEX сделал. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 25 декабря 2006 00:04 · Личное сообщение · #3 После какой страницы обсуждения данная программа начнёт работать? Ваши ставки? |
|
|
Создано: 25 декабря 2006 01:24 · Личное сообщение · #4 PE_Kill пишет: Нифига не правильно почему 2? Там 36 модулей! Что не правильно? 2 модуля - Kernel32, ntdll. PE_Kill пишет: IAT RVA Got:7000 Size:c4 Все правильно, и ImpRec то же самое выдает, и в IAT Directory Size это же значение, и физически. |
|
|
Создано: 25 декабря 2006 01:41 · Личное сообщение · #5 PE_Kill пишет: PS Вводить PID в DEC это вообще маразм. Хотя бы в HEX сделал. Хе-хе тут много ума не надо заюзал одну функцию API и все OK! Ты ей DEC, а она тебе HEX =)) Ну, а HexEdit или еще круче HexEditComboBox это надо повозиться день примерно. Прикрутить вылет подсказок (ради прикола), проверки на правильность вводимого содержимого, буфер проверять при PASTE и контроль над нажимаемыми клавишами… Думаю можно создать тему цель, которой Написал кто-нибудь модуль и выложил его там ну для примера HexEdit (сорс), кто-то пишет крэкерский софт, но ему влом писать допкомпоненты и тут можно будет зайти в эту тему скачать то, что нужно или попросить, чтобы написали, обсудить что непонятно… и т. д. ЗЫ: именно компоненты для крэкеров, быстрее ведь будет писаться софт для взлома!? ----- ЗЫ: истЕна где-то рядом, Welcome@Google.com |
|
|
Создано: 25 декабря 2006 02:26 · Личное сообщение · #6 HoBleen пишет: Все правильно, и ImpRec то же самое выдает, и в IAT Directory Size это же значение, и физически. Гмм, а ты откуда знаешь? Ты же даже не знаешь на какой я проге проверял. Там не правильно. Это раз. Второе: HoBleen пишет: Что не правильно? 2 модуля - Kernel32, ntdll. И? А остальные функции идут лесом? Короче не работает тулза. Надо больше проверок на валидность ИАТ, проверки call/jmp, нулевые терминаторы (границы ДЛЛ) и т.д. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 25 декабря 2006 02:27 · Личное сообщение · #7 Demon666 пишет: Ну, а HexEdit или еще круче HexEditComboBox это надо повозиться день примерно. В смысле над таким галимым компонентом день сидеть? Это на чем писать, на машинном коде что ли? ----- Yann Tiersen best and do not fuck |
|
|
Создано: 25 декабря 2006 02:47 · Личное сообщение · #8 PE_Kill По порядку. Про количество модулей и результат - подозрительно ПОЛНОСТЬЮ совпадает с самой прогой. Извиняюсь, конечно, но мб ты ошибся с выбором PIDа? Если нет, может выложишь прогу на которой она обламывается? По поводу алгоритма. Считываются все адреса ф-й длл из таблицы экспорта. Далее просматривается ВЕСЬ основной модуль, ищется наибольшая последовательность указателей на эти ф-и (ессно с поправками на разделители между ддл'ками - и не только нулевые). Сам код не просматривается на наличие jmp/call. |
|
|
Создано: 25 декабря 2006 02:57 · Личное сообщение · #9 Так а ты не думаешь, что количество функций проги импортируемых из kernel32 и ntdll может быть меньше, чем в начальной ИАТ пакера? тогда твоя тулза покажет ИАТ пакера, а не проги. Прога Alt MP3 to WAV Converter. h__p://www.nesoft.org/alt-mp3-wav-converter.shtml. Тока я проверял на кракнутом exe можно слить с ревенж крюв, там WinUpack ----- Yann Tiersen best and do not fuck |
|
|
Создано: 25 декабря 2006 03:14 · Личное сообщение · #10 PE_Kill Да что ты привязался к kernel32 и ntdll? Я сказал это для самой проги, а не в общем случае! Конечно, проверяются все подгруженные модули. Прогу ща посмотрю. |
|
|
Создано: 25 декабря 2006 03:23 · Личное сообщение · #11 Так у той проги 36 модулей а тулза показала что 2 ----- Yann Tiersen best and do not fuck |
|
|
Создано: 25 декабря 2006 03:36 · Поправил: Demon666 · Личное сообщение · #12 PE_Kill пишет: В смысле над таким галимым компонентом день сидеть? Это на чем писать, на машинном коде что ли? PE_Kill Да нет, тут чуть по-другому, имелось ввиду чистый API. Мне в своем плуге для Оли писаного на ASM понадобился HexEditComboBox Ну, вот извратом и занимался целый день. Но не в том суть мне нужно было, чтобы информация, вводимая туда, сохранялась в UDD файлах. Часть из возможностей HexEditComboBox контрола я описал выше. Но интересно взглянуть на реализацию того, что я написал за два часа, реально? [ADD] Вот блин, лоханулся =))) там же консоль, а я про Win`ь API… =))) Надо удалить все мои посты из этой темы, вопрос отпал сам собой. ----- ЗЫ: истЕна где-то рядом, Welcome@Google.com |
|
|
Создано: 25 декабря 2006 04:53 · Поправил: HoBleen · Личное сообщение · #13 PE_Kill Посмотрел. Все-таки мне кажется, что ты навел прогу на саму себя)) - у меня IAT RVA Got:1f7e9c Size:308 - (но только первый Thunk) Начало таблицы определяется нормально, но только IAT там не цельная - разные длл разделены группой нулей. Они с такой же вероятностью могут оказаться не нулями, а данными. При этом остальные Thunk'и, следующие за нулями, могут оказаться мусором, случайно совпавшим с адресами функций. Тогда надо менять сам алгоритм поиска. Но если весь импорт разделен только DWORD'ом мусора, вроде прога работает. |
|
|
Создано: 26 декабря 2006 14:53 · Личное сообщение · #14 короче, прога моя начала полностью переписываться (мною, естессно)). а то после некоторых доработок она стала определять импорт почти всегда прально, но ОООчень медленно... скоро закончу, надеюсь... ----- Уважайте других и пишите грамотно. |
|
|
Создано: 26 декабря 2006 19:21 · Личное сообщение · #15 HoBleen ага, щас глянул, я похоже действительно с пидом промазал. Сорри, это мой косяк. Прога вроде рабочяя, респект. Первый раз вижу подобный рабочий проект, кроме сидовского. Доводи до ума. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 27 декабря 2006 11:33 · Личное сообщение · #16 PE_Kill Спасибо 
Теперь вопрос: дальше делать что-то типа ImpRec'a? Тогда нужен кодер для интерфейса - у меня с этим напряг .
|
| << . 1 . 2 . 3 . |
|
eXeL@B —› Софт, инструменты —› DumpImportFinder 1.0 |
Для печати