Простой реконструктор импорта в виде dll + SDK (GUI с сорцам на Delphi и MASM).
Для конструирования таблицы импорта использовал функции из ap0x unpacking SDK.
Мож кому пригодиться
ImpReb http://crackingpage.jino-net.ru/release/ImpReb.rar

| Сообщение посчитали полезным:

MiHaN пишет:
Для конструирования таблицы импорта использовал функции из ap0x unpacking SDK.

у апокс косячный двиг =\ на айс его юзать... лучше бы свой накодил

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn двиг поиска мой, из апокс юзаются только функции построения таблицы из найденного импорта или в них тоже косяк?

| Сообщение посчитали полезным:

хм, если поиск твой, наф юзал его сдк? Нет, у него именно поиск хромал...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

В GetAPIName у них был косяк, когда-то юзал эту их функцию и приходилось фиксить багу, но искалось всёравно ооочень долго, поэтому пришлось своё сочинить.
У меня найденный импорт возвращается в виде структуры, из этой структуры с помощую функций апокс (они в ридми перечислены) импотр привинчивается к дампу. Вот эту самую функцию привинчивания мне и было лень присать

| Сообщение посчитали полезным:

А как кстати поиск реализовал? Марков?

-----
Researcher

| Сообщение посчитали полезным:

My Russian is really bad today MiHaN, could you say that in English please

| Сообщение посчитали полезным:

ap0x,
1)
Simple import reconstructor that is dll+SDK (GUI App with Delphi and MASM sources).
For construction IAT he used functions from your unpacking SDK.
Maybee it will be useful for somebody.
2)
Find API names proc is his, from SDK he used only functions for build Table from found import, after he ask Hellspawn : Maybee this functions has bugs too?
3)
GetAPIName has bug, He used this but he must fix this bug, find time was long, so he decide to write his own.
Found Import save in structure, after this structure he use with your SDK to fix imports to dump...

Грамматический отжегатель) йа

-----
Researcher

| Сообщение посчитали полезным:

overwriter пишет:
Марков?
Чё-то я отстал от жизни Поясни?

overwriter пишет:
А как кстати поиск реализовал?
Поиск FF15h и FF25h + перечитывание файла в поисках IAT.
Вообщем читаю фаил и проверяю, являются ли dword'ы адресами функций. Для этого сначала юзал ImporterGetAPINameFromDebugee, а потом свою GetAPIName сделал. Вот в общих чертах.

ap0x read PM.

| Сообщение посчитали полезным:

MiHaN
Может глупый вопрос, но я в этом деле еще новичок. Что такое PID (dec) в GUI?

| Сообщение посчитали полезным:

deepred пишет:
Что такое PID (dec) в GUI?
Это уникальный идентификатор процесса. Фактически, представляет из себя число. Можно получить, например, из стандартного диспетчера задач Windows.

-----
Программист SkyNet

| Сообщение посчитали полезным:

deepred
Process ID, скорее всего. Мля, опоздал.

| Сообщение посчитали полезным:

FrenFolio
Спасибо за разъяснения.
MiHaN
А теперь вообще тупой вопрос - Как им пользоваться? Ввел я этот PID, нажал Get Import, в окне появился импорт. Т.е. дальше надо импорт ручками делать?

| Сообщение посчитали полезным:

MiHaN, все понял) ступил я... Марков это алгосы оброботки строк

-----
Researcher

| Сообщение посчитали полезным:

deepred пишет:
А теперь вообще тупой вопрос - Как им пользоваться? Ввел я этот PID, нажал Get Import, в окне появился импорт. Т.е. дальше надо импорт ручками делать?
бгг, выбираете дамп процесса у которого получали импорт и восстанавливаете.

| Сообщение посчитали полезным:

ev1l_4 пишет:
бгг, выбираете дамп процесса у которого получали импорт и восстанавливаете.
Восстанавливаем, нажав на кнопку Fix Dump или вручную? Я просто уточняю, потому что на снятый дамп вообще эта прога не действует, а на дамп с импортом после импрека действует.

| Сообщение посчитали полезным:

deepred рассчитывалось вообще-то, чтоб эту dll юзали например вместо imprec.dll в анпакерах всяких, а GUI - это только для демонстрации функций. А юзать надо так: вводишь PID в dec, жмёшь Get Import, выбираешь дамп и жмёшь Fix Dump.
Насчёт редактирования импорта, дописать такое в GUI несложно, код dll для этого менять не надо.

deepred пишет:
Я просто уточняю, потому что на снятый дамп вообще эта прога не действует
У меня всё действовало, пример в студию.

| Сообщение посчитали полезным:

MiHaN
Пример в этой теме: Перейти

| Сообщение посчитали полезным:

Будем тестить.

| Сообщение посчитали полезным:

Thanks for the translation

| Сообщение посчитали полезным:

После отработки скрипта весь импорт находит правильно, добавляет новую секцию и записывает в неё таблицу, но при перебивке директории импорта в функции ImporterExportIAT возникает ошибка. Хотел поправить дирекорию вручную, но ни PEEditor из PETools, ни PEExplorer, ни новый COFFExplorer не смогли этого сделать. Вероятно там косяк в где-то в заголовке. Так что будем считеть это частным случаем

| Сообщение посчитали полезным: