Подскажите как без кнопки IAT AutoSearch найти адрес начала и конец таблицы IAT чтобы потом можно было узнать ее размер и занести в ImportREC распаковка UPXа начало понятно а вот границы IAT в отладчике как увидеть и на начало ее этой таблицы попасть не очень понял Так ImportRec я так понял часто врет с нахождением IAT...

| Сообщение посчитали полезным:

"Сначала протектор раскриптовывает код в секции кода, а затем, в последнюю очередь, он восстанавливает Таблицу IAT. Поэтому, нам нужно посмотреть, где находится Таблица IAT. Поскольку программа у нас запущена, то мы переходим в секцию кода (адрес 00401000), и выполняем бинарный поиск опкода FF 25"
Valentin Vnekrilov.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

дык. йопт. я же кидал тебе ссылку на мультик по распаковке upx-a, где все наглядно видно.
http://tuts4you.com/download.php?view.3143


plutos пишет:
выполняем бинарный поиск опкода FF 25"
Valentin Vnekrilov.
иногда "FF 15", в зависимости от компилятора.

| Сообщение посчитали полезным:

Да, иногда FF 15.
Забыл добавить.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Можно огрести false positives без проблем. Не проще поискать блоки офсетов, ведущих в другой модуль?

-----
старый пень

| Сообщение посчитали полезным:

В Ольке даже опция есть Search all intermodular call.

| Сообщение посчитали полезным:

Я бы искал глазами в дампе. Для каждого компилятора характерен свой способ размещения IAT.
Почти все компиляторы выравнивают на границу 0x1000
Delphi - сначала указатели, потом блок функций, секция .idata
VC++ до 5-го - IAT , блок функций (ненастроенный), блок функций настроенный
VC++ с 6-го - блок функций (настроенный) потом данные, потом IAT и блок функций (ненастроенный)
Протекторы, конечно, гадят, стирают копии таблицы, запоняют мусором нули между блоками функций от разных DLL, но все это легко решаемо, если голова есть.

| Сообщение посчитали полезным: vnekrilov