Здаров всем.
Начал тут с упаковщиками ковыряться, в общем вопрос на счет восстановления импорта:
Я так понимаю восстанавливаем мы ее из за того, что после запуска программы IAT замещается адресами процедур, поэтому дамп не всегда будет работать, но почему ОС не хватает оригинальной INT, которая не меняется? И я так понимаю Imprec именно из INT и достает исходные данные и просто фиксит IAT.

И кстати, дамперы ведь делают не тупо слепок памяти из ОЗУ, а именно "заворачивают" программу обратно, так? Размеры секций-то выравниваются по разному ( в виртуальной памяти / в файле )

PS извиняюсь если этот вопрос уже где-то встречался, тяжело такие тонкости гуглить, но понимать хочется уже сейчас, чтоб уже не отвлекаться на такие детали

| Сообщение посчитали полезным:

Во-первых, после настройки iat, таблица импорта больше не используется и пакер может ее похерить в памяти. Во-вторых, пакер может перегнать таблицу импорта в свой формат и самостоятельно настроить iat.
Поэтому лучше не полагаться на то, что пакер может или не может сделать, а воссоздать всю таблицу импорта заново из настроенной iat.

| Сообщение посчитали полезным: uhx

В некоторых случаях вызов внешних функций идёт через участок памяти, динамически выделенный пакером/протектором и не образующий единый блок памяти с остальными функциями, по которому можно было пройтись и собрать все данные.

-----
EnJoy!

| Сообщение посчитали полезным: