Import List for ASProtect

I. ?/font> программ?/font>

  Эт?/font> программ?/font> пытает? (иногда эт?/font> получает?) восстанавливат?/font>
  полный список импорт?/font> исполняемых файлов обработанных 
  ASProtect by Алексе?/font> Солодовников (?/font>.?/font>.). 

  ?/font> наст?щи?/font> момент представ?ет собо?/font> черновик первой част?/font> утилит?/font> по 
  автоматическом?/font> восстановлению всей секции. 

  ?/font> последни?/font> верс??/font> ASProtect импорт стал шифроваться - ?/font> руками ег?/font> 
  восстанавливат?/font> утомительн?/font> для помощи пр?/font> восстановлении IT ?/font> 
  предназначен?/font> эт?/font> программ?/font>.

II. Использовани?/font>:

  1) Запускае?/font> защищенную программ?/font>
  2) Запускае?/font> Imp_List
  3) ?/font> списке процессо?/font> находи?/font> защищенную программ?/font>
  4) Жмем кнопку 'Save address list'
  5) ?/font> случае успешной обработк?/font> создаются файл?/font> 'Address.Txt', 'Import1.Bin',
     'Import2.Bin' (иногда вместо двух bin-файлов создается один).
     
Note:  
  1) Если верс? ASProtect выбран?/font> неправильн?/font> имен?/font> некоторы?/font> функци?/font> буду?/font> 
     представлены ?/font> виде случайного набора символов.


III. Результаты работы:

  1) Файл 'Address.Txt' - текстовы?/font> файл, которы?/font> собственно ?/font> содержит список импорт?/font>.
     Пример вывода:
       00C01D74[2]=(00000118)KERNEL32.DLL!DeleteCriticalSection:00D6
       -- 1-----2------3-------4---------------------------------5--
    
       1 - Уж?/font> настроенны?/font> адре?/font> функци?/font>, из Import Table (IT)
       2 - Ти?/font> 
       3 - Смещение адреса ?/font> секции импорт?/font> (см файл ImportN.Bin)
       4 - Модуль ?/font> имя функци?/font>
       5 - може?/font> отсутствоват?/font> - Ordinal функци?/font>.
  2) Файл?/font> Import1.Bin ?/font> Import2.Bin - выбираем больши?/font> по размер?/font> - эт?/font> ?/font> буде?/font> файл
     ?/font> секцие?/font> Import-?/font>. Но он пока чистый - ?/font>.?/font>. кром?/font> адресо?/font> функци?/font>, которы?/font> 
     расшифрованы ?/font> файл?/font> 'Address.Txt' ничего не содержит.
  3) ?/font> предполага?/font>, чт?/font> им? вышеприведенну?/font> информацию можн?/font> пытать? автоматическ?/font>
     восстанавливат?/font> вс?/font> секцию Import-?/font>. ?/font> этог?/font> пока не сделал - хо? ?/font> ближайше?/font> 
     будуще?/font> собираюс?/font> попробоват?/font>. 
       
   
-------------------------------------------------------------------------------------------
Ещ?/font> нескольк?/font> слов ?/font> то?/font>, чт?/font> не работает:
1) Пока не корректн?/font> обрабатывают? файл?/font> ?/font> которы?/font> отсутствуе?/font> секц? '.idata'.
2) ?/font> ?/font>.?/font>.
-------------------------------------------------------------------------------------------
Последни?/font> изменения:
1) Реши?/font> присвоит?/font> этом?/font> черновик?/font> версию - хо? бы для того, чт?/font> бы вест?/font> учет изменени?/font>.
2) Верс? 01.01 - возможност?/font> ручног?/font> выбора версии ASProtect
3) Верс? 01.02 - замени?/font> возможност?/font> выбора версии ASProtect-?/font> на автодетект. 
4) Верс? 01.03 - ?/font> файл Import0.Bin - выписывает? предполагаем? секц? импорт?/font>, работает 
                  далеко не на всех файл?/font> - я бы сказал только на некотрых, ?/font> то?/font> числ?/font> ?/font> на
                  ASProtect.Exe. До восстановлен? полноценного файл?/font> ещ?/font> надо из?дн?/font> повозить?
                  ?/font> секц?ми - но вся информац? для этог?/font> есть.
5) Верс? 01.04 - изменилась форм?/font> листинга:

     00BD0410->BFF7FFF0[2]=(00000118)KERNEL32.DLL!VirtualAlloc:0319
       -- 1------2------3-------4-----------5-------------------6
    
       1 - Настроенны?/font> ASProtect адре?/font> функци?/font>, из Import Table (IT) - эт?/font> може?/font> быть адре?/font> 
           переходник?/font> ил?/font> реальный адре?/font> функци?/font>
       2 - Реальный адре?/font>, если переходник?/font> не?/font>, то совпадае?/font> ?/font> 1.
       3 - Ти?/font> 
       4 - Смещение адреса ?/font> секции импорт?/font> (см файл?/font> ImportN.Bin)
       5 - Модуль ?/font> имя функци?/font>
       6 - може?/font> отсутствоват?/font> - Ordinal функци?/font>.

  Изменились ?/font> файл?/font> данных:
   Import0.Bin - востановленн? секц? импорт?/font> (?/font> именам?/font>)
   Import1.Bin - секц? импорт?/font> ?/font> настроенными адресами (бе?/font> имен) - ею можн?/font> сраз?/font>
                 заме?ть импорт ?/font> dump-?/font> - ?/font> получает? РАБОЧИ?/font> EXE файл, которы?/font>
                 даже иногда запускается - эт?/font> зависи?/font> от используемых библиоте?/font>
   Import2.Bin - Import c настроенными ASProtect адресами (?/font> адресами переходников) -
                 ?/font> наст?щи?/font> момент никако?/font> потребност?/font> ?/font> не?/font> не?/font>.

6) Верс? 01.05 - добавлен?/font> поддержк?/font> версии ASProtect 1.0 от 13.06.2000 (предыдущ? 
                  верс? имел?/font> тако?/font> же номе?/font>, но была выпущена 31.05.2000), ?/font> ка?/font>
                  следстви?/font> убрано ограничени?/font> на присутстви?/font> секции '.idata'.
                  
   
Boris

delf_ltd@mail.ru

8/07/2000