Программы для восстановления импорта PE-файлов

Сперва немного теории. Импортируемая функция - это API-функция, которая не находится в исполняемом модуле, но вызывается им. Такие функции физически находятся в одной или более внешних DLL, а в вызывающем исполняемом модуле находится только информация о них. Эта информация оформлена в виде таблицы, включающей сами имена вызываемых функций и названия DLL, в которых они находятся. Более подробную информацию можете поискать в интернете, здесь я останавливаться не буду. Упаковщики и протекторы обрабатывают таблицу импорта и очень часто вносят в нее изменения, направленные на затруднение их снятия. Поэтому восстановление таблицы импорта исполняемых файлов - обязательный процесс при ручной и автоматизированной распаковке. Для восстановления таблицы импорта созданы специальные программы, некоторые из которых есть в свободном доступе.


Самая известная программа для восстановления импорта - ImpRec от MackT. ImpRec позволяет выполнять автоматический поиск таблицы импорта, трассировать несколькими способами нераспознанные функции, а также сохранять таблицу импорта в текстовый файл для последующего анализа и в дальнейшем использовать ее для работы. Поддерживаются плагины определения функций импорта для разных протекторов, в архиве есть примеры с исходными текстами. Также ImpRec распространяется в виде отдельного DLL-файла, который используется во многих проектах (например, ArmaGeddon). Последняя официальная версия ImpRec 1.6 Final, но так как автор открыл исходные тексты, последователями были созданы несколько версий линейки 1.7. Несмотря на все полезные нововведения, я уже несколько раз сталкивался с тем, что версии 1.7 не могут правильно восстановить таблицу импорта, поэтому продолжаю пользоваться классической версией 1.6





Если я не ошибаюсь, то программа Revirgin была самой первой разработкой в области автоматического восстановления импорта. С тех пор она претерпела множество доработок и изменений, но лично у меня популярностью не пользуется. При установке Revirgin копирует несколько своих файлов в системные директории, что несколько затрудняет ее использование на съемных носителях, в отличие от полностью портативной ImpRec.



CHimpREC: The Cheap Imports Reconstructor от известной команды ARTeam - в настоящее время одна из немногих программ для восстановления импорта 64-битных файлов, но в комплекте есть версия и для 32-битных систем. Интерфейс очень похож на классический ImpRec, есть встроенный дампер процессов (в том числе и 64-битных) и ручной редактор импорта. К сожалению, часть функций типа трейсера и поддержки плагинов пока не реализованы, но CHimpREC уже является мощным инструментом, в некоторых случаях даже превосходящим ImpRec. С нетерпением жду новых релизов от автора.



Еще один инструмент от ARTeam - imp64. Как можно предположить из названия, это еще одна программа для восстановления импорта 64-битных файлов, плюс в ней есть дампер процессов. Но основная ценность заключается в том, что imp64 распространяется с исходниками. Скачать все это добро можно с офсайта.


Imports Fixer от крякерской команды SnD. Попытка собрать в одну программу все подручные инструменты: восстановление импорта, дампер, дизассемблер, HEX-редактор и калькулятор. Ни разу не пользовался ей на практике, так что больше ничего сказать не могу.



Scylla Imports Reconstruction - один из новых инструментов, но уже успевший завоевать популярность. Как пишет сам автор, во всех программах для восстановления импорта есть недостатки, и он решил сделать свой инструмент, в котором их не будет. Есть версия как для х86-платформ, так и для 64-битных, а главное, что полностью открыты исходные коды. Рекомендую к использованию.


Ну и напоследок выложу несколько вспомогательных утилит, которые могут пригодиться при работе с импортом исполняемых файлов.


Universal Import Fixer помогает восстановить и перестроить таблицу импорта в памяти процесса, защищенного такими протекторами, как Armadillo, ASProtect, Enigma, ExeCryptor, eXPressor, PeSpin, RlPack, Themida, WinLicense и других. UIF восстанавливает перенаправленный, эмулированный импорт, прямые вызовы, и прочую мутотень, которую аффтары протекторов используют для защиты. В комплекте прилагается видеоролик, демонстрирующий пример распаковки защищенного файла с помощью UIF. Вы также можете использовать Universal Import Fixer как внешний модуль в своих проектах, для этого в архиве есть SDK с документацией. При грамотном использовании будет очень серьезным инструментом.



Программа IT Compare предназначена для сравнения таблиц импорта, созданных ImpRec и Revirgin. Это помогает в ситуациях, когда по какой-либо причине после восстановления импорта каждой программой по отдельности полученный файл все равно не работает. В этом случае вы сохраняете в текстовый файл таблицу импорта сперва при помощи ImpRec, затем при помощи Revirgin, а потом программой IT Compare сравниваете результаты. В некоторых случаях это действительно помогает найти причину вылета.



Утилита UnpkT0l позволяет автоматически исправить значения SizeOfImage, Checksum, TLS и Relocation Table, а также таблицы импорта в распакованном файле. Пригодится на всякий случай.


На этом пока все, если в свободном доступе появятся еще какие-нибудь полезные инструменты, то я обязательно их сюда добавлю.

Комментарии

Добавить комментарий

Для вставки цитаты выделите текст и нажмите сюда

Имя*:

Текст комментария (не более 2000 символов)*:

*Все поля обязательны для заполнения.

Комментарии, содержащие рекламу, ненормативную лексику, оскорбления и т.п., а также флуд и сообщения не по теме, будут удаляться. Нарушителям может быть заблокирован доступ к сайту.