Набор статей и руководств по дизассемблеру IDA


Pe.ldw (исходный)



0000889C 6172 7920 2573 0090 C178 0100 D278 0100 E578 0100 0000 0000 6B65 726E ary %s...x...x...x......kern


000088B8 656C 3332 2E64 6C6C 0000 0047 6574 5072 6F63 4164 6472 6573 7300 0000 el32.dll...GetProcAddress...


000088D4 4765 744D 6F64 756C 6548 616E 646C 6541 0000 004C 6F61 644C 6962 7261 GetModuleHandleA...LoadLibra


000088F0 7279 4100 0000 0000 0000 0000 0000 0000 B478 0100 A478 0100 0000 0000 ryA..............x...x......


0000890C 0000 0000 0000 0000 4479 0100 5779 0100 0000 0000 0000 0000 0000 0000 ........Dy..Wy..............


00008928 4C79 0100 5F79 0100 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 Ly.._y......................


00008944 6964 612E 776C 6C00 7573 6572 3332 2E64 6C6C 0001 0000 8000 0000 0067 ida.wll.user32.dll.........g


00008960 7901 0000 0000 0000 0045 6E75 6D54 6872 6561 6457 696E 646F 7773 0000 y........EnumThreadWindows..

Сравните этот фрагмент со сброшенным Вами из памяти и скопируйте все байты с 889ch по 8962h из исходного файла в полученный Вами.

Теперь секция импорта восстановлена и содержит правильные адреса API-функций.

Не забудьте еще восстановить PE-заголовок, изменить точку входа и восстановить секции импорта во всех .LDW и .W32 модулях, которые Вам понадобятся.  В результате они окажутся расшифрованными, и Вы сможете ими воспользоваться для дальнейшей работы.

Затем я сравнил свой собственный файл PE.LDW с файлом, полученным от Nolan'а.  Оказалось, что в трех местах все еще остались различия: первое - это Ваша регистрационная информация, записанная в заголовке простым ASCII текстом, ее легко удалить.  Также есть еще два места.  Однако, я на этом заканчиваю и не буду объяснять, как удалить эти последние водяные знаки.  Поищите их сами, и, если Вы внимательно прочитали всю статью, это не составит для Вас труда.
 
 

Последние замечания

Если Вам все-таки удастся удалить последние водяные знаки, то не распространяйте эту "взломанную" программу.  Защита программ становится все более и более сложной, поэтому, если Вы так поступите, то рискуете не суметь в дальнейшем обновить последующие версии IDA.  Ниже приведен отрывок из полученного мною письма Pierre Vandevenne, администратора этой программы:




Начало  Назад  Вперед