Pe.ldw (исходный)
0000889C 6172 7920 2573 0090 C178 0100 D278 0100 E578 0100 0000 0000 6B65 726E ary %s...x...x...x......kern
000088B8 656C 3332 2E64 6C6C 0000 0047 6574 5072 6F63 4164 6472 6573 7300 0000 el32.dll...GetProcAddress...
000088D4 4765 744D 6F64 756C 6548 616E 646C 6541 0000 004C 6F61 644C 6962 7261 GetModuleHandleA...LoadLibra
000088F0 7279 4100 0000 0000 0000 0000 0000 0000 B478 0100 A478 0100 0000 0000 ryA..............x...x......
0000890C 0000 0000 0000 0000 4479 0100 5779 0100 0000 0000 0000 0000 0000 0000 ........Dy..Wy..............
00008928 4C79 0100 5F79 0100 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 Ly.._y......................
00008944 6964 612E 776C 6C00 7573 6572 3332 2E64 6C6C 0001 0000 8000 0000 0067 ida.wll.user32.dll.........g
00008960 7901 0000 0000 0000 0045 6E75 6D54 6872 6561 6457 696E 646F 7773 0000 y........EnumThreadWindows..
Сравните этот фрагмент со сброшенным Вами из памяти и скопируйте все байты с 889ch по 8962h из исходного файла в полученный Вами.
Теперь секция импорта восстановлена и содержит правильные адреса API-функций.
Не забудьте еще восстановить PE-заголовок, изменить точку входа и восстановить секции импорта во всех .LDW и .W32 модулях, которые Вам понадобятся. В результате они окажутся расшифрованными, и Вы сможете ими воспользоваться для дальнейшей работы.
Затем я сравнил свой собственный файл PE.LDW с файлом, полученным от Nolan'а. Оказалось, что в трех местах все еще остались различия: первое - это Ваша регистрационная информация, записанная в заголовке простым ASCII текстом, ее легко удалить. Также есть еще два места. Однако, я на этом заканчиваю и не буду объяснять, как удалить эти последние водяные знаки. Поищите их сами, и, если Вы внимательно прочитали всю статью, это не составит для Вас труда.
| Последние замечания |
Если Вам все-таки удастся удалить последние водяные знаки, то не распространяйте эту "взломанную" программу. Защита программ становится все более и более сложной, поэтому, если Вы так поступите, то рискуете не суметь в дальнейшем обновить последующие версии IDA. Ниже приведен отрывок из полученного мною письма Pierre Vandevenne, администратора этой программы:
**/**
Re: Re: IDA 4.01 changing thoughts...
Wednesday, 09-Feb-2000 16:18:29
- 195.0.122.9 writes:
Здравствуйте!
По всей видимости, у нас различные взгляды на кражу, однако, я думаю, что мне все-таки стоит сказать по этому несколько слов:
Имя пользователя, создающего базу данных, в самом деле сохраняется в ней. Для этого не требуется ни reverse engineering, ни слухов, ни чего бы то ни было еще - это имя демонстрируется в самом начале дизассемблированных кодов!
Для этого есть несколько причин - одна из них состоит в том, что некоторые пользователи хотели бы, чтобы IDA Pro была многопользовательской системой, и была бы возможность установить, кто создал эту базу.
Что касается жадности, то мы действительно могли бы быть жадными, однако, на самом деле с IDA это не невозможно. Судите сами:
1) Рынок сложных инструментов для исследования на сегодняшний день чрезвычайно мал.
2) Сама IDA создана на условиях полной легальности и лицензионности. Мы платим за компиляторы, спецификации, книги, за все то, что нам нужно, и что мы можем купить. Мы покупаем у компаний и компании покупают у нас, в результате работа выгодна обоим сторонам. Справедливо?
3) Ильфак в настоящее время живет и работает в Бельгии, при этом мы не провозили его в заколоченном ящике, как иностранного шпиона, и не заточали его в пещере с 486 компьютером и черно-белым монитором. Что-нибудь тоже не так? Разве он не заслуживает достойных условий работы?
4) Мы оказываем постоянную и незамедлительную помощь нашим пользователям.
Честность не подвержена сиюминутным настроениям, это внутренне качество. Если Вы хотите быть бесчестным, то для этого Вам не потребуется никакого моего разрешения.
Pierre Vandevenne
