Để hiểu tại sao engine GG có tên AT , bạn có thể hiểu sơ lược qua bài viết sau (Dịch wa Google nên khi đọc fai tự tìm hiểu thêm từ cho chính xác):
SW REConstructor là một công cụ hữu ích để tạo lại hàng nhập khẩu của một exe với một tiêu đề PE bị hỏng. Thường được sử dụng để tái nhập khẩu sau khi bán phá giá một chương trình đóng gói.
Công cụ này được thiết kế để xây dựng lại hàng nhập khẩu để thực thi Win32 bảo vệ / đóng gói. It reconstructs một hình Descriptor nhập khẩu mới (IID), nhập khẩu Array Table (IAT) và đun tất cả các mã ASCII và những chức năng. Nó cũng có thể bơm vào đầu ra thực thi của bạn, một bộ nạp mà có thể điền vào IAT với thực tế để con trỏ API hoặc một tách từ mã bảo vệ các / đóng gói (rất hữu ích đối với mô phỏng API trong thunk một).
Các tính năng:
>> Nhập khẩu
- An xem bản gốc cây
- 2 phương pháp khác nhau để tìm hàng nhập khẩu bản gốc (bằng IAT và / hoặc API cuộc gọi)
- A * Full * hoàn rebuilder (bao gồm cả một IAT tươi mới)
>> Loader
- Một phân tích và ripper mã API chuyển hướng
- An tiêm bộ nạp mã để hỗ trợ kết hợp của hàng nhập khẩu tách mã trong một thunk
- Một relocator heuristic
>> Tracers
- 3 Tracers mặc định (disasm, móc & ring3) để tìm các API trong mã chuyển hướng
- Một giao diện plugin để phát triển của riêng bạn Tracers
>> Misc
- Hỗ trợ TẤT CẢ 32bits Windows (9x, ME, NT, 2k và XP)
- An renormalizer xuất khẩu cho HĐH Win9X/ME (ala Icedump)
- A-xây dựng trong disasm màu / hex-người xem để phân tích các mã chuyển hướng
- A-xây dựng trong dumper
- Hỗ trợ hầu như tất cả các thủ thuật được biết đến antidump
Gì cần?
- Một bãi chứa đầy đủ các mục tiêu của (RAW và infos ẢO phần KHÔNG CẦN phải bằng nhau)
- Một quy trình hoạt động của các mục tiêu của bạn
- Bạn phải tìm được gốc Entry Point (OEP) bằng tay (hoặc với lệnh tracex / của Icedump) để sử dụng lệnh IAT AutoSearch 'các'
.
