Added:
1) Handlers of FPU instructions fclex, fldcw, fstcw, fldz, fld1, fistp
2) Window with code segments input and VM has 3 buttons now:
- Analyze - Start analysis of VM entries and import restoration.
- Accept - Apply entered values of segments without analysis
- Cancel - Exit without saving any changes
3) Display API names in p-code maps, relocations and function callings
4) Devirtualization of add esp, xx instruction
5) Improved restoration of partially wiped IAT
6) Import recovery such as: push reg; call vm -> call [api].
7) push/pop reg; call vm -> mov reg,[api].
8) Improved recognition of VM entries
9) Improved detection of VM loop
Fixed:
1) Code conversion: pop xx; jmp xx into retn.
2) Restructure of intermediate code. Blocks intersections.
3) Installed several exceptions during code devirtualization.
4) Removal of anti-dump code.
Translated from Russian
Добавлено:
1. Обработчики FPU инструкций: fclex, fldcw, fstcw, fldz, fld1, fistp.
2. Окно ввода значений сегментов кода и ВМ теперь имеет три кнопки:
- Analyze - начать анализ точек входа в ВМ и восстановление импорта.
- Accept - принять введенные значения сегментов без выполнения анализа.
- Cancel - выйти не производя никаких изменений.
3. Вывод имен API функций в картах пикода, релоков и вызовов функций.
4. Девиртуализация инструкции add esp, xx
5. Улучшено восстановление частично затертой IAT.
6. Восстановление импорта типа: push reg; call vm -> call [api].
7. Восстановление импорта типа: push/pop reg; call vm -> mov reg,[api].
8. Улучшено распознавание точек входа в ВМ.
9. Улучшено распознавание цикла ВМ.
Исправлено:
1. Преобразование кода pop xx; jmp xx в retn.
2. Реструктуризация промкода. Пересечения блоков.
3. Устранено несколько исключений при девиртуализации кода.
4. Удаление кода антидампа.
发表于 2011-5-23 11:31
发表于 2011-5-23 12:02
