var IATstart
var IATend
var IATptr
var lowrange
var highrange
var addr
var count
var pc

// change this vars from target to target

mov IATstart, 1001000 // find these urself
mov IATend, 1001228
mov lowrange, 7e0000 // low range of redirected apis
mov highrange,7f0000 // ..

mov count, 0

mov IATptr, IATstart
sub IATptr, 4
next:
add IATptr, 4
cmp IATptr, IATend
je fin
mov addr, [IATptr]
cmp addr, lowrange
jb next
cmp addr, highrange
ja next

// here we know addr is redirected

eval “Found redirected import at {addr}”
log $RESULT
inc count
log count

mov eip, addr
ticnd “eip > 50000000″

// boom, we break at GetTickCount
// get out

sti
sti
sti
sti
sti
sti

ticnd “eip > 50000000″

// eip = address of original import

mov [IATptr], eip
mov pc, eip
gn eip
eval “{addr} resolved to {pc} – {$RESULT}”
log $RESULT

jmp next

fin:
eval “{count} imports resolved”
log $RESULT
ret

ten ciag komend sti sluzy do przejscia przez spatchowany GetTickCount (jakis plugin mialem wlaczony), dlatego musialbys sprawdzic u siebie jak to bedzie dzialac.

niektore API sa calkowicie emulowane, np GetProcAddress, wiec te trzeba jakos recznie rozpoznac.

HASP HL to ogolnie gowno, ale ta emulacja importow rzeczywiscie im sie udala