Если таблица диапазонного импорта дублирует стандартную таблицу импорта (а чаще всего это так), то простейший способ ремонта файла сводится к обнулению 0x11-го элемента DATA DIRECTORY, а точнее, ссылки на структуру IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT. Если же таблица диапазонного импорта содержит (точнее, содержала) уникальные динамические библиотеки, отсутствующие во всех остальных таблицах, то для восстановления достаточно знать базовый адрес их загрузки. При отключенном диапазонном импорте эффективные адреса импортируемых функций, жестко прописанные в программе, будут ссылаться на невыделенные страницы памяти и операционная система немедленно выбросит исключение, сообщая виртуальный адрес ячейки, к которой произошло обращение. Остается лишь найти динамическую библиотеку (и этой библиотекой скорее всего будет собственная библиотека восстанавливаемого приложения, входящая в комплект поставки), содержащую по данному адресу более или менее осмысленный код, совпадающий с точкой входа в функцию. Зная имена импортируемых библиотек, восстановить таблицу диапазонного импорта не составит никакого труда.

Для приличия (чтобы не ругались антивирусы) можно удалить неактивный X-код из файла, установив SizeOf Headers на последний байт таблицы секций (или таблицы диапазонного импорта, если она есть) и вплоть до FS.r_off, заполнив остальные байты нулями, символом «*» или любым другим символом по своему вкусу. Например, «посторонним вирусам вход воспрещен!».

Листинг 1. Дизассемблерный фрагмент X-кода, внедренного в заголовок (все комментарии принадлежат Иде)

HEADER:01000300  ; The code at 01000000-01000600 is hidden

                 ; from normal disassembly

HEADER:01000300  ; and was loaded because the user ordered

                 ; to load it explicitly

HEADER:01000300 ;

HEADER:01000300 ; <<<< IT MAY CONTAIN TROJAN HORSES,

                 ; VIRUSES, AND DO HARMFUL THINGS >>>