Delphi 5 反汇编摘要

原创 2004年04月15日 16:07:00

 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

Delphi 5 反汇编摘要

 

有许多工具可以帮助Delphi的逆向工程,我用得较多的是DeDeIDA Pro。在IDA Pro中通过加载FLIRT模块(File/Load file/FLIRT signature fire…)可以根据开发工具获得一些二进制中不存在的符号。这对于破解、帮助阅读汇编代码是很有帮助的。同样的功能在DeDe 3.5中叫做.dsf符号库,不过实际用起来看FLIRT似乎能够获得更多的符号信息,而DeDe可以得到Delphi特有的数据,如.dpr, .dfm, .pas工程文件。

 

Delphi编译代码和一般的C编译代码不太一样,比如调用约定中,CthiscallECX传递this指针,而DelphithiscallEAX传递this指针;Cfastcall一般用ECX/EDX两个寄存器用于参数传递,而Delphi则用三个EAX/EDX/ECX;在使用浮点数时,C通过压栈两个DWORD传递double参数,而Delphi则用FLDFSTP直接通过FPU传递参数。修饰名也不一样,这里不加叙述。

 

关于调用约定参考 http://baby.homeip.net/patrick/archives/000142.php

 

目前的IDA尚不支持加载.MAP/.SYM符号信息,根据DataRescue网站的说明,可以通过.IDC脚本加载(http://www.ccso.com/faq.html)。DeDeIDA/Softice符号输出中据说可以自动检测运行的Soft-ICE并向其导入符号,但实际使用时不是很灵光,根据.MAP文件格式可以写一个程序将其转换成.IDC脚本:

 

#!/usr/bin/perl

use strict;

sub dump_idc;

 

my $hex_pat = "[0-9A-Fa-f]+";

 

my $start;

my @entries;

 

while (<>) {

    chop;

    if ($start eq '--fetch-next') {

       # start, length, name, class

        ($start) = m/$hex_pat:($hex_pat)/s+($hex_pat)H/s+(/w+)/s+(/w+)/;

        if (!$start) {

           print STDERR "Invalid .map file format!";

           exit -1;

       }

        $start = hex($start);

        next;

    }

 

    if (m/Start/s+Length/s+Name/s+Class/) {

        $start = '--fetch-next';

        next;

    }

   

    if (m/$hex_pat:($hex_pat)/s*(.*)$/) {

        my ($offset, $entry) = (hex($1), $2);

        my $rva = $offset + $start;

        push @entries, [$rva, $entry];

    }

}

 

@entries = sort { $a->[0] cmp $b->[0] } @entries;

 

&dump_idc;

 

sub dump_idc {

    print "static main() {/n";

   

    foreach (@entries) {

        my ($rva, $entry) = @$_;

        #$rva = hex($rva);

      

        $entry =~ s/^/*//$/;

        $entry =~ s/^[<>/-]*//;

        $entry =~ s//(.*$//;

        $entry =~ s/:.*$//;

        $entry =~ s//./?/;

        $entry =~ s//[([0-9]+)/]/_$1/g;

        $entry =~ s//[.*$/_$rva/;

        $entry =~ s/;.*$//;

 

        $entry =~ s/^/s *//;

        next if !$entry;

      

        printf "MakeName(0x%x, /"$entry/");/n", $rva, $entry;

    }

   

    print "}/n";

}

 

1;

 

有些程序在检验注册码时通过抛出异常等行为确定是否注册成功,关于异常Matt Pietrek有一篇著名文章http://www.microsoft.com/msj/0197/Exception/Exception.aspx值得一读。从汇编代码上看,所有try/catch块都有类似的结构:

 

CODE:004BDE4C          xor     eax, eax

CODE:004BDE4E          push    ebp

CODE:004BDE4F          push    offset loc_4BDE92

CODE:004BDE54          push    dword ptr fs:[eax]    ; 保存上一个handler

CODE:004BDE57          mov     fs:[eax], esp

 

CODE:004BDE92 loc_4BDE92:

CODE:004BDE92          jmp     _Any2_Handler_DevErr?

CODE:004BDE97          jmp     short loc_4BDE89

 

CODE:004BDEEA          pop     edx               ; 上一个handler

CODE:004BDEEB          pop     ecx

CODE:004BDEEC          pop     ecx

CODE:004BDEED          mov     fs:[eax], edx    ; 恢复

 

注意到4BDE97H处代码未被执行,这是怎么回事呢?原来它是finally对应的块,SEH内核会根据push offset loc_4BDE92自动得到4BDE97Hfinally入口地址。因此在调试有异常处理的程序时,有时需要在handlerfinally的处理程序处也设置断点。

 

今天先到这里,可能的话下次再贴。

Delphi源码级动态反汇编调试

        OllyDbg是一个动态反 汇编调试工具,由于功能非常强大,常常被黑客用来破解软件。但是一般情况下用它反汇编出来的程序是非常难理解的汇编形式,只有系统api调用部份可以看出函数名称,其...
  • song_dong_sheng
  • song_dong_sheng
  • 2007年06月12日 09:14
  • 1271

Delphi反汇编内部字符串处理函数/过程不完全列表

Delphi反汇编内部字符串处理函数/过程不完全列表 名称 参数 返回值 作用 等价形式 / 备注   _PStrCat EAX :目标字符串 EDX :源字符串 EAX 连接两...
  • turbocc
  • turbocc
  • 2016年06月28日 09:58
  • 597

Delphi反汇编笔记

TField取字段名:mov     eax, dword ptr [eax+38],这里的eax是self指针。  
  • shixueli
  • shixueli
  • 2010年12月22日 11:10
  • 654

反汇编工具objdump的使用简介

《朱老师物联网大讲堂》学习笔记 学习网站:www.zhulaoshi.org objdump是我们进行反汇编的工具 还记得Makefile文件吗? led.bin: start.o  arm-...
  • qq_18973645
  • qq_18973645
  • 2016年03月27日 20:31
  • 2582

你知道汇编与反汇编的区别吗?

本人不才,小白一枚,今天在看书的过程中被汇编、反汇编这两个词搞懵了。赶紧用了搜dog,发现讲的都不是很清楚,这里说一下我的总结。有什么不对的大家见谅。汇编、反汇编这两个词可做动词,可做名词。我们先看一...
  • LLZK_
  • LLZK_
  • 2016年11月06日 18:28
  • 2115

反汇编入门试手 简单程序

刚学汇编,第一次自己写博客,分享一下,人艰不拆哈~ 老师为了提高我们的学习兴趣,给了我们这些刚懂寄存器是什么的菜鸟一个简单的exe文件让我们进行反汇编破解出正确的中断输入 也不懂什么反汇编工具,仅在d...
  • qq_16617915
  • qq_16617915
  • 2015年05月04日 22:01
  • 3879

Delphi 5开发人员指南.part1

  • 2010年05月18日 11:39
  • 14.31MB
  • 下载

Delphi 5分布式多层应用系统篇.part2

  • 2010年05月21日 11:01
  • 14.31MB
  • 下载

Delphi 5ADO/MTS/COM+高级程序设计篇.part2

  • 2010年05月21日 10:58
  • 3.58MB
  • 下载

Delphi 5.x 分布式多层应用系统篇

  • 2008年05月02日 20:03
  • 43.38MB
  • 下载
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:Delphi 5 反汇编摘要
举报原因:
原因补充:

(最多只允许输入30个字)