VB中字符串处理函数反汇编对比

最新推荐文章于 2022-11-07 21:27:31 发布
最新推荐文章于 2022-11-07 21:27:31 发布
阅读量3k 收藏 1
点赞数
分类专栏: VB编程 文章标签: 汇编 vb command c string 测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/IceMe/article/details/147094
版权

简单代码用于反汇编测试对比:

不带$的字符串处理函数测试代码:
Dim s As String

Private Sub Command1_Click()
s = Left("test str", 3)
End Sub

SC可知Command1_Click的入口点:00401A30

反汇编代码:
00401A84   . C745 C0 CC1640>MOV DWORD PTR SS:[EBP-40],WITHOUTI.00401>;  UNICODE "test str"
00401A8B   . C745 B8 080000>MOV DWORD PTR SS:[EBP-48],8
00401A92   . FF15 6C104000  CALL DWORD PTR DS:[<&MSVBVM60.__vbaVarDu>;  MSVBVM60.__vbaVarDup
00401A98   . 8D55 D8        LEA EDX,DWORD PTR SS:[EBP-28]
00401A9B   . 6A 03          PUSH 3
00401A9D   . 8D45 C8        LEA EAX,DWORD PTR SS:[EBP-38]
00401AA0   . 52             PUSH EDX
00401AA1   . 50             PUSH EAX
00401AA2   . FF15 70104000  CALL DWORD PTR DS:[<&MSVBVM60.#617>]     ;  MSVBVM60.rtcLeftCharVar
00401AA8   . 8D4D C8        LEA ECX,DWORD PTR SS:[EBP-38]
00401AAB   . 51             PUSH ECX
00401AAC   . FF15 08104000  CALL DWORD PTR DS:[<&MSVBVM60.__vbaStrVa>;  MSVBVM60.__vbaStrVarMove
00401AB2   . 8BD0           MOV EDX,EAX
00401AB4   . 8D4D E8        LEA ECX,DWORD PTR SS:[EBP-18]
00401AB7   . FF15 78104000  CALL DWORD PTR DS:[<&MSVBVM60.__vbaStrMo>;  MSVBVM60.__vbaStrMove
00401ABD   . 8BD0           MOV EDX,EAX
00401ABF   . 8D4E 34        LEA ECX,DWORD PTR DS:[ESI+34]
00401AC2   . FF15 5C104000  CALL DWORD PTR DS:[<&MSVBVM60.__vbaStrCo>;  MSVBVM60.__vbaStrCopy
00401AC8   . 8D4D E8        LEA ECX,DWORD PTR SS:[EBP-18]
00401ACB   . FF15 88104000  CALL DWORD PTR DS:[<&MSVBVM60.__vbaFreeS>;  MSVBVM60.__vbaFreeStr
00401AD1   . 8D55 C8        LEA EDX,DWORD PTR SS:[EBP-38]
00401AD4   . 8D45 D8        LEA EAX,DWORD PTR SS:[EBP-28]
00401AD7   . 52             PUSH EDX
00401AD8   . 50             PUSH EAX
00401AD9   . 6A 02          PUSH 2
00401ADB   . FF15 0C104000  CALL DWORD PTR DS:[<&MSVBVM60.__vbaFreeV>;  MSVBVM60.__vbaFreeVarList
00401AE1   . 83C4 0C        ADD ESP,0C
00401AE4   . 897D FC        MOV DWORD PTR SS:[EBP-4],EDI
00401AE7   . 68 0C1B4000    PUSH WITHOUTI.00401B0C
00401AEC   . EB 1D          JMP SHORT WITHOUTI.00401B0B
00401AEE   . 8D4D E8        LEA ECX,DWORD PTR SS:[EBP-18]
00401AF1   . FF15 88104000  CALL DWORD PTR DS:[<&MSVBVM60.__vbaFreeS>;  MSVBVM60.__vbaFreeStr
00401AF7   . 8D4D C8        LEA ECX,DWORD PTR SS:[EBP-38]
00401AFA   . 8D55 D8        LEA EDX,DWORD PTR SS:[EBP-28]
00401AFD   . 51             PUSH ECX
00401AFE   . 52             PUSH EDX
00401AFF   . 6A 02          PUSH 2
00401B01   . FF15 0C104000  CALL DWORD PTR DS:[<&MSVBVM60.__vbaFreeV>;  MSVBVM60.__vbaFreeVarList

带$的字符串处理函数测试代码:
Dim s As String

Private Sub Command1_Click()
s = Left("test str", 3)
End Sub

SC可知Command1_Click的入口点:004019E0


反汇编代码:
00401A24   . 68 B4164000    PUSH WITHIT.004016B4                     ;  UNICODE "test str"
00401A29   . 897D E8        MOV DWORD PTR SS:[EBP-18],EDI
00401A2C   . FF15 64104000  CALL DWORD PTR DS:[<&MSVBVM60.#616>]     ;  MSVBVM60.rtcLeftCharBstr
00401A32   . 8BD0           MOV EDX,EAX
00401A34   . 8D4D E8        LEA ECX,DWORD PTR SS:[EBP-18]
00401A37   . FF15 6C104000  CALL DWORD PTR DS:[<&MSVBVM60.__vbaStrMo>;  MSVBVM60.__vbaStrMove
00401A3D   . 8BD0           MOV EDX,EAX
00401A3F   . 8D4E 34        LEA ECX,DWORD PTR DS:[ESI+34]
00401A42   . FF15 54104000  CALL DWORD PTR DS:[<&MSVBVM60.__vbaStrCo>;  MSVBVM60.__vbaStrCopy
00401A48   . 8D4D E8        LEA ECX,DWORD PTR SS:[EBP-18]
00401A4B   . FF15 7C104000  CALL DWORD PTR DS:[<&MSVBVM60.__vbaFreeS>;  MSVBVM60.__vbaFreeStr
00401A51   . 897D FC        MOV DWORD PTR SS:[EBP-4],EDI
00401A54   . 68 661A4000    PUSH WITHIT.00401A66
00401A59   . EB 0A          JMP SHORT WITHIT.00401A65
00401A5B   . 8D4D E8        LEA ECX,DWORD PTR SS:[EBP-18]
00401A5E   . FF15 7C104000  CALL DWORD PTR DS:[<&MSVBVM60.__vbaFreeS>;  MSVBVM60.__vbaFreeStr


可以看出,不带$的函数比带$的函数的反汇编代码要罗嗦很多,而且资源释放也比带$的麻烦,其效率可想比带$的函数差很多

两类函数只差一个$,所以建议大家使用带$的那类函数

IceMe
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
exe文件脱壳步骤txt下载
01-07
脱壳 步骤 脱壳步骤 壳的概念: 所谓“壳”就是专门压缩的工具。 这里的压缩并不是我们平时使用的RAR、ZIP这些工具的压缩,壳的压缩指的是针对exe、com、和dll等程序文件进行压缩,在程序加入一段如同保护层的代码,使原程序文件代码失去本来面目,从而保护程序不被非法修改和反编译,这段如同保护层的代码,与自然界动植物的壳在功能上有很多相似的地方,所以我们就形象地称之为程序的壳。 壳的作用: 1.保护程序不被非法修改和反编译。 2.对程序专门进行压缩,以减小文件大小,方便传播和储存。 壳和压缩软件的压缩的区别是 压缩软件只能够压缩程序 而经过壳压缩后的exe、com和dll等程序文件可以跟正常的程序一样运行 下面来介绍一个检测壳的软件 PEID v0.92 这个软件可以检测出 450种壳 新版增加病毒扫描功能,是目前各类查壳工具,性能最强的。 另外还可识别出EXE文件是用什么语言编写的VC++、Delphi、VB或Delphi等。 支持文件夹批量扫描 我们用PEID对easymail.exe进行扫描 找到壳的类型了 UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 说明是UPX的壳 下面进行 步骤2 脱壳 对一个加了壳的程序,去除其无关的干扰信息和保护限制,把他的壳脱去,解除伪装,还原软件本来的面目。这个过程就叫做脱壳。 脱壳成功的标志 脱壳后的文件正常运行,功能没有损耗。 还有一般脱壳后的文件长度都会大于原文件的长度。 即使同一个文件,采用不同的脱壳软件进行脱壳,由于脱壳软件的机理不通,脱出来的文件大小也不尽相同。 关于脱壳有手动脱壳和自动脱壳 自动脱壳就是用专门的脱壳机脱 很简单 按几下就 OK了 手动脱壳相对自动脱壳 需要的技术含量微高 这里不多说了 UPX是一种很老而且强大的壳 不过它的脱壳机随处就能找到 UPX本身程序就可以通过 UPX 文件名 -d 来解压缩 不过这些需要的 命令符输入 优点方便快捷 缺点DOS界面 为了让大家省去麻烦的操作 就产生了一种叫 UPX SHELL的外壳软件 UPX SHELL v3.09 UPX 外壳程序! 目的让UPX的脱壳加壳傻瓜化 注:如果程序没有加壳 那么我们就可以省去第二步的脱壳了,直接对软件进行分析了。 脱完后 我们进行 步骤3 运行程序 尝试注册 获取注册相关信息 通过尝试注册 我们发现一个关键的字符串 “序列号输入错误” 步骤4 反汇编 反汇编一般用到的软件 都是 W32Dasm W32dasm对于新手 易于上手 操作简单 W32Dasm有很多版本 这里我推荐使用 W32Dasm 无极版 我们现在反汇编WebEasyMail的程序文件easymail.exe 然后看看能不能找到刚才的字符串 步骤5 通过eXeScope这个软件来查看未能在w32dasm正确显示的字符串信息 eXeScope v6.50 更改字体,更改菜单,更改对话框的排列,重写可执行文件的资源,包括(EXE,DLL,OCX)等。是方便强大的汉化工具,可以直接修改用 VC++ 及 DELPHI 编制的程序的资源,包括菜单、对话框、字符串表等 新版可以直接查看 加壳文件的资源 我们打开eXeScope 找到如下字串符 122,"序列号输入错误 " 123,"恭喜您成为WebEasyMail正式用户的一员! " 124,注册成功 125,失败 重点是122 步骤6 再次返回 w32dasm * Possible Reference to String Resource ID=00122: "?鲹e ?" 但是双击后 提示说找不到这个字串符 不是没有 是因为 "?鲹e ?"是乱码 w32dasm对于文显示不是太好 毕竟不是国产软件 先把今天会用到的汇编基本指令跟大家解释一下 mov a,b ;把b的值赋给a,使a=b call :调用子程序 ,子程序以ret结为 ret :返回主程序 je或jz :若相等则跳转 jne或jnz :若不相等则跳转 push xx:xx 压栈 pop xx:xx 出栈 栈,就是那些由编译器在需要的时候分配,在不需要的时候自动清楚的变量的存储区。里面的变量通常是局部变量、函数参数等。 我们搜索 Possible Reference to String Resource ID=00122 因为对E文支持很好 我们来到了 * Referenced by a (U)nconditional or
数据逆向(三)——识别字符串与数组
蛛丝
08-11 1103
字符串    在C语言字符串是由字符组成,单字符不是字符串,至少有两个字符组成,且结尾字符是'/0'。    例如:"ABCD" 内存实际储存结构是 41H 42H 43H 44H 00H    字符串的寻址,依靠首字节进行寄存器相对寻址方式:    例如:访问"ABCD"的第二字节,byte ptr [ebx+1]    正是因为字符串的首字节索引的寻址方式,因此字符串往往要与指针配合。在C语言常见的,    例如:char *str=“ABCD”;//mov [xxxx],offset str
反汇编基础学习(二)
RMC131的博客
12-07 2880
逆向与汇编工具 一些用于逆向工程的老工具,IDA已经将这些工具的功能整合到它的用户几面。 分类工具 分辨一个文件时 “文件扩展名并无实际意义” file file命令是一个标准的实用工具,大多数*NIX分割的操作风格的操作系统和windows下的Cygwin或MinGw工具都带有这个实用工具。 Cygwin是运行于Windows平台的POSIX“子系统”,提供Windows下的类Unix环境,并提供将部分 Linux 应用“移植”到Windows平台的开发环境的一套软件。 MinGw 是用于进行 Wind
汇编角度理解 ebp&esp 寄存器、函数调用过程、函数参数传递以及堆栈平衡
个人笔记
04-04 8568
本文试图从汇编以及整体上,讲解函数调用时,堆栈的变化,以及到底是如何进行参数的传递。如果你细读此文,相信一定会有所收获。
汇编-栈帧-寄存器esp, ebp
max_ii_min的博客
04-23 3675
转载 原文地址 栈帧%ebp,%esp详解   分类专栏: 汇编 首先应该明白,栈是从高地址向低地址延伸的。每个函数的每次调用,都有它自己独立的一个栈帧,这个栈帧维持着所需要的各种信息。寄存器ebp指向当前的栈帧的底部(高地址),寄存器esp指向当前的栈帧的顶部(地址地)。下图为典型的存取器安排,观察栈在其的位置 入栈操作:push eax; 等价于 esp=esp-4,eax->[esp];如下图 出栈操作:pop eax
VB程序逆向反汇编常见的函数
chinaherolts2008的博客
07-30 948
VB程序逆向常用的函数 1) 数据类型转换: a) __vbaI2Str 将一个字符串转为8 位(1个字节)的数值形式(范围在 0 至 255 之间) 或2 个字节的数值形式(范围在 -32,768 到 32,767 之间)。 b)__vbaI4Str 将一个字符串转为长整型(4个字节)的数值形式(范围从-2,147,483,6482,147,483,647) c)__vbar4Str 将一个字符串转为单精度单精度浮点型(4个字节)的数值形式 d)__vbar8Str 将一个字符串转为双...
[反汇编练习] 160个CrackMe之009
LindaXu1220的博客
06-17 264
[反汇编练习] 160个CrackMe之009. 本系列文章的目的是从一个没有任何经验的新手的角度(其实就是我自己),一步步尝试将160个CrackMe全部破解,如果可以,通过任何方式写出一个类似于注册机的东西。 其,文章按照如下逻辑编排(解决如下问题): 1、使用什么环境和工具 2、程序分析 3、思路分析和破解流程 4、注册机的探索 -----------------...
c++循环执行一个函数_C|从流程图和汇编代码清晰看透递归函数代码的执行流程
weixin_39999536的博客
11-20 138
先看下面的简单实例:#include int counts(int n){printf("call: %d",n);if(n==0)return n;else{counts(n-1);printf("back: %d",n);return n;}}void main(){printf("%d",counts(3));getchar();}运行结果:call: 3call: 2call: 1call...
c++反汇编代码分析--循环结构
depe16540458的博客
04-05 171
推荐阅读: C++反汇编代码分析–函数调用 C++反汇编代码分析–循环结构 C++反汇编代码分析–偷调函数 走进内存,走进汇编指令来看C/C++指针 在此主要讨论或者验证三点:1、循环结构的反汇编代码分析2、函数,局部变量的保存位置3、方法的返回值保存位置验证一个没有找到答案的疑问:00401029 lea edi,[ebp-48h]0040102C...
32位汇编ebp、ebp-4、ebp+4、ebp+8等含义
qq_52572621的博客
11-07 3994
ebp-4: 从ebp-4开始到函数提升堆栈后的栈顶之间被称为缓冲区(一般缓冲区栈顶是:函数调用时提升堆栈后esp的值),我们常说的局部变量都是定义在这里,所以大致可以理解为函数。我们知道,当调用了一个函数后,底层汇编大多数会使用ebp寻址的方式去查找参数,关于ebp与esp寻址可以看我这篇文章《ebp寻址》。的含义,先总结这么多,因为长时间不使用汇编可能会忘了这些东西,忘了的话翻到这篇文章看看就行了。ebp+4:存放call指令调用函数时压入堆栈的。ebp+C: 存放函数传参的第二个参数地址。
VBExplorer1.1,可以对vb6做的程序进行逆向
07-31
VBExplorer1.1,可以对vb6做的程序进行逆向,不过值可以得到基本信息,想要全的只有靠反汇编了。
VB反编译工具|VB反编译精灵(VB Decompiler Pro)9.8 破解版
03-28
加入一个程序被编译成.net汇编反编译器将恢复所有的托管代码的数据表和模块,并且使用IL反汇编反汇编所有的方法,函数以及事件。反编译并不需要.NET Framework并且支持所有的32位Windows操作系统。 VB ...
DLL函数查看器V3.5
07-24
*修复部分EXE文件导入表函数反汇编无识别的问题 *修复"总在最前"时"选项设置"窗口无法显示的问题 *修复数据处理等待画面引起的程序意外退出的问题 DLL函数查看器V3.3 (2011.08.28) =========================== *...
OllyDbg 1.1 增强版
07-20
包含了部分VB常见函数,部分VC函数.包含部分MSVCRT.DLL函数. 该版本看雪的论坛下载(添加过API后版本) 主要修改: 1、自动配置UDD、PLUGIN为绝对路径 2、解决 OD 格式化 Long Double 错误 3、OD数据窗口复制...
c#学习笔记.txt
12-15
若要在一个用 @ 引起来的字符串包括一个双引号,请使用两对双引号:@ 符号的另一种用法是使用碰巧成为 C# 关键字的被引用的 (/reference) 标识符。 8, 修饰符 修饰符作用 访问修饰符 public private internal ...
软件破解入门教程.txt
03-18
第五课 学习更多关于“绘制”文本串的知识 第六课 处理键盘输入消息 第七课 处理鼠标输入消息 第八课 菜单 第九课 子窗口控件 第十课 以对话框为主要界面的应用程序 第十一课 进一步学习对话框的应用程序 第...
C#微软培训资料
01-22
18.2 在 C #代码调用 C++和 VB 编写的组件 .240 18.3 版 本 控 制 .249 18.4 代 码 优 化 .252 18.5 小 结 .254 第五部分 附 录 .255 附录 A 关 键 字.255 附录 B 错 误 码.256 附录 C .Net 名字空间...
vc++ 应用源码包_6
09-15
OD反汇编引擎(带VC修改版和原版) 如题。主要文件就4个,非常适合学习,详细见源码。 OPENG开发的示例代码c++版 演示了OpenG的使用方法,内含几个实例,一个实例就3个文件。 p2p vb实例。 p2p+technology文档。 ...
Visual.Basic.2010.&.NET4.高级编程(第6版)-文字版.pdf
03-20
4.4 il反汇编程序 222 4.5 内存管理 223 4.5.1 传统的垃圾回收机制 223 4.5.2 更快地为对象分配内存 230 4.5.3 垃圾回收器的优化 231 4.6 名称空间 232 4.6.1 名称空间的概念 233 4.6.2 名称空间与...
vb 处理http返回的字符串
最新发布
06-26
' 处理字符串不包含关键词的情况 End If ``` 需要注意的是,在处理 HTTP 返回的字符串时,可能会遇到编码问题。例如,有些响应会使用 Unicode 编码而非 UTF-8 编码。此时可以使用 VB 提供的 Unicode 转换函数将...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值