某Delphi软件逆向记录

已于 2023-10-04 14:02:42 修改
阅读量1.3k 收藏 3
点赞数
文章标签: 汇编 网络安全
于 2023-10-04 09:25:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35742456/article/details/133543398
版权

目录

某Delphi软件逆向记录

一、背景

最近逆向分析某个工具类软件,拖进die里分析结果如下:
在这里插入图片描述
居然是加了上古的ASPack壳,并且是Delphi编写的,估计维护这个软件的公司10年以内没有重构过了。从网上随便找了个脚本把ASPack的壳脱了,但是Delphi编译后乍看一片混乱,俗话说工欲善其事必先利其器,需要找一套合适的工具先还原一下符号信息。

二、还原符号信息

从github上找到了一个神器IDR(链接),把脱壳后的二进制文件直接拖到里面,软件会自动分析出是Delphi 7编写的。然后把(可能)含有Delphi 7的符号信息kb7.7z解压后放在IDR运行的目录下,软件便可以自动分析并还原符号信息。
还原完毕后,可以点击 Tools -> IDC Generator 导出idc脚本给IDA使用。然而,在ida中运行导出的idc脚本后,会发现很多函数虽然起始地址和结束地址是对的,但是内部的汇编代码全被误识别成了二进制的数据(如db dd dw)。需要再写一个python脚本,遍历还原出的函数,让IDA对其进行重新分析

from idc import *
first_addr = 0x401000
current_func = get_next_fchunk(first_addr)
while (current_func != BADADDR):
    end = find_func_end(current_func)
    plan_and_wait(current_func,end)
    print(f'analyzing from {hex(current_func)} to {hex(end)}')
    current_func = get_next_fchunk(current_func)

三、愉快的逆向

此处自行脑补
有一个比较坑的地方是Delphi中的字符串通常不是以\0结尾,而直接在字符串首部用1位的信息记录整个字符串的长度

qq_35742456
关注
Delphi 5 反汇编摘要
除了C++外,我还会暖床
04-15 1690
 Delphi 5 反汇编摘要 有许多工具可以帮助Delphi逆向工程,我用得较多的是DeDe和IDA Pro。在IDA Pro中通过加载FLIRT模块(File/Load file/FLIRT signature fire…)可以根据开发工具获得一些二进制中不存在的符号。这对于破解、帮助阅读汇编代码是很有帮助的。同样的功能在DeDe 3.5中叫做.dsf符号库,不过实际用起来看
IDR (Interactive Delphi Reconstructor) 开源的Delphi反编译工具
05-24
Delphi反编译的神器,不输DEDE。 已经构建完成,下载解压即用。 IDR (Interactive Delphi Reconstructor) 源码需要 Borland C++ Builder V6.0构建,可参考https://github.com/crypto2011/IDR
推荐文章:IDR - 您的交互式Delphi汇编利器
gitblog_00250的博客
08-08 430
推荐文章:IDR - 您的交互式Delphi汇编利器 IDRInteractive Delphi Reconstructor项目地址:https://gitcode.com/gh_mirrors/id/IDR 1、项目介绍 IDR(Interactive Delphi Reconstructor)是一款专为Windows32环境设计的Delphi汇编器,能够处理EXE和DLL文件。它的主要目...
IDR:开源的Delphi反编译利器,助你深入解析Delphi程序
最新发布
gitblog_09756的博客
09-07 480
IDR:开源的Delphi反编译利器,助你深入解析Delphi程序 项目地址:https://gitcode.com/open-source-toolkit/b4069 项目介绍 在软件开发和逆向工程领域,Delphi作为一种强大的编程语言,其编写的程序常常需要进行深入的分析和理解。为了满足这一需求,**IDR(Interactive Delphi Reconstructor)**应运而生。IDR...
Delphi汇编内部字符串处理函数/过程不完全列表
LindaXu1220的博客
06-13 353
Delphi汇编内部字符串处理函数/过程不完全列表 名称 参数 返回值 作用 等价形式 / 备注 _PStrCat EAX :目标字符串 EDX :源字符串 EAX 连接两个 Pascal 字符串 s:=copy(s+s1,1,255) _PStrNCat EAX :目标字符串 EDX :源字符串 CL :结果字符串最大长度 EAX 连接两...
delphi程序的逆向方法
biyusr的专栏
05-07 1291
1.首先用dede对delphi程序进行反汇编 2.可以根据界面上的信息寻找关键点的汇编位置。 3.再用od进行跟踪分析。 4.今日学习逆向小结。
Delphi逆向工程笔记
01-14
看雪论坛上搜集的资料,将其整理成CHM文档
OD 实验(十二) - 对一个 Delphi 程序的逆向
andiao1218的博客
09-19 1340
程序: 运行程序 界面显示的是未注册 点击 Help -> About 点击 Use Reg Key 这里输入注册码 用 PEiD 看一下 该程序是用 Delphi 6.0 - 7.0 写的 逆向: 用 OD 打开程序 右键 -> 查找 -> 所有参考文本字串 然后右键 -> 查找文本 搜索 这里有个是 a...
OD使用教程12(逆向后的Delphi特色) - 调试篇12|解密系列
weixin_34015336的博客
11-15 302
OD使用教程12(逆向后的Delphi特色) - 调试篇12 让编程改变世界 Change the world by program 这节课我们的主题是:逆向后的Delphi特色。 VC的逆向大家可能更熟悉,但Delphi逆向又有哪些特色和陷阱呢?这节课小甲鱼会告诉大家! 当中出现的一些知识点也希望大家做下笔记,课后自己多尝试领悟升华! [buy]获得...
【翻译】Delphi中类的逆向工程
wowbell的专栏
01-05 1294
标 题: 【翻译】Delphi中类的逆向工程 作 者: firstrose 时 间: 2004-12-09,18:37:44 链 接: http://bbs.pediy.com/showthread.php?t=8209 前段时间看到NB王(就是说nbw:D……喂,nbw你不生气吧?)转的文章,觉得很有用。于是想翻译一下。无奈本人太懒,拖到现在。不过总算在今天晚饭以前赶完了:D
逆向Delphi程序逆向之熊猫烧香病毒分析
bailing1370的博客
08-15 1302
1、前言 本文主要用于记录Delphi程序逆向的一些方法和技巧,以及熊猫烧香病毒的分析过程。 2、分析技巧 2.1 使用IDR或DEDE加载Delphi程序,导出Map文件,将Map文件导入OD。 2.2 IDA加载Delphi程序后,根据实际情况修改编译器选项,ASCII字符串风格,增加代码可读性。 2.3 IDA添加Delphi程序签名文件,识别常用系统函数调用。 2.4...
delphi反编译工具
09-18
delphi反编译工具,支持各种delphi版本的开发的exe,dll程序的反编译
delphi工具
08-24
delphi工具查delphi三层,客户端和服务端是否连接本地中间层
delphi反编译三剑客工具
06-05
Delphi程序 一、 IDR (piblic version) IDR (Interactive Delphi Reconstructor) , Delphi汇编利器,不断更新中。官方主页:http://kpnc.org/idr32/en/download.htm 二、 Delphi Decompiler v1.1.211b Delphi反编译工具 三、 DeDe 3.5原版 反Delphi、 C++ bulid。(DeDe3.2004源码下载) DeDe3.50.04 Fix加强版 DEDE 3.50.4的修改版(超强版:P) by DarkNess0ut 01.修改了Title和ClassName "DeDe"->"DarK",绝大部分的Anti检测都没有用了 02.DIY原DEDE,使得可以反汇编得到非标准程序的Forms格式和Procedures的事件 03.直接反汇编功能的选项 04.增加对特殊处理过的PACKAGEINFO的Uint List的显示 05.修改原有的"Open With DEDE"的注册键错误&BUG;,可以使用右键运行DEDE反汇编Delphi/BCB 06.去处NAG显示 07.修复原有Dump Active Process的BUG 08.Enable Dump按钮 09.修复拖放处理程序时,确认对话框的BUG! 10.修复Forms下将DFM保存为RES文件的BUG! 11.Enable Procedures下右键的Analize Class功能 12.修复Forms下DFM的"Open With NotePad"功能 13.heXer提供修复反汇编引擎的代码,主要是解决了反汇编的错误
delphi10.2.3
03-27
delphi10.2.3(keygen) delphi10.2.3(keygen) delphi10.2.3(keygen)
Delphi软件的破解
05-28
了解Delphi软件的破解过程 直接写软件时有所防备
逆向工程——使恶意软件难以逆向的技术
chucen8556的博客
04-03 789
前言 在攻防对抗的博弈中,恶意软件的作者总是想方设法阻止反病毒公司、安全研究人员对其编写的恶意软件进行检测、分析.在对抗中,技术的进步螺旋式上升,那么编写恶意软件的人都采用了哪些技术来对抗分析?这些技术又是如何发展的?反病毒公司如何应对这种挑战?作者 Bartosz Wójcik 给出了自己的...
软考中级-软件设计师 知识点整理(一篇就过了 建议收藏)
热门推荐
Y的博客
09-23 11万+
软考中级-软件设计师上午题知识点总结
计算机网络:逆向工程(精细版)
Yummy的博客
05-09 4719
(一)汇编逆向工程基础篇 本系列文章将讲解逆向工程的各种知识,难度由浅入深。 汇编逆向工程的基础,这篇文章讲解并不深入但是覆盖了你刚开始学习汇编需要了解的所有基础知识!汇编语言是一切程序的起点和终点,毕竟所有的高级语言都是建立在汇编基础之上的。在许多高级语言中我们都需要相对明确的语法,但是在汇编中,我们会使用一些单词缩写和数字来表达程序。 I. 单元、位和字节 ·BIT(位)-...
理解Delphi的变体记录类型
"Delphi教程-记录的变体部分" 在Delphi编程中,记录(Record)是一种复合数据类型,它可以包含各种不同的数据成员。在某些情况下,记录可能包含一个变体部分,这允许根据特定的条件选择性地访问或存储不同类型的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值