逆向——VB调试

VB调试

因为VB的程序有单独的一个库，所以专门说明。

认识VB

两种编方式

• N-code：VB 5.0以后，为了改善VB的运行速度
• P-code：VB 4.0以前，此代码CPU不能直接运行，需要通过特殊的解释器翻译

VB逆向中常用的函数：

数据类型转换

• __vbaI2Str：将一个字符串转为8 位（1个字节）的数值形式(范围在 0 至 255 之间) 或2 个字节的数值形式(范围在 -32,768 到 32,767 之间)。
• __vbaI4Str：将一个字符串转为长整型(4个字节)的数值形式
• __vbar4Str：将一个字符串转为单精度单精度浮点型(4个字节)的数值形式
• __vbar8Str：将一个字符串转为双精度单精度浮点型(8个字节)的数值形式
• VarCyFromStr：(仅VB6库. 要调试，则在WINICE.DAT里必须有 OLEAUT32.DLL)字符串到变比型数据类型
• VarBstrFromI2：(仅VB6库. 要调试，则在WINICE.DAT里必须有 OLEAUT32.DLL)整型数据到字符串

数据移动

• __vbaStrCopy：将一个字符串拷贝到内存，类似于 Windows API HMEMCPY
• __vbaVarCopy：将一个变量值串拷贝到内存
• __vbaVarMove：变量在内存中移动，或将一个变量值串拷贝到内存

数学运算

• __vbavaradd：两个变量值相加
• __vbavarsub：第一个变量减去第二个变量
• __vbavarmul：两个变量值相乘
• __vbavaridiv：第一个变量除以第二个变量，得到一个整数商
• __vbavarxor：两个变量值做异或运算

程序设计杂项

• __vbavarfornext：这是VB程序里的循环结构， For… Next… (Loop)
• __vbafreestr：释放出字符串所占的内存，也就是把内存某个位置的字符串给抹掉
• __vbafreeobj：释放出VB一个对象(一个窗口，一个对话框)所占的内存，也就是把内存某个位置的一个窗口，一个对话框抹掉
• __vbastrvarval：从字符串特点位置上获取其值