CSDN博客

img jljljjl

Delphi 5 反汇编摘要

发表于2004/4/15 16:07:00  1116人阅读

 

Delphi 5 反汇编摘要

 

有许多工具可以帮助Delphi的逆向工程,我用得较多的是DeDeIDA Pro。在IDA Pro中通过加载FLIRT模块(File/Load file/FLIRT signature fire…)可以根据开发工具获得一些二进制中不存在的符号。这对于破解、帮助阅读汇编代码是很有帮助的。同样的功能在DeDe 3.5中叫做.dsf符号库,不过实际用起来看FLIRT似乎能够获得更多的符号信息,而DeDe可以得到Delphi特有的数据,如.dpr, .dfm, .pas工程文件。

 

Delphi编译代码和一般的C编译代码不太一样,比如调用约定中,CthiscallECX传递this指针,而DelphithiscallEAX传递this指针;Cfastcall一般用ECX/EDX两个寄存器用于参数传递,而Delphi则用三个EAX/EDX/ECX;在使用浮点数时,C通过压栈两个DWORD传递double参数,而Delphi则用FLDFSTP直接通过FPU传递参数。修饰名也不一样,这里不加叙述。

 

关于调用约定参考 http://baby.homeip.net/patrick/archives/000142.php

 

目前的IDA尚不支持加载.MAP/.SYM符号信息,根据DataRescue网站的说明,可以通过.IDC脚本加载(http://www.ccso.com/faq.html)。DeDeIDA/Softice符号输出中据说可以自动检测运行的Soft-ICE并向其导入符号,但实际使用时不是很灵光,根据.MAP文件格式可以写一个程序将其转换成.IDC脚本:

 

#!/usr/bin/perl

use strict;

sub dump_idc;

 

my $hex_pat = "[0-9A-Fa-f]+";

 

my $start;

my @entries;

 

while (<>) {

    chop;

    if ($start eq '--fetch-next') {

       # start, length, name, class

        ($start) = m/$hex_pat:($hex_pat)/s+($hex_pat)H/s+(/w+)/s+(/w+)/;

        if (!$start) {

           print STDERR "Invalid .map file format!";

           exit -1;

       }

        $start = hex($start);

        next;

    }

 

    if (m/Start/s+Length/s+Name/s+Class/) {

        $start = '--fetch-next';

        next;

    }

   

    if (m/$hex_pat:($hex_pat)/s*(.*)$/) {

        my ($offset, $entry) = (hex($1), $2);

        my $rva = $offset + $start;

        push @entries, [$rva, $entry];

    }

}

 

@entries = sort { $a->[0] cmp $b->[0] } @entries;

 

&dump_idc;

 

sub dump_idc {

    print "static main() {/n";

   

    foreach (@entries) {

        my ($rva, $entry) = @$_;

        #$rva = hex($rva);

      

        $entry =~ s/^/*//$/;

        $entry =~ s/^[<>/-]*//;

        $entry =~ s//(.*$//;

        $entry =~ s/:.*$//;

        $entry =~ s//./?/;

        $entry =~ s//[([0-9]+)/]/_$1/g;

        $entry =~ s//[.*$/_$rva/;

        $entry =~ s/;.*$//;

 

        $entry =~ s/^/s *//;

        next if !$entry;

      

        printf "MakeName(0x%x, /"$entry/");/n", $rva, $entry;

    }

   

    print "}/n";

}

 

1;

 

有些程序在检验注册码时通过抛出异常等行为确定是否注册成功,关于异常Matt Pietrek有一篇著名文章http://www.microsoft.com/msj/0197/Exception/Exception.aspx值得一读。从汇编代码上看,所有try/catch块都有类似的结构:

 

CODE:004BDE4C          xor     eax, eax

CODE:004BDE4E          push    ebp

CODE:004BDE4F          push    offset loc_4BDE92

CODE:004BDE54          push    dword ptr fs:[eax]    ; 保存上一个handler

CODE:004BDE57          mov     fs:[eax], esp

 

CODE:004BDE92 loc_4BDE92:

CODE:004BDE92          jmp     _Any2_Handler_DevErr?

CODE:004BDE97          jmp     short loc_4BDE89

 

CODE:004BDEEA          pop     edx               ; 上一个handler

CODE:004BDEEB          pop     ecx

CODE:004BDEEC          pop     ecx

CODE:004BDEED          mov     fs:[eax], edx    ; 恢复

 

注意到4BDE97H处代码未被执行,这是怎么回事呢?原来它是finally对应的块,SEH内核会根据push offset loc_4BDE92自动得到4BDE97Hfinally入口地址。因此在调试有异常处理的程序时,有时需要在handlerfinally的处理程序处也设置断点。

 

今天先到这里,可能的话下次再贴。

0 0

相关博文

我的热门文章

img
取 消
img