数据挖掘论坛
有许多工具可以帮助Delphi的逆向工程,我用得较多的是DeDe和IDA Pro。在IDA Pro中通过加载FLIRT模块(File/Load file/FLIRT signature fire…)可以根据开发工具获得一些二进制中不存在的符号。这对于破解、帮助阅读汇编代码是很有帮助的。同样的功能在DeDe 3.5中叫做.dsf符号库,不过实际用起来看FLIRT似乎能够获得更多的符号信息,而DeDe可以得到Delphi特有的数据,如.dpr, .dfm, .pas工程文件。
数据挖掘实验室
Delphi编译代码和一般的C编译代码不太一样,比如调用约定中,C的thiscall用ECX传递this指针,而Delphi的thiscall用EAX传递this指针;C的fastcall一般用ECX/EDX两个寄存器用于参数传递,而Delphi则用三个EAX/EDX/ECX;在使用浮点数时,C通过压栈两个DWORD传递double参数,而Delphi则用FLD和FSTP直接通过FPU传递参数。修饰名也不一样,这里不加叙述。 数据挖掘工具
数据挖掘研究院
关于调用约定参考 http://baby.homeip.net/patrick/archives/000142.php 数据挖掘研究院
数据挖掘论坛
目前的IDA尚不支持加载.MAP/.SYM符号信息,根据DataRescue网站的说明,可以通过.IDC脚本加载(http://www.ccso.com/faq.html)。DeDe的IDA/Softice符号输出中据说可以自动检测运行的Soft-ICE并向其导入符号,但实际使用时不是很灵光,根据.MAP文件格式可以写一个程序将其转换成.IDC脚本: 数据挖掘工具
#!/usr/bin/perl 数据挖掘交友
use strict; 数据挖掘交友
sub dump_idc;
数据挖掘交友
my $hex_pat = "[0-9A-Fa-f]+"; 数据挖掘研究院
my $start; 数据挖掘论坛
my @entries; 数据挖掘论坛
while (<>) {
chop;
if ($start eq "--fetch-next") { 数据挖掘工具
# start, length, name, class 数据挖掘交友
($start) = m/$hex_pat:($hex_pat)s+($hex_pat)Hs+(w+)s+(w+)/; 数据挖掘工具
if (!$start) { 数据挖掘交友
print STDERR "Invalid .map file format!"; 数据挖掘交友
exit -1; 数据挖掘论坛
}
$start = hex($start); 数据挖掘实验室
next; 数据挖掘研究院
} 数据挖掘交友
数据挖掘论坛
if (m/Starts+Lengths+Names+Class/) { 数据挖掘工具
$start = "--fetch-next";
next;
}
数据挖掘研究院
if (m/$hex_pat:($hex_pat)s*(.*)$/) { 数据挖掘论坛
my ($offset, $entry) = (hex($1), $2); 数据挖掘研究院
my $rva = $offset + $start;
push @entries, [$rva, $entry]; 数据挖掘实验室
} 数据挖掘论坛
} 数据挖掘研究院
数据挖掘交友
@entries = sort { $a->[0] cmp $b->[0] } @entries; 数据挖掘交友
数据挖掘工具
&dump_idc;
数据挖掘工具
sub dump_idc {
print "static main() {
"; 数据挖掘论坛
foreach (@entries) { 数据挖掘工具
my ($rva, $entry) = @$_;
#$rva = hex($rva);
数据挖掘交友
$entry =~ s/^*/$/; 数据挖掘实验室
$entry =~ s/^[<>-]*//; 数据挖掘论坛
$entry =~ s/(.*$//; 数据挖掘交友
$entry =~ s/:.*$//; 数据挖掘研究院
$entry =~ s/./?/; 数据挖掘实验室
$entry =~ s/[([0-9]+)]/_$1/g;
$entry =~ s/[.*$/_$rva/; 数据挖掘工具
$entry =~ s/;.*$//; 数据挖掘研究院
数据挖掘研究院
$entry =~ s/^s *//; 数据挖掘论坛
next if !$entry;
数据挖掘论坛
printf "MakeName(0x%x, "$entry");
", $rva, $entry; 数据挖掘工具
} 数据挖掘论坛
print "}
"; 数据挖掘工具
}
数据挖掘研究院
1; 数据挖掘交友
数据挖掘实验室
有些程序在检验注册码时通过抛出异常等行为确定是否注册成功,关于异常Matt Pietrek有一篇著名文章http://www.microsoft.com/msj/0197/Exception/Exception.aspx值得一读。从汇编代码上看,所有try/catch块都有类似的结构:
数据挖掘工具
CODE:004BDE4C xor eax, eax
CODE:004BDE4E push ebp 数据挖掘工具
CODE:004BDE4F push offset loc_4BDE92
CODE:004BDE54 push dword ptr fs:[eax] ; 保存上一个handler
CODE:004BDE57 mov fs:[eax], esp
数据挖掘实验室
CODE:004BDE92 loc_4BDE92: 数据挖掘实验室
CODE:004BDE92 jmp _Any2_Handler_DevErr? 数据挖掘工具
CODE:004BDE97 jmp short loc_4BDE89
数据挖掘交友
CODE:004BDEEA pop edx ; 上一个handler 数据挖掘研究院
CODE:004BDEEB pop ecx 数据挖掘研究院
CODE:004BDEEC pop ecx
CODE:004BDEED mov fs:[eax], edx ; 恢复 数据挖掘交友
数据挖掘研究院
注意到4BDE97H处代码未被执行,这是怎么回事呢?原来它是finally对应的块,SEH内核会根据push offset loc_4BDE92自动得到4BDE97H的finally入口地址。因此在调试有异常处理的程序时,有时需要在handler和finally的处理程序处也设置断点。 数据挖掘交友
今天先到这里,可能的话下次再贴。 数据挖掘研究院 
|
