|
Delphi 5 反汇编摘要
有许多工具可以帮助Delphi的逆向工程,我用得较多的是DeDe和IDA Pro。在IDA Pro中通过加载FLIRT模块(File/Load file/FLIRT signature fire…)可以根据开发工具获得一些二进制中不存在的符号。这对于破解、帮助阅读汇编代码是很有帮助的。同样的功能在DeDe 3.5中叫做.dsf符号库,不过实际用起来看FLIRT似乎能够获得更多的符号信息,而DeDe可以得到Delphi特有的数据,如.dpr, .dfm, .pas工程文件。
Delphi编译代码和一般的C编译代码不太一样,比如调用约定中,C的thiscall用ECX传递this指针,而Delphi的thiscall用EAX传递this指针;C的fastcall一般用ECX/EDX两个寄存器用于参数传递,而Delphi则用三个EAX/EDX/ECX;在使用浮点数时,C通过压栈两个DWORD传递double参数,而Delphi则用FLD和FSTP直接通过FPU传递参数。修饰名也不一样,这里不加叙述。
关于调用约定参考 http://baby.homeip.net/patrick/archives/000142.php
目前的IDA尚不支持加载.MAP/.SYM符号信息,根据DataRescue网站的说明,可以通过.IDC脚本加载(http://www.ccso.com/faq.html)。DeDe的IDA/Softice符号输出中据说可以自动检测运行的Soft-ICE并向其导入符号,但实际使用时不是很灵光,根据.MAP文件格式可以写一个程序将其转换成.IDC脚本:
#!/usr/bin/perl
use strict;
sub dump_idc;
my $hex_pat = "[0-9A-Fa-f]+";
my $start;
my @entries;
while (<>) {
chop;
if ($start eq ''''--fetch-next'''') {
# start, length, name, class
($start) = m/$hex_pat:($hex_pat)\s+($hex_pat)H\s+(\w+)\s+(\w+)/;
if (!$start) {
print STDERR "Invalid .map file format!";
exit -1;
}
$start = hex($start);
next;
}
if (m/Start\s+Length\s+Name\s+Class/) {
$start = ''''--fetch-next'''';
next;
}
if (m/$hex_pat:($hex_pat)\s*(.*)$/) {
my ($offset, $entry) = (hex($1), $2);
my $rva = $offset + $start;
push @entries, [$rva, $entry];
}
}
@entries = sort { $a->[0] cmp $b->[0] } @entries;
&dump_idc;
sub dump_idc {
print "static main() {\n";
foreach (@entries) {
my ($rva, $entry) = @$_;
#$rva = hex($rva);
$entry =~ s/^\*/\$/;
$entry =~ s/^[<>\-]*//;
$entry =~ s/\(.*$//;
$entry =~ s/:.*$//;
$entry =~ s/\./?/;
[1] [2] 下一页
[Web开发]VS2005+SQL2005之.NET2.0数据库连接 [系统软件]InstallShield Express for delphi制作安装程序定…
[常用软件]InstallShield Express制作Delphi数据库安装程序 [常用软件]公共场所慎用Foxmail5 以防泄露隐私
[VB.NET程序]VB.NET 实现DirectSound9 (5) DS3D2 [VB.NET程序]VB程序员眼中的C# 5
[Delphi程序]为什么选择Delphi.Net ? [Delphi程序]《关于VisiBroker For Delphi的使用》(4)
[Delphi程序]Delphi 程序员代码编写标准指南 [Delphi程序]转贴:Conversion to Delphi 6: Missing unit Pro…
| 
注:本站部分文章源于互联网,版权归原作者所有!如有侵权,请原作者与本站联系,本站将立即删除! 本站文章除特别注明外均可转载,但需注明出处! [MinTao学以致用网] 
