Delphi 5 反汇编摘要
有许多工具可以帮助Delphi的逆向工程,我用得较多的是DeDe和IDA Pro。在IDA Pro中通过加载FLIRT模块(File/Load file/FLIRT signature fire…)可以根据开发工具获得一些二进制中不存在的符号。这对于破解、帮助阅读汇编代码是很有帮助的。同样的功能在DeDe 3.5中叫做.dsf符号库,不过实际用起来看FLIRT似乎能够获得更多的符号信息,而DeDe可以得到Delphi特有的数据,如.dpr, .dfm, .pas工程文件。
Delphi编译代码和一般的C编译代码不太一样,比如调用约定中,C的thiscall用ECX传递this指针,而Delphi的thiscall用EAX传递this指针;C的fastcall一般用ECX/EDX两个寄存器用于参数传递,而Delphi则用三个EAX/EDX/ECX;在使用浮点数时,C通过压栈两个DWORD传递double参数,而Delphi则用FLD和FSTP直接通过FPU传递参数。修饰名也不一样,这里不加叙述。
关于调用约定参考 http://baby.homeip.net/patrick/archives/000142.php
目前的IDA尚不支持加载.MAP/.SYM符号信息,根据DataRescue网站的说明,可以通过.IDC脚本加载(http://www.ccso.com/faq.html)。DeDe的IDA/Softice符号输出中据说可以自动检测运行的Soft-ICE并向其导入符号,但实际使用时不是很灵光,根据.MAP文件格式可以写一个程序将其转换成.IDC脚本:
#!/usr/bin/perl
use strict;
sub dump_idc;
my $hex_pat = "[0-9A-Fa-f]+";
my $start;
my @entries;
while (<>) {
chop;
if ($start eq '--fetch-next') {
# start, length, name, class
($start) = m/$hex_pat:($hex_pat)\s+($hex_pat)H\s+(\w+)\s+(\w+)/;
if (!$start) {
print STDERR "Invalid .map file format!";
exit -1;
}
$start = hex($start);
next;
}
if (m/Start\s+Length\s+Name\s+Class/) {
$start = '--fetch-next';
next;
}
if (m/$hex_pat:($hex_pat)\s*(.*)$/) {
my ($offset, $entry) = (hex($1), $2);
my $rva = $offset + $start;
push @entries, [$rva, $entry];
}
}
@entries = sort { $a->[0] cmp $b->[0] } @entries;
&dump_idc;
sub dump_idc {
print "static main() {\n";
foreach (@entries) {
my ($rva, $entry) = @$_;
#$rva = hex($rva);
$entry =~ s/^\*/\$/;
$entry =~ s/^[<>\-]*//;
$entry =~ s/\(.*$//;
$entry =~ s/:.*$//;
$entry =~ s/\./?/;
$entry =~ s/\[([0-9]+)\]/_$1/g;
$entry =~ s/\[.*$/_$rva/;
$entry =~ s/;.*$//;
$entry =~ s/^\s *//;
next if !$entry;
printf "MakeName(0x%x, \"$entry\");\n", $rva, $entry;
}
print "}\n";
}
1;
有些程序在检验注册码时通过抛出异常等行为确定是否注册成功,关于异常Matt Pietrek有一篇著名文章http://www.microsoft.com/msj/0197/Exception/Exception.aspx值得一读。从汇编代码上看,所有try/catch块都有类似的结构:
CODE:004BDE4C xor eax, eax
CODE:004BDE4E push ebp
CODE:004BDE4F push offset loc_4BDE92
CODE:004BDE54 push dword ptr fs:[eax] ; 保存上一个handler
CODE:004BDE57 mov fs:[eax], esp
CODE:004BDE92 loc_4BDE92:
CODE:004BDE92 jmp _Any2_Handler_DevErr?
CODE:004BDE97 jmp short loc_4BDE89
CODE:004BDEEA pop edx ; 上一个handler
CODE:004BDEEB pop ecx
CODE:004BDEEC pop ecx
CODE:004BDEED mov fs:[eax], edx ; 恢复
注意到4BDE97H处代码未被执行,这是怎么回事呢?原来它是finally对应的块,SEH内核会根据push offset loc_4BDE92自动得到4BDE97H的finally入口地址。因此在调试有异常处理的程序时,有时需要在handler和finally的处理程序处也设置断点。
今天先到这里,可能的话下次再贴。
