Delphi décompilation

Il ya quelques choses que l'aide à inverser delphi programmes:

• Vous obtenez la pleine forme de données, y compris le nom de méthodes de gestionnaire d'événement
• Tous les membres avec published visibilité des métadonnées utilisé avec RTTI
• Le compilateur est assez mauvais à l'optimisation. Ce n'est pas tout le programme de l'optimisation et de l'assemblée est habituellement un simple traduction de la source d'origine avec seulement de légères modifications. (Au moins, il était dans les versions que j'ai utilisé, pourrait avoir amélioré depuis)
• Toutes les classes, même ceux compilé avec RTTI ont un certain niveau de métadonnées disponibles. En particulier, il est possible d'obtenir le nom et l'héritage de la structure de classes. Et pour n'importe quelle instance d'une classe, il vous arrive de voir dans le débogueur, vous pouvez obtenir son VMT et donc son nom de la classe.

Delphi utilise des fichiers texte décrivant le contenu de votre formulaire et de crochets de gestionnaires d'événements par nom. Évidemment, cette approche a besoin de suffisamment de métadonnées pour désérialiser que la représentation textuelle d'un crochet et les gestionnaires d'événements par nom.

Une alternative quelques autres kits graphiques utilisation est auto-génération de code qui initialise le formulaire et les crochets du gestionnaire d'événements avec le code. Étant donné que ce code utilise directement les pointeurs vers les gestionnaires d'événements et affecte directement les propriétés/appels setters il n'a pas besoin de métadonnées. Qui a pour effet secondaire que l'inversion devient un peu plus difficile.

Il ne devrait pas être trop difficile de créer un programme qui transforme un fichier dfm en une série d'instructions codées en dur qui crée la forme à la place. Si un outil comme Dédé ne fonctionne pas bien plus. Mais ce n'est pas le gain de beaucoup dans la pratique.

Mais de déterminer qui evenhandler correspond à qui le contrôle/l'événement est encore assez facile. Surtout depuis que des choses comme le FLIRT identifie la plupart des fonctions de la bibliothèque. Vous avez juste besoin d'un point d'arrêt de la celle qui vous intéresse et puis l'étape dans le code de l'utilisateur.

OriginalL'auteur CodesInChaos

Histoire de la tranchée: la Décompilation d'un minuscule Delphi DLL

J'ai été par le biais d'un Delphi décompilation session de moi-même. Il était l'un de ces faux-sondage "j'ai perdu mes sources" chose, je n'ai vraiment perdre les sources pour une minuscule Firebird UDF de la bibliothèque. Maintenant, je fais pas mieux, je n'ai pas sauté à droite dans la décompilation parce que la bibliothèque était si petit et je savais que d'une réécriture serait beaucoup plus rapide.

Cette DLL exporte une fonction qui ressemble à ceci:

function udf_do_some_math(Number1, Number2:Currency): Currency;

Après avoir fait de la sane chose et la réécriture de la fonction et de faire des tests de régression, j'ai découvert quelque coin obscur-les cas où la nouvelle fonction du résultat n'était pas la même que l'ancienne fonction du résultat! Le problème était, la nouveau fonction du résultat en a été le résultat correct, l'ancienne DLL contenait un BUG et j'ai eu à reproduire le BUG - avec cette fonction, la cohérence est plus importante que la précision.

Encore une fois, ne le sane chose et a essayé de "deviner" le BUG. Je savais que c'était un arrondi de la question, mais ne pouvaient tout simplement pas comprendre ce que c'était. Finalement, j'ai décidé de donner la décompilation j'essaie. Après tout, c'était une petite bibliothèque, le point d'entrée a été simple et je n'ai pas vraiment besoin de re-code compilable, ni 100% décompilation: j'ai seulement besoin de suffisamment de comprendre le vieux BUG donc je peux le reproduire!

Décompilation a échoué! J'ai essayé beaucoup de différents, la décompilation, y compris un couple de "commercial". La plupart des produits que sur la surface ressemblait à de bonnes données, mais pas assez pour comprendre le vieux bug. Le plus prometteur, celui avec la version spécifique de la connaissance de la VCL et RTL a donné le pire échec: bien sûr, c'compris le RTL appels, leur a donné des noms, mais impossible de trouver la fonction exportée! La seule fonction que j'étais intéressé n'a pas été montré int la liste des points d'entrée, et il aurait été tout droit de l'avant, puisque c'est un exporté fonction.

Cette décompilation tentative aurait été facile parce que:

• Le code est assez simple et pas beaucoup de lui.
• C'était une DLL avec une fonction exportée, aucune complexité que vous attendez d'un événement piloté par exe.
• Je n'étais pas intéressé par la ré-code compilable, je voulais simplement trouver un vieux bug afin que je puisse le reproduire.
• Je n'ai pas demandé à Pascal code assembleur aurait été assez bon.
• Je savais précisément ce que le code a été fait et comment il le faisait. Il n'était pas cryptique de la 3e partie du code.

Ma solution

Après décompilation échec de moi, je me suis tourné vers mes propres fidèle Delphi IDE pour le débogage. J'ai écrit un petit programme Delphi directement importations la fonction de la DLL, s'est créé un faux Firbird gestionnaire de mémoire DLL donc mon fichier DLL peuvent charger, appelé mon ancienne fonction avec les paramètres que je connaissais serait donner de mauvais résultats, steped dans le code en utilisant le débogueur et étroitement surveillés par les registres FPU. Après quelques tentatives infructueuses, j'ai enfin remarqué une valeur a été utilisée à partir de la pile FPU as integer où il ne devrait pas en Entier donc j'ai eu mon BUG: j'ai malencontreusement défini un Entier variable locale où j'aurais la Monnaie utilisée. Armés de cette connaissance, j'ai pu reproduire le bug.

OriginalL'auteur Cosmin Prund

Il y a des avantages et des inconvénients. Je ne suis pas sûr de ce que l'angle de votre se référant à être plus facile. Il y a aussi une énorme différence dans un 1 formulaire de demande simple, par rapport à un très approfondie de l'application qui a de nombreuses formes et des tonnes de classes et de fonctions. C'est comme le bloc-notes rapport à Office 2013 (étant donné qu'ils ont été codé en delphi, juste un exemple de comparer la complexité de la langue).

Dans une petite app, avoir des informations supplémentaires Delphi apps "habituellement" contiennent peut rendre un jeu d'enfant. Cependant, dans une grande application, il peut "aider", mais vous avez un million d'appels de creuser à travers. Ils peuvent vous aider à obtenir dans les environs, mais les appels à l'intérieur d'appels à l'intérieur d'appels, puis de multiples retours utilisés comme des sauts... en fait vous avez le vertige. Ensuite, si l'application "a été" emballé ou protégé, certaines choses peuvent encore être brouillé la pagaille. Bien qu'il puisse travailler de programmation sage, de la lecture il peut être beaucoup plus difficile. J'ai été dans l'une, l'autre jour, où toutes les chaînes sont cryptées, donc "référencé chaînes de texte" ont été d'aucune aide, et le chiffrement n'était pas un simple md5 ou base64, c'était un algorithme personnalisé. Peut-être un MD5 avec le sel, puis encodé en base64? Je n'ai jamais pu obtenir de la méthode exacte sur les cordes. Je savais ce que certains d'entre eux étaient censés être, mais je ne pouvais pas reproduire la méthode, même si il a regardé comme il était en base64, il a été le base64 de la chaîne déjà chiffré certains comment... je ne vous fiez pas sur les chaînes de texte, mais dans une grande grande application, chaque petit peu aide.

Bien sûr, mon interprétation de cette question, était à la recherche d'un Delphi exe dans OllyDbg. Je pourrais être hors de la base sur l'endroit où vous les gars allaient avec ce sujet, mais j'ai l'impression en ce qui concerne Olly et la marche arrière, je suis sur le point (si c'est ce dont tu parlais) lol.

OriginalL'auteur Wade