Ломаю софтину.
Написана на MSVC 6-7

Задалбывает каждый раз отслеживать вручную что и как передается, а передается почти везде одно и то же (ссылки на объекты).

Интересует вот что: может быть есть какие-нибудь скрипты для IDA или модули, упрощающие дизасм ООП прог?

| Сообщение посчитали полезным:

гм, ну, дык в этом и состоит задача крякера/реверсера - "отслеживать вручную что и как передается". Гемор, но некоторым нравится и затягивает =)

-----
once you have tried it, you will never want anything else

| Сообщение посчитали полезным:

Есть такая мысль, обычно указатель на объект располагается в каком-нибудь регистре, возможно написать плагин, который будет преобразовавать код типа mov eax, [ebx+0Ch] в mov eax, [ebx+object.blabla]. Надо ещё знать что первой двойное слово в объекте это указатель на массив виртуальных функций, невиртуальные функции всегда принимают первым параметром указатель на объект и ещё что-нибудь

| Сообщение посчитали полезным:

gloom нравится и затягивает =) это ты точно сказал

| Сообщение посчитали полезным:

this передается через ecx

| Сообщение посчитали полезным:

Ну народ, может где-то описаны вообще теоретические основы ООП для ASM'а? Типа как передаются объекты, как описываются какие-то стандартные обращения к свойствам объектов на ASM'е???

| Сообщение посчитали полезным:

xtin.km.ru/view.shtml?id=148
правда там про борланд

ssx пишет:
this передается через ecx
не всегда, может быть через eax или стек

| Сообщение посчитали полезным:

Не поскупись и купи книжку Касперского.

| Сообщение посчитали полезным:

Step Зачем покупать если в инете можно найти ?

| Сообщение посчитали полезным:

Z0oMiK
1) поддержка отечественного производителя (издательства Питер)
2) книга в некоторых случаях удобней.
3) привыкаем уважать человеческий труд и хотя бы иногда не пользоваться халявой.
А то как в песне Арии – вся жизнь за даром.

| Сообщение посчитали полезным:

Крис свои книжки сам выложил.
а Z0oMiK'у просто хочется отметиться в каждом топике на этом форуме

| Сообщение посчитали полезным:

yohannes пишет:
Ломаю софтину.
Написана на MSVC 6-7

Не знаю, поможет тебе или нет:
VC5,6 размещает базу обьекта в ESI.


| Сообщение посчитали полезным:

а как будет на асме выглядеть приблизительно такой код написанный на Delphi:
Timer.Interval := 1000;
Timer.Enabled := True;

| Сообщение посчитали полезным:

ssx пишет:
а Z0oMiK'у просто хочется отметиться в каждом топике на этом форуме
гм, и точно =) ... где там моя кнопка "БАН"...

-----
once you have tried it, you will never want anything else

| Сообщение посчитали полезным:

SLayer пишет:
Timer.Interval := 1000;
Timer.Enabled := True;

mov eax, offset timer
mov dword [eax+interval], 1000
mov byte [eax+enabled], 1

IMHO так

| Сообщение посчитали полезным:

mov eax, offset timer
mov dword [eax+interval], 03E8h
mov byte [eax+enabled], 1

IMHO так ;)

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

tum
А я думаю в ecx, я даже уверен )

| Сообщение посчитали полезным:

Step
В какой именно его книге речь идет об ООП? что-то я не встречал

| Сообщение посчитали полезным:

yohannes
"Крис Касперски. Фундаментальные основы хакерства. Искусство дизассемблирования (с CD-ROM)"
Вот здесь краткое содержание: hххp://books.dore.ru/bs/f11bid322.html

| Сообщение посчитали полезным:

SLayer
Bit-hack
nice
this передаётся в Борланде (как правило) через eax, всё правильно, только речь идёт об MSVC, так что неявный параметр - ecx.

| Сообщение посчитали полезным:

mov ecx, offset timer
mov dword [ecx+interval], 1000d
mov byte [ecx+enabled], 1

Ну, раз в ecx, тоды так

| Сообщение посчитали полезным:

Bit-hack
Садись. Два.
В MSVC++ нет класса таймера. Таймер создаётся через вызов SetTimer(…), после чего пишется callback-функция, или обработчик сообщения ХХХ::OnTimer(UINT nIDEvent).

| Сообщение посчитали полезным:

Step пишет:
++
СукС. Я лучше буду писать без ООП. Т.к. ООП - сукс

| Сообщение посчитали полезным:

Bit-hack пишет:
mov dword [eax+interval], 1000
mov byte [eax+enabled], 1
а можно ли Олли так и заставить показывать в таком стиле, типа [eax + имя_параметра] или это не реально ? Возможны ли вытащить названия параметров из самого exe по крайней мерее для Delphi?

а как будет вглядить кострукция такого вида:

with Timer do begin
Interval := 1000;
Enabled := True;
end;

По ходу дела эта конструкция выполняется быстрее, а в чём тогда отличия?

| Сообщение посчитали полезным:

<< DELETE ME >>

| Сообщение посчитали полезным:

SLayer пишет:
а можно ли Олли так и заставить показывать в таком стиле
IMHO нет. Оля работает с ужо скомпилированным файлом, а в таком файле обычно нет инфы о именах переменных.

SLayer пишет:
а как будет вглядить кострукция такого вида:
А х.з. я не помню что она значит в делфи. На си пиши.

| Сообщение посчитали полезным:

SLayer пишет:
а как будет вглядить кострукция такого вида:

with Timer do begin
Interval := 1000;
Enabled := True;
end;
Тебе что в лом дебагером дельфина посмотреть ?

SLayer пишет:
По ходу дела эта конструкция выполняется быстрее, а в чём тогда отличия?
С какой это радости она быстрее исполняется ?

| Сообщение посчитали полезным:

По поводу первого поста: в IDA 4.8 есть так называемые FLIRT-сигнатуры. Они распозают библиотечные и стандартные функции. Например вместо call sub_xxxxxxxx будет call strcpy, также присваиваются имена параметрам. ИМХО при исследовании ООП-программ это незаменимая вещь

| Сообщение посчитали полезным:

Кстати вот статья про FLIRT.

50ec_Flirt.zip.zip

| Сообщение посчитали полезным: