Я новичок. Почитал статьи и топики, но нужной информации не нашел. Хотелось бы разобраться с
кодом который генерирует Delphi. Я декомпильнул экзешник с помощью DeDe. Нашел в нем ButtonClick.
А дальше в этой процедуре вызывается другая следующим способом call dword ptr [ecx+$34]. Я так понимаю это озночает, что либо она виртуальная, либо её адрес определяется серийником.
Целиком выглядит так


0050BD38 A150C45D00 mov eax, dword ptr [$005DC450]
0050BD3D 8B00 mov eax, [eax]
0050BD3F 8B08 mov ecx, [eax]
* Possible reference to virtual method <UnknownType>.OFFS_34
0050BD41 FF5134 call dword ptr [ecx+$34]


Кроме того, хотелось бы понять как мне декомпильнуть уже эту процедуру с помощью DeDe. Почему-то мне её не найти (Я делаю это поиском по сгенерированым с помощью DeDe файлам адреса процедуры или редкой инструкции в ней).

P.S. Дело в том, что процедура достаточно навороченная и я почти уверен, что программа неважно работает именно из-за нее. По-этому хотелось бы видеть её в более приятном виде...

Большое спасибо. Ссылки на статьи по работе с кодом Delphi (в том числе английские) тоже привествуются.

| Сообщение посчитали полезным:

tarakan, эта процедура -- метод какого-то класса. Соответственно в ECX указатель на класс, а ECX+$34 -- указатель на процедуру. Судя по
tarakan пишет:
<UnknownType>,
класс самописный.
Как вариант, можно брякнуться на 0050BD3F и войти в эту процедуру. Посмотреть адрес начала. И его уже искать в DeDe.

-----
Blame the victim!

| Сообщение посчитали полезным:

tarakan пишет:
* Possible reference to virtual method <UnknownType>.OFFS_34
0050BD41 FF5134 call dword ptr [ecx+$34]
Написано ж - виртуальный метод Его адрес, как уже сказал 1nn0cent, находится обычным трейсом.

| Сообщение посчитали полезным:

tarakan, что то я не понял судь вопросв... Нужно зайти в нее?

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

Спасибо. за ответы.
То, что адрес находится трейсом это понятно. Я этот адрес знаю. Проблема в том, что мне хочется
посмотреть на эту процедуру через DeDe. То есть у меня адрес процедуры есть, и судя
по софтайсу и IDA сама процедура тоже есть, но почему то DeDe её не дампит.
P.S. Хочу посмотреть в DeDe потому, что в этом классе скорей всего используются всякие дельфийские вызовы (типа те которые DeDe возможно сможит зарезолвить).

| Сообщение посчитали полезным:

tarakan попробуй в PE Explorer-е деассемблировать, может покажет твою процедуру...

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

tarakan пишет:
То, что адрес находится трейсом это понятно. Я этот адрес знаю. Проблема в том, что мне хочется
посмотреть на эту процедуру через DeDe.
Так и ищи этот адрес в файлах, которые DeDe выдает. Только для самописных классов может ничего и не найти.

| Сообщение посчитали полезным:

tarakan используй сигнатуры для IDA от TQN лежат на wasm.ru, не хуже DeDe помогают.

ЗЫ А DeDe дизасмит только то, что находит по сигнам и референсам, значит понятного ему референса он не нашел

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

А если я заменю в инструкции call dword ptr [ecx+$34] адрес на фактический и сделаю в DeDe дамп
процесса, то он сможет найти эту функцию?

| Сообщение посчитали полезным:

PE_Kill
Что-то я не нашел сигнатуры от TQN на wasm'e

| Сообщение посчитали полезным:

tarakan
В dede есть кнопочка OFFS - Go to VA - ее жмешь и вводишь адрес процедуры.
Все сигнатуры библиотек накладываются обычно правильно, но иногда может вылететь ошибка - cannot read memory - значит что-то не может опознаться. Но в целом все ок.

| Сообщение посчитали полезным:

HoBleen
Большое спасибо. сегодня попробую. Только не понимаю, почему, если он знает о существовании данного кода, он не хочет его дампить. Из-за того, что не указывается явный адрес функции и типа соответственно нет на него референса? Тогда если я заменю вызов call dword ptr [ecx+$34] на что-нить типа call $00474634 он сможет его определить?

P.S. Дело в том, что процедура располагающаяся по данному адресу содержит ещё кучу разных вызывов и вообще сложную логику. Глупо задавать вопрос, что мне делать. Но может быть есть какие-нибудь способы как-нибудь облегчить себе жизнь. Судя по тому, что вызывается эта функция методом описанным выше, то это целый класс, занимающийся проверкой валидности серийного номера. Кроме того, даже если я узнаю алгоритм проверки, мне ещё придется вычислить обратныю функцию. Мне страшно. Скажите что-нибудь воодушевляющее.

| Сообщение посчитали полезным:

tarakan пишет:
Тогда если я заменю вызов call dword ptr [ecx+$34] на что-нить типа call $00474634 он сможет его определить?
Конечно. Просто дело в том что метод - виртуальный, до его вызова неизвестно на какой адрес будет указывать указатель (простите за тавтологию =) ).

tarakan пишет:
Дело в том, что процедура располагающаяся по данному адресу содержит ещё кучу разных вызывов и вообще сложную логику.
Дизассемблер предназначен для анализа кода, а отладчик - для того, чтобы узнавать значение регистров и переменных в конкретный момент времени имхо. Одним деде не обойдешься =)

tarakan пишет:
Кроме того, даже если я узнаю алгоритм проверки, мне ещё придется вычислить обратныю функцию.
Если это самопальная проверка - сделать кейген не составит труда =). Если используется криптография, причем руки у разработчиков не кривые, и ключ довольно длинный - мб даже и не удастся.

tarakan пишет:
Скажите что-нибудь воодушевляющее.
Удачи в начинании!

| Сообщение посчитали полезным:

HoBleen Спасибо.
Если есть ещё какие-нибудь советы. Буду рад услышать.

P.S. Не закрывайте пока топик. Как попробую вышесказанное - отпишусь и может задам ещё какой-нить
вопросец.

| Сообщение посчитали полезным:

tarakan пишет:
А если я заменю в инструкции call dword ptr [ecx+$34] адрес на фактический и сделаю в DeDe дамп
процесса, то он сможет найти эту функцию?
Трассируешь в отладчике до твоей процедуры, смотришь на каком адресе она начинается и ищешь этот адрес а дизассемблере.

-----
Я медленно снимаю с неё UPX... *FF_User*

| Сообщение посчитали полезным:

Забей. Это не то, что тебе надо. Это может быть все, что угодно, но не проверка ключа.
И еще, посмотри в ольке лэйбы в файле. Правой крысой, view all name in current module. Олька тебе выдаст список всех названий и меток. Далее ставиш бряк на call dword ptr [ecx+$34], смотришь - твой колл или нет. Если твой, то как его олька обзывает. Для этого в настройках ставишь галку ... Упс, забыл какую. Может кто напомнит, чота там аргументы или типа этого. Кароч, пощелкай в настройках разные галки, чтоб олька показывала не call 473526, a call System@CreteTread@CreateTreadWrapper.Типа этого.
Потом смотриш название своей call dword ptr [ecx+$34] и ищешь ее в ДеДе.
Дерзай.

| Сообщение посчитали полезным:

stahh пишет:
Забей. Это не то, что тебе надо. Это может быть все, что угодно, но не проверка ключа.
А вот здесь ты не прав - это называется защита от дизассемблера виртуальными функциями. Встречается редко, свою силу еще не набрала. Кста, гдето в спец хакере помоему была статейка на эту тему.

stahh пишет:
Кароч, пощелкай в настройках разные галки, чтоб олька показывала не call 473526, a call System@CreteTread@CreateTreadWrapper.Типа этого.
Эээ.. мб сигнатуры? =)

stahh пишет:
Потом смотриш название своей call dword ptr [ecx+$34] и ищешь ее в ДеДе.
Это виртуальный метод, ни в каком дизассемблере адрес не показывается.

| Сообщение посчитали полезным:

PE_Kill пишет:
tarakan используй сигнатуры для IDA от TQN лежат на wasm.ru, не хуже DeDe помогают
Выложите плз куда-нто сигны. На васме их невидать..
з.ы. Изв что не в тему...

| Сообщение посчитали полезным:

Всем спасибо. Все получилось.

| Сообщение посчитали полезным: