VB Decompiler by GPcH

- forms decompiling;
- p-code decompiling;
- native code only addresses decompiling;

Free lite version of VB Decompiler:
vbdecompiler.dotfix.net/files/lite.rar

For comments:
vbdecompiler.dotfix.net

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

Слил новую версию, поставил - все заработало

Кстати, насчет листинга Кейгенми: что-то там с переходами байда творится. Например:
loc_40585B: If (var_94 Or (var_94 = "")) Then '405892 - если var_94 пустая, то переход... А кейгенми работает наоборот - ругается "Incorrect username or password!". Та же фигня здесь:
loc_40595B: If Not(push IsNumeric(var_B4)) Then '405992 и здесь
loc_405C30: If (CDbl(var_8C) = CDbl((CLng((Asc(CStr(Left(CVar(var_94), 1))) *... да и по другим переходам тоже.
GPcH, обрати внимание.

| Сообщение посчитали полезным:

Hans Cristian пишет:
loc_40585B: If (var_94 Or (var_94 = "")) Then '405892 - если var_94 пустая, то переход... А кейгенми работает наоборот - ругается "Incorrect username or password!".
а это не ошибка... я тоже когда-то спрашивал у GPcH про такие переходы.. вообщем знак "`" означает комментарий (аля ";" в асме), так что после then идёт нижеследующий код, а адрес после камента просто указывает на выход из if или т.п.

| Сообщение посчитали полезным:

Да, апостроф в Бейсике - комментарий. Только в листинге он как-то теряется, создается впечатление, что это сокращенная конструкция then goto xxxx. Коммент может сделать как-нить более выделяющимся? Звездочками, что-ли, окружить. Типа If bla-bla-bla then '*** 405892 ***.

Объясните еще такой момент, плиз: в листинге
loc_4058C4: var_88 = TextBox_764.Text
loc_4058D6: var_90 = TextBox_764.Text
loc_4058F1: var_94 = CStr(Left(CVar(var_8C), 1))
т.е. сначала строка читается в var_88, а потом вырезается 1 символ слева от var_8C. Понимаю, что переменная одна и та же, но почему обозначения разные? И это не только в продукте уважаемого GPcH, но и в других декомпилях тоже...
Или это к ньюбам?

| Сообщение посчитали полезным:

Hans Cristian пишет:
т.е. сначала строка читается в var_88, а потом вырезается 1 символ слева от var_8C. Понимаю, что переменная одна и та же, но почему обозначения разные? И это не только в продукте уважаемого GPcH, но и в других декомпилях тоже...
Или это к ньюбам?
Это баг. Он присутствует только при включенной опции оптимизации. Фишка в том что VB использует 2 переменные - одну для хранения объекта, в другую получает его свойство, а далее использует одну из этих переменных. В некоторых объектазх используется только одна переменная, в общем я пока думаю как определить какая из переменных всеже юзается. Наверное придется добавить равенство этих переменных.

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

A как понять, что 2 (или N) переменных - это суть один и тот же объект?

| Сообщение посчитали полезным:

Hans Cristian пишет:
A как понять, что 2 (или N) переменных - это суть один и тот же объект?
один и тот же.. вот пример из твоего EXE:

loc_4058C4: var_88 = TextBox_764.Text
loc_4058D6: var_90 = TextBox_764.Text
loc_4058F1: var_94 = CStr(Left(CVar(var_8C), 1))
loc_405908: var_114 = Right(CVar(var_118), 1)

А вот этот же текст при отключенных движках сворачивания стэка и процедур:

loc_4058B7: push var_8C
loc_4058BB: push Control_ID_764
loc_4058C1: push var_88
loc_4058C4: from_stack_1 = TextBox.Text
loc_4058C9: push var_118
loc_4058CD: push Control_ID_764
loc_4058D3: push var_90
loc_4058D6: from_stack_1 = TextBox.Text
loc_4058DB: push 1 'Long
loc_4058E0: push var_8C
loc_4058E3: Dim var_B4 As Variant: var_B4 = CVar(from_stack_1) 'String
loc_4058E6: push var_D4
loc_4058E9: = Left(, )
loc_4058EE: push var_D4
loc_4058F1: Dim var_94 As String: var_94 = CStr(from_stack_1)
loc_4058F5: push Asc()
loc_4058FA: push 1 'Long
loc_4058FF: push var_118
loc_405902: Dim var_F4 As Variant: var_F4 = CVar(from_stack_1) 'String
loc_405905: push var_114
loc_405908: = Right(, )

Обрати внимание:

loc_4058B7: push var_8C
loc_4058BB: push Control_ID_764
loc_4058C1: push var_88

То есть и var_8C получает поинтер объекта и var_88. А как с точной верояностью узнать какая из них дальше будет юзаться - я пока думаю (если чессно, просто ищу оптимальный алгоритм, не охота реализовывать это тупо парся процедуру или расширением набора сигнатур)

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

Это нормально, что некоторые String References отображаются в комментариях к коду и при даблклике по ним в окошке мне показывают участок кода с ними; а некоторые при даблклике просто делают активным код какого-то модуля; некоторые просто не реагируют на даблклик?

(native)

P.S. Есть баг с тем что выделения (активный модуль/выделенный модуль...) остаются в дереве.

| Сообщение посчитали полезным:

GPcH пишет:
не реагируют на даблклик?
Это баг... разбираться пока некогда - завал полный на работе

Как появится время буду разбираться

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

Released VB decompiler v2.3

Thats new in this version:
- Updated more beautifull icons
- More syntax coloring options
- Decompiling GUID objects at p-code improved
- Many new signatures and fixes
- Decompilation speed increased
- C++ Plugin SDK (thanx to Jupiter)
- Decompiling "Print" opcode
- String references in native applications
- Data object unicode properties
- P-Code commands with 10 or more parameters

Буду рад багрепортам всяческим И вообще кому как новая версия?
Особенно интересуют мнения насчет подчеркнутого, так как приспичило сделать оптимизацию под Pentiun 300 MGz, 128 Mb RAM и я это сделал.

VB decompiler v2.3 (archive) http://www.vb-decompiler.org/files/lite.rar
VB decompiler v2.3 (setup) http://www.vb-decompiler.org/files/setup.exe

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

прикольно щас декомпильнул крекми на байсике, скорость заметно возврасла + код стал покрасивее...
вообще куль... порадовало!

з.ы. можно вопрос?
есть ли аналог в байсике команды nop?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
з.ы. можно вопрос?
есть ли аналог в байсике команды nop?
Нету, зато есть джампы

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

То GPcH - Браво! Классный декомпиль
Расшиб сейчас одну свою небольшую прогу, все правильно показано, порадовало что коректно отображается кириллица Молодца
Тестирование продолжается.......

-----
The blood swap....

| Сообщение посчитали полезным:

да, децствительно значительные улучшения!!! согласен с остальными. продолжай дальше разрабатывать
в нэйтив вобще чуть ли не сорец выдал! весчь!!!

| Сообщение посчитали полезным:

GPcH
А случаем VBA из Access MDE файла никак нельзя скормить твоему декомпилятору ?

| Сообщение посчитали полезным:

ToBad пишет:
А случаем VBA из Access MDE файла никак нельзя скормить твоему декомпилятору ?
Нет. Слишком геморная это задача - разбирать пикод VBA. К слову он не такой как в VB6. Потому не знаю, буду ли я это вообще делать. Если бы кто подкинул готовые наработки - может и прикрутил бы к декомпилю, а так - слишклм много времени уходит на пикод самого VB6, который еще не 100% декомпиляется а есть недоработки.

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

GPcH
а так и было задуманно?

VB Decompiler Lite v2.3
call &
call MSVBVM60.DLL.__vbaHresultCheckObj

IDA 4.9
call ds:__vbaStrCat
call ds:__vbaHresultCheckObj

я конешно понимаю что это происки PRO версии

| Сообщение посчитали полезным:

кстати - последняя версия виснет на натив-приложениях...

| Сообщение посчитали полезным:

GPcH пишет:
Если бы кто подкинул готовые наработки - может и прикрутил бы к декомпилю
Единственное что я видел это статью HEX-а по ссылке www.madalf.ru/cracks/cracks70.shtm там он даёт архивчик с исходниками и вот что пишет: Словарь байткодов лежит в fullexcodes.mdb поэтому каждый по своему желанию может поправить эту базу. Байткоды VBA и VB
отличаются длинами некоторых байткодов так что не стоит запихивать в прогу VB программы, предварительно не поправив базу байткодов. Байткоды в базе брались чужие(т.е. это не я их длины и названия сочинял), поэтому до конца это все не проверено.
Не знаю поможет ли это как то ?

| Сообщение посчитали полезным:

Есть ещё сервис на небезызвестном www.everythingaccess.com, http://www.everythingaccess.com, за деньги готовы предложить реинженеринг MDE с полным восстановлением VBA. Выглядит красиво, но что то мне с трудом верится. Или такое возможно ???

Access MDE to MDB Conversion Service -- Example of VBA code Recovery

Original Source: (taken from Northwind 2000 Sample database)

Sub FixAllDataAccessPages()

' Subroutine: FixAllDataAccessPages
' Purpose: Goes through all of the data access pages in the current database to:
' * Make sure their connection strings are correct and,
' * If necessary, update the link from the database container to the page.

Dim CurrentPath As String ' Path to the current Database
Dim FullPath As String ' Path & Name of the current Database
Dim DPName As String ' Name of Page including extension
Dim DBName As String ' Name of the current database
Dim Pgs() As String ' Array to hold the list of pages
Dim FullNames() As String ' Array to hold the FULL name of the Page
Dim Names() As String ' Array to hold the Page Name
Dim NumPages As Integer
Dim i As Integer ' Simple Counter
Dim WasFixed As Boolean
Dim NumErrors As Integer ' Number of errors encountered
Dim NumDBCUnfixed As Integer ' Set to the number of unfixed DBC links

Const strStatusMsg = "Fixing Page Connections"

Const strFixErrPrefix = "There were "
Const strFixErrSuffix = " errors fixing your data access page connections. " & _
"Some pages may not function as expected."
Const strFixErrTitle = "Cannot Fix Pages!"

Const strMDEMsgPrefix = "This file is an MDE and contains "
Const strMDEMsgSuffix = " links to data access pages which could not be fixed. " & _
" The page sources have been checked."
Const strMDEMsgTitle = "Cannot Fix DBC Links!"

' Check if the database is read only, then we won't be able to fix
' anything, so exit now.
If (GetAttr(Application.CurrentProject.FullName) And vbReadOnly) Then Exit Sub

FullPath = CurrentDb.Name

DBName = Mid(FullPath, InStrRev(FullPath, "\", , vbBinaryCompare) + 1)

CurrentPath = Left$(FullPath, InStrRev(FullPath, "\", , vbBinaryCompare) - 1)

' Get the total number of Data Access Pages
NumPages = CurrentProject.AllDataAccessPages.Count

' Set the array to hold the page names
ReDim Preserve FullNames(NumPages - 1)
ReDim Preserve Names(NumPages - 1)

' Get all the Page Names and FullNames (Name with and without paths)
For i = 0 To NumPages - 1
FullNames(i) = CurrentProject.AllDataAccessPages(i).FullName
Names(i) = CurrentProject.AllDataAccessPages(i).Name
Next i

Application.Echo False, strStatusMsg

NumErrors = 0
NumDBCUnfixed = 0

For i = 0 To NumPages - 1
' Step through each page in the Array
' Removing the path (preserving the extension if any)

DPName = Right(FullNames(i), Len(FullNames(i)) - InStrRev(FullNames(i), _
"\", , vbBinaryCompare))
WasFixed = FixPageConnection(CurrentPath, FullNames(i), DPName, DBName, _
Names(i), NumDBCUnfixed)
If Not (WasFixed) Then
NumErrors = NumErrors + 1
End If
Next

If NumErrors <> 0 Then
MsgBox strFixErrPrefix & NumErrors & strFixErrSuffix, _
vbCritical, strFixErrTitle
End If

' If we weren't able to fix some DBC links, it means we're an MDE with bad links
If NumDBCUnfixed <> 0 Then
MsgBox strMDEMsgPrefix & NumDBCUnfixed & strMDEMsgSuffix, _
vbCritical, strMDEMsgTitle
End If

Application.Echo True

End Sub


Reverse Engineered Source Code: (from a Northwind 2000 MDE database)

Public Sub FixAllDataAccessPages()

Dim i As Integer
Dim DPName As String
Dim FullPath As String
Dim DBName As String
Dim CurrentPath As String
Dim FullNames() As String
Dim NumPages As Integer
Dim NumDBCUnfixed As Integer
Dim Pgs() As String
Dim WasFixed As Boolean
Dim Names() As String
Dim NumErrors As Integer

Const strFixErrPrefix As String = "There were "
Const strMDEMsgSuffix As String = " links to data access pages which could not be fixed. " & _
"The page sources have been checked."
Const strFixErrTitle As String = "Cannot Fix Pages!"
Const strStatusMsg As String = "Fixing Page Connections"
Const strMDEMsgPrefix As String = "This file is an MDE and contains "
Const strFixErrSuffix As String = " errors fixing your data access page connections. " & _
"Some pages may not function as expected."
Const strMDEMsgTitle As String = "Cannot Fix DBC Links!"

If GetAttr(CurrentProject.FullName) And 1 Then

Exit Sub

End If

FullPath = CurrentDb.Name
DBName = Mid(FullPath, InStrRev(FullPath, "\") + 1)
CurrentPath = Left$(FullPath, InStrRev(FullPath, "\") - 1)
NumPages = CurrentProject.AllDataAccessPages.Count
Redim Preserve FullNames(NumPages - 1)
Redim Preserve Names(NumPages - 1)

For i = 0 To NumPages - 1

FullNames(i) = CurrentProject.AllDataAccessPages(i).FullName
Names(i) = CurrentProject.AllDataAccessPages(i).Name

Next i

Echo 0, strStatusMsg
NumErrors = 0
NumDBCUnfixed = 0

For i = 0 To NumPages - 1

DPName = Right(FullNames(i), Len(FullNames(i)) - InStrRev(FullNames(i), "\"))
WasFixed = FixPageConnection(CurrentPath, FullNames(i), DPName, DBName, _
Names(i), NumDBCUnfixed)

If Not WasFixed Then

NumErrors = NumErrors + 1

End If

Next i

If NumErrors <> 0 Then

MsgBox strFixErrPrefix & NumErrors & strFixErrSuffix, vbCritical, strFixErrTitle

End If

If NumDBCUnfixed <> 0 Then

MsgBox strMDEMsgPrefix & NumDBCUnfixed & strMDEMsgSuffix, vbCritical, strMDEMsgTitle

End If

Echo -1, vbNullString

End Sub

p.s. И прошу прощенья, что не совсем по теме...

| Сообщение посчитали полезным:

infern0 пишет:
кстати - последняя версия виснет на натив-приложениях...
Проверил - все ok. Или ты про бету 2.3 Pro месячной давности?

ToBad пишет:
Единственное что я видел это статью HEX-а по ссылке
С его слов он так и не разобрался со структурами mdb, а без них мой декомпиль как будет искать пикодовые функции чтобы декомпилять. Если только инферно поможет правда он пытался, но я чет мало чего понял. Буду признателен, infern0, если по асе или тут расскажешь как найти нужные структуры не парся файловую систему, на которой построены офисные форматы.

HOMEZ пишет:
а так и было задуманно?
Выложи файл где такой баг

ToBad пишет:
Есть ещё сервис на небезызвестном www.everythingaccess.com, http://www.everythingaccess.com, за деньги готовы предложить реинженеринг MDE
А еще есть доктор голова у которого тоже все есть и который х..й чего кому выложит нахаляву. Смысл писать про то что есть, а? Меня интересует лишь то что поможет сделать тулзу лучше А это лишь реклама сервиса который декомпилит но не продает сам декомпиль.

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

GPcH пишет:
А еще есть доктор голова у которого тоже все есть и который х..й чего кому выложит нахаляву.

Эээ, не бросаться словами, кое-что уже выложил, причем все юзают и притом все нахаляву
Так что негоже шароварщикам гнать на "правильного пацана" =)

| Сообщение посчитали полезным:

GPcH пишет:
как найти нужные структуры не парся файловую систему, на которой построены офисные форматы.
кажется эта самая структура (или api для работы с ней) были описаны на uinc.ru. ну и плагин docfile browser для FAR есть который тоже позволяет внутрь залезть

| Сообщение посчитали полезным:

GPcH пишет:
Смысл писать про то что есть, а? Меня интересует лишь то что поможет сделать тулзу лучше А это лишь реклама сервиса который декомпилит но не продает сам декомпиль.
Если бы ты внимательно прочитал моё сообщение, то заметил бы, что это не реклама сервиса к которому я естественно отношения никакого не имею, а простой вопрос. Я выделю его жирным шрифтом:
>>> Выглядит красиво, но что то мне с трудом верится. Или такое возможно ???
Мне например показалось сомнительным такое качество декомпиляции, вот и решил спросить у человека который в этом понимает дольше меня, а ты сразу: реклама....

Asterix пишет:
Эээ, не бросаться словами, кое-что уже выложил, причем все юзают и притом все нахаляву
А можно конкретней где и что выложил, если это конечно касается VBA.

| Сообщение посчитали полезным:

ToBad пишет:
А можно конкретней где и что выложил, если это конечно касается VBA.

Это не касается VBA и VB, но и GPcH писал "который х..й чего кому выложит нахаляву",
если бы он написал ЕГО вместо ЧЕГО тогда было бы ясно на что он намекает

| Сообщение посчитали полезным:

GPcH пишет:
Проверил - все ok. Или ты про бету 2.3 Pro месячной давности?
про ту что неделю назад упала в мыло

| Сообщение посчитали полезным:

GPcH пишет:
А еще есть доктор голова у которого тоже все есть и который х..й чего кому выложит нахаляву. Смысл писать про то что есть, а? Меня интересует лишь то что поможет сделать тулзу лучше А это лишь реклама сервиса который декомпилит но не продает сам декомпиль.

Собственно говоря, GPcH, чем ты лучше их? Крутишься в крэкерском комьюнити, но при этом тулзу свою (и не нужно отмазок про нормальность Lite-версии) при этом "втюхиваешь" кому не лень. Грустно это все

| Сообщение посчитали полезным:

rC пишет:
Грустно это все

Пытаюсь вспомнить чья это цитата... чёрт, жесткач! =)
Сам этой фразой болел год/два назад.

| Сообщение посчитали полезным:

GPcH
Выложи файл где такой баг

не паникуй ), функция __vbaStrCat и есть операция & для строк
для lite можно сделать вывод вида:
call & 'REM __vbaStrCat
или
call __vbaStrCat 'REM &
хотя народ может басиковские коментарии принять за код в исходнике...


ToBad
вполне возможно
тем более что приведенный пример особой сложностью и навороченностью не отличается

| Сообщение посчитали полезным:

Asterix пишет:
Эээ, не бросаться словами, кое-что уже выложил, причем все юзают и притом все нахаляву
Так что негоже шароварщикам гнать на "правильного пацана" =)
Я это не в обид ему сказал. Просто за последние пару лет я его тулз не видел, зато гора фраз "у меня есть то-то, но я это конечно не покажу". Потому и привел его в пример. И не стоит обижаться, я ему это не в обид, просто я к тому, что смысл писать что у меня есть то-то, если даже демки нет и если это даже купить за приемлемую цену нельзя. И предлагаю на эту тему больше не оффтопитиь, ok?

ssx пишет:
кажется эта самая структура (или api для работы с ней) были описаны на uinc.ru. ну и плагин docfile browser для FAR есть который тоже позволяет внутрь залезть
Читал я эту статью гдет месяца 1.5 назад и из нее понял что без парсинга файловой системы врядли получится достать пикод, а с ихней FS возится - это настолько долго и геморно, что эти затраты не стоят результата работы.
Был бы способ попроще.

ToBad пишет:
Выглядит красиво, но что то мне с трудом верится. Или такое возможно ???
Мне например показалось сомнительным такое качество декомпиляции, вот и решил спросить у человека который в этом понимает
Отвечаю: это возможно. Единственное во что слабо версится, так это в имена переменных. В VB их восстановить нереально, в VBA не знаю. А все остальное умеет Pro версия моего декомпиля, правда только для VB5/6.

infern0 пишет:
про ту что неделю назад упала в мыло
Хз, уже проверить не смогу, так как с тех пор я дофига чего обновил в декомпиле. Потому лучше подождать следующего апдейта.

rC пишет:
Собственно говоря, GPcH, чем ты лучше их? Крутишься в крэкерском комьюнити, но при этом тулзу свою (и не нужно отмазок про нормальность Lite-версии) при этом "втюхиваешь" кому не лень. Грустно это все
Ну начнем с того, что на VB Decompiler мои проекты не замыкаются, у меня их еще штук 20 и все они Free, кроме DotFix'а. Да и статьи я на кодерско крэкерские темы постоянно публикую for free (выкладываю на www.dotfix.net http://www.dotfix.net , можешь посмотреть там на главной). Просто не стоит замыкаться на крэклабе и думать что если на нем я пишу только про декомпиль последнее время, значит я кроме него ничем не занимаюсь. Скажем так, я сочетаю разработку и Free и коммерческих прог и никогда не пишу что у меня это есть, не выкладывая даже демки.

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

GPcH пишет:
Просто за последние пару лет я его тулз не видел, зато гора фраз "у меня есть то-то, но я это конечно не покажу".

http://www.exelab.ru/f/action=vthread&forum=3&topic=3296&p age=2#4 ;)

короче, ждем твой декомпиль на sf.net =)

| Сообщение посчитали полезным: