Исследование приложения Borland Delphi 6.0 - 7.0 в IDA

Сейчас на форуме: asfa, Rio, _MBK_, Adler (+6 невидимых)

Посл.ответ	Сообщение
nen777w Ранг: 4.7 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 27 апреля 2013 04:42 · Поправил: nen777w · Личное сообщение · #1 Привет! Набросайте пожалуйста правильных туториалов на тему исследование (реверсинг) приложения написанного на Borland Delphi 6.0 - 7.0 (так говорит PEiD) Часть функций из делфевых либ IDA распознала а часть говорит что это unknown_libraryname к тому же я совершенно понятия не имею как генерируются конструкторы/деструкторы Delphi компилятором и как там устроены объекты (компилятора жаль под рукой нет). Вот это System::__linkproc___ClassCreate() я смутно догадываюсь создание объекта? Может есть какие то вспомогательные файлы для IDA упрощающие реверсинг делфевых приложений. з.ы. про DeDe в курсе, очень помогло когда нужно было найти обработчки от контролов. ВО общем чем больше будет инфомациии на эту тему тем лучше разберусь. Спасибо.

plutos Ранг: 622.6 (!), 521thx Активность: 0.33↗0.89 Статус: Участник _Вечный_Студент_	Создано: 27 апреля 2013 08:37 · Личное сообщение · #2 Все ваши темы как-то похожи друг на друга: то ИДА вам не может сделать то, то другое. Вам же обьясняли уже, что ИДА не волшебная палочка, которая все делает за вас, а инструмент, предполагающий знающего и мыслящего пользователя. Судя по вашим собственным словам, "к тому же я совершенно понятия не имею как генерируются конструкторы/деструкторы Delphi компилятором и как там устроены объекты (компилятора жаль под рукой нет)." вы пока что не один из таких пользователей. Так что нужно найти время и учиться, а не ждать пока кто-то для вас (такого занятого!) что-то сочинит. ----- Give me a HANDLE and I will move the Earth. \| Сообщение посчитали полезным: VodoleY, OnLyOnE, verdizela, gazlan, Artem_N, Abraham
nen777w Ранг: 4.7 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 27 апреля 2013 11:20 · Личное сообщение · #3 plutos Я вообще про маны спрашивал о возможно конкретных описаниях реверсинга Delphi программ (вот типа такого: http://blog.0xbadc0de.be/archives/67 (только здесь для С++ компилятора) или вот примерно такого http://www.xakep.ru/magazine/xs/057/012/1.asp (хотя тут ничего такого, но можно найти подход к реверсингу который автор использует)), структуры когда генерируемого Delphi компилятора и все на эту тему. A то что Вы написали - называется почесать свое ЧСВ об меня. Про IDA я в курсе как с ней работать, пользую иногда, но не так часто как хотелось бы, про волшебную палочку не понял, извините.
reversecode Ранг: 1053.6 (!!!!), 1078thx Активность: 1.06↘0.81 Статус: Участник	Создано: 27 апреля 2013 11:28 · Поправил: reversecode · Личное сообщение · #4 то что вы спрашиваете,называется опытом и по нему манов нет, используйте idr, она частично поможет \| Сообщение посчитали полезным: Abraham
crypto Ранг: 188.1 (ветеран), 419thx Активность: 0.14↘0 Статус: Участник	Создано: 27 апреля 2013 13:29 · Личное сообщение · #5 nen777w ИДА создает кашу из программ, написанных на Дельфи, пока вы отделите данные от кода, пройдет немало времени. Охота вам возиться? Обработайте программу в IDR (он не частично помогает, а кардинально), можете создать idc-файл для ИДЫ, если уж так хочется, тогда хоть многие структуры и функции определятся. А вообще приватная версия IDR декомпилирует практически весь код, если хорошо восстановить прототипы (некоторые неясные моменты с типами программа выясняет "на лету" у пользователя), декомпилятор частично работает в последней публичной версии. \| Сообщение посчитали полезным: nen777w
nen777w Ранг: 4.7 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 27 апреля 2013 17:49 · Поправил: nen777w · Личное сообщение · #6 crypto пишет: Обработайте программу в IDR (он не частично помогает, а кардинально), можете создать idc-файл для ИДЫ, если уж так хочется, тогда хоть многие структуры и функции определятся. А вообще приватная версия IDR декомпилирует практически весь код, если хорошо восстановить прототипы (некоторые неясные моменты с типами программа выясняет "на лету" у пользователя), декомпилятор частично работает в последней публичной версии. Супер! Спасибо, сгенерировал IDC и после того как подсунул IDA теперь хоть более менее ясно на что обращать внимание не стоит. А как получить приватную версию, я так понял что автор IDR Вы? В той что на сайте есть закладка Source Code, но я так понял она в публичной версии не работает.
crypto Ранг: 188.1 (ветеран), 419thx Активность: 0.14↘0 Статус: Участник	Создано: 27 апреля 2013 21:01 · Личное сообщение · #7 nen777w Она работает, только в публичной версии не полный функционал (например, разбираются только простейшие логические конструкции). В приватной версии функционал полный.
nen777w Ранг: 4.7 (гость) Активность: 0.01↘0 Статус: Участник	Создано: 27 апреля 2013 21:22 · Личное сообщение · #8 crypto пишет: Она работает, только в публичной версии не полный функционал (например, разбираются только простейшие логические конструкции). В приватной версии функционал полный. А можно как-то получить полную версию?
gazlan Ранг: 170.1 (ветеран), 96thx Активность: 0.09↘0.01 Статус: Участник	Создано: 27 апреля 2013 21:32 · Личное сообщение · #9 crypto пишет: ИДА создает кашу из программ, написанных на Дельфи Прекрасно декомпилирует и Delphi и C++ Builder (и многое другое).
reversecode Ранг: 1053.6 (!!!!), 1078thx Активность: 1.06↘0.81 Статус: Участник	Создано: 27 апреля 2013 21:42 · Личное сообщение · #10 gazlan подразумевалось что ida плохо флирт для делфи использует idr это делает лучше находить стандартные функции и генерить в idc - лучший вариант, в остальном как работает idr не знаю \| Сообщение посчитали полезным: Abraham
LeonoraFF Ранг: -4.3 (нарушитель) Активность: 0=0 Статус: Участник	Создано: 27 апреля 2013 21:47 · Личное сообщение · #11 Новичкам вообще не нужно лезть в IDA Pro,она только ещё больше запутывает и имеет сложный интерфейс. Пользуйтесь OllyDbg + WinDASM, этого хватает даже для сложных ситуаций
reversecode Ранг: 1053.6 (!!!!), 1078thx Активность: 1.06↘0.81 Статус: Участник	Создано: 27 апреля 2013 21:48 · Личное сообщение · #12 LeonoraFF пишет: OllyDbg + WinDASM как это спасает от декомпиляции если чел хочет алгос восстановить? да никак. поэтому или hexrays или idr или новомодный hopper \| Сообщение посчитали полезным: Jaa
LeonoraFF Ранг: -4.3 (нарушитель) Активность: 0=0 Статус: Участник	Создано: 27 апреля 2013 21:55 · Личное сообщение · #13 Исходник он все равно не восстановит.Можно выдрать компоненты,классы,ресурсы - но алгоритм всё равно не получишь на паскале. Декомпилятор делфей тут на форуме который выкладывали,он на выходе дает такую кашу что вообще ничего разобрать невозможно.
reversecode Ранг: 1053.6 (!!!!), 1078thx Активность: 1.06↘0.81 Статус: Участник	Создано: 27 апреля 2013 21:56 · Личное сообщение · #14 исходники восстановить можно о чем собственно и разговор вы просто не в теме
crypto Ранг: 188.1 (ветеран), 419thx Активность: 0.14↘0 Статус: Участник	Создано: 29 апреля 2013 09:07 · Личное сообщение · #15 LeonoraFF Все восстанавливается, если немного потрудиться над классами и прототипами. Вот маленький примерчик, созданный за 1 минуту (обработка выхода декомпилятора): Code: ThdTimer::TThreadedTimer.SetEnabled 004DBC34 push ebx 004DBC35 mov ebx,eax 004DBC37 cmp dl,byte ptr [ebx+30]; TThreadedTimer.Enabled:Boolean >004DBC3A je 004DBC7B 004DBC3C mov eax,edx 004DBC3E mov byte ptr [ebx+30],al; TThreadedTimer.Enabled:Boolean 004DBC41 test al,al >004DBC43 je 004DBC73 004DBC45 mov eax,dword ptr [ebx+2C]; TThreadedTimer.TimerThread:TTimerThread 004DBC48 cmp dword ptr [eax+2C],0; TTimerThread.Interval:Integer >004DBC4C ja 004DBC5D 004DBC4E mov eax,dword ptr [ebx+2C]; TThreadedTimer.TimerThread:TTimerThread 004DBC51 cmp dword ptr [eax+2C],0; TTimerThread.Interval:Integer >004DBC55 jne 004DBC7B 004DBC57 cmp byte ptr [ebx+31],0; TThreadedTimer.AllowZero:Boolean >004DBC5B je 004DBC7B 004DBC5D mov eax,dword ptr [ebx+2C]; TThreadedTimer.TimerThread:TTimerThread 004DBC60 mov eax,dword ptr [eax+30]; TTimerThread.Event:Longword 004DBC63 push eax 004DBC64 call kernel32.SetEvent 004DBC69 mov eax,dword ptr [ebx+2C]; TThreadedTimer.TimerThread:TTimerThread 004DBC6C call TThread.Resume >004DBC71 jmp 004DBC7B 004DBC73 mov eax,dword ptr [ebx+2C]; TThreadedTimer.TimerThread:TTimerThread 004DBC76 call TThread.Suspend 004DBC7B pop ebx 004DBC7C ret procedure TThreadedTimer.SetEnabled(AValue:Boolean); begin //004DBC3C if (AValue <> Enabled) then begin Enabled := AValue; //004DBC45 if (AValue) then begin //004DBC4E if (TimerThread.Interval > 0) Or ((TimerThread.Interval = 0) And (AllowZero)) then begin SetEvent(TimerThread.Event); TimerThread.Resume; end; end else begin TimerThread.Suspend; end; end; end; У меня есть более весомый пример из 21 тысячи ассемблерных инструкций, содержащий сложные структуры из динамических массивов структур. Обработка была выполнена меньше чем за 1 минуту, правда на финальную обработку времени ушло несколько часов, зато выход полностью удовлетворил заказчика. Вот маленький фрагмент из этой функции (на что способен IDR): Code: if (N >= 1) then begin for lvar_2260 := 0 to N - 1 do begin lvar_8.Line2d(profs[M].minx - 17, 1000 * (profs[M].Points[profs[M].base1].Place.Z - profs[M].MinZ) / StrToInt(VScale.Text) - (lvar_2260 * 31 + 8), profs[M].maxx + 5, 1000 * (profs[M].Points[profs[M].base1].Place.Z - profs[M].MinZ) / StrToInt(VScale.Text) - (lvar_2260 * 31 + 8)); lvar_8.Line2d(profs[M].minx - 17, 1000 * (profs[M].Points[profs[M].base1].Place.Z - profs[M].MinZ) / StrToInt(VScale.Text) - (lvar_2260 * 31 + 21), profs[M].maxx + 5, 1000 * (profs[M].Points[profs[M].base1].Place.Z - profs[M].MinZ) / StrToInt(VScale.Text) - (lvar_2260 * 31 + 21)); lvar_8.Line2d(profs[M].minx - 22, 1000 * (profs[M].Points[profs[M].base1].Place.Z - profs[M].MinZ) / StrToInt(VScale.Text) - (lvar_2260 * 31 + 31), profs[M].maxx + 5, 1000 * (profs[M].Points[profs[M].base1].Place.Z - profs[M].MinZ) / StrToInt(VScale.Text) - (lvar_2260 * 31 + 31)); lvar_8.Text('Punktart', profs[M].minx - 15, 1000 * (profs[M].Points[profs[M].base1].Place.Z - profs[M].MinZ) / StrToInt(VScale.Text) - 4 - 0.8 - lvar_2260 * 31, 1.8, 0); lvar_8.Text('Y (m+NN)', profs[M].minx - 14, 1000 * (profs[M].Points[profs[M].base1].Place.Z - profs[M].MinZ) / StrToInt(VScale.Text) - 14.5 - 0.8 - lvar_2260 * 31, 1.8, 0); lvar_8.Text('X (m) ', profs[M].minx - 13, 1000 * (profs[M].Points[profs[M].base1].Place.Z - profs[M].MinZ) / StrToInt(VScale.Text) - 0.8 - 26 - lvar_2260 * 31, 1.8, 0); end; end; for lvar_2260 := ROUND(profs[M].minx) - 5 to ROUND(profs[M].maxx) + 5 do begin //007F756C if (lvar_2260 Mod 50 = 0) then begin lvar_8.Line2d(lvar_2260, 1000 * (profs[M].Points[profs[M].base1].Place.Z - profs[M].MinZ) / StrToInt(VScale.Text) - N * 31, lvar_2260, 1000 * (profs[M].Points[profs[M].base1].Place.Z - profs[M].MinZ) / StrToInt(VScale.Text) - N * 31 - 1); lvar_8.Text(FormatFloat('0', lvar_2260 / 10, CurrencyString) + ' m', lvar_2260 - 0.7, 1000 * (profs[M].Points[profs[M].base1].Place.Z - profs[M].MinZ) / StrToInt(VScale.Text) - N * 31 - 1.2, 1.8, -90); end; end; lvar_8.Line2d(profs[M].minx - 17, 1000 * (profs[M].Points[profs[M].base1].Place.Z - profs[M].MinZ) / StrToInt(VScale.Text), profs[M].minx - 17, 1000 * (profs[M].Points[profs[M].base1].Place.Z - profs[M].MinZ) / StrToInt(VScale.Text) - ((N - 1) * 31 + 31)); lvar_8.Line2d(profs[M].minx - 22, 1000 * (profs[M].Points[profs[M].base1].Place.Z - profs[M].MinZ) / StrToInt(VScale.Text), profs[M].minx - 22, 1000 * (profs[M].Points[profs[M].base1].Place.Z - profs[M].MinZ) / StrToInt(VScale.Text) - ((N - 1) * 31 + 31)); lvar_8.Line2d(profs[M].maxx + 5, 1000 * (profs[M].Points[profs[M].base1].Place.Z - profs[M].MinZ) / StrToInt(VScale.Text), profs[M].maxx + 5, 1000 * (profs[M].Points[profs[M].base1].Place.Z - profs[M].MinZ) / StrToInt(VScale.Text) - ((N - 1) * 31 + 31)); lvar_8.Text('Horizont 0', profs[M].minx - 20, 1000 * (profs[M].Points[profs[M].base1].Place.Z - profs[M].MinZ) / StrToInt(VScale.Text) - 8, 1.8, -90);
r_e Ранг: 590.4 (!), 408thx Активность: 0.36↘0.18 Статус: Модератор	Создано: 29 апреля 2013 14:33 · Личное сообщение · #16 crypto Декомпиль работает только в привате? Редактирование прототипа функции тоже? ----- старый пень
crypto Ранг: 188.1 (ветеран), 419thx Активность: 0.14↘0 Статус: Участник	Создано: 29 апреля 2013 15:00 · Личное сообщение · #17 r_e В паблике неполный функционал (неполный набор инструкций и неполный разбор логических выражений). Редактирование прототипа есть и в паблике (Edit Function)
r_e Ранг: 590.4 (!), 408thx Активность: 0.36↘0.18 Статус: Модератор	Создано: 29 апреля 2013 16:16 · Личное сообщение · #18 crypto Хз. не работает редактирование. Выбираю неопознанную функцию. Говорю Define. Переименовать после этого нельзя. Аргументы поправить вместо знаков вопросов - тоже нельзя. Ни на одну функцию даже частично Src не работает. Всегда ругается Check prototype. Кстати, DeDe почему-то проименовал все юниты, а вот IDR половину назвал _UnitXX ----- старый пень
crypto Ранг: 188.1 (ветеран), 419thx Активность: 0.14↘0 Статус: Участник	Создано: 29 апреля 2013 17:16 · Поправил: crypto · Личное сообщение · #19 r_e Пробовал нажать кнопку Edit? И неплохо было бы взглянуть на файл, почему юниты не опознаются. И экранчик из Деде со всеми обозванными юнитами. ЗЫ Мне непонятен подход - нажать конпку и получить исходник. С файлом поработать надо, хотя бы прописать прототипы функций, входящих в исследуемую. Без этого сам понимаешь ни хрена хорошего не получится.

Для печати