Petunjuk Penggunaan VBKiller
Killer adalah alat analisis terbalik yang dibantu VB. Pertama-tama, izinkan saya menyatakan bahwa ini tidak dapat membantu Anda mendekompilasi program VB menjadi kode sumber VB. Ini hanya dapat membuat pembongkaran program VB terlihat lebih dekat dengan kode VB.
Digunakan dengan IDA, Anda dapat membuat hampir semua struktur kelas, tabel metode, badan fungsi program VB, dan membuat struktur tabel metode Anda dapat mengidentifikasi CLSID dari COM yang direferensikan dalam program VB dan menggunakan ProgID untuk memberi nama yang dapat Anda buat; setiap program COM (non-VB juga dapat mengkompilasi tabel metode dan badan fungsi, dan membuat struktur tabel metode. Struktur ini dapat digunakan dalam program VB untuk dianalisis. Setelah proses tersebut, program VB yang akan dianalisis telah membentuk sejumlah kelas dan metode yang sangat terstandarisasi di IDA, dan tidak jauh dari rekayasa balik kode sumber.
Cara menggunakannya:
Klik tombol telusuri untuk memilih program COM, DLL atau Exe atau ocx. Jika bukan program VB, centang "Program Non-VB" dan klik untuk melihatnya. Kotak di sebelah kiri mencantumkan semua antarmuka COM dari program yang dipilih. Jika Anda juga ingin melihat kelas dan enumerasi, Anda dapat memilih "Tampilkan semua kelas kecuali antarmuka". Klik pada antarmuka mana saja, dan semua metode antarmuka akan ditampilkan di sebelah kanan, termasuk alamat di tabel metode dan alamat sebenarnya dari badan metode. Jika Anda ingin menampilkan tujuh metode dasar pertama, Anda harus memilih "Tampilkan metode antarmuka dasar". Jika ini adalah program non-VB, terdapat alamat basis gambar dan alamat basis virtual di sebelah kanan. Alamat basis gambar adalah ImageBase program, dan alamat basis virtual adalah alamat awal yang dialokasikan ke ruang memori Program mungkin menghitung alamat ini secara default. Jika salah, Ini perlu diubah secara manual, karena alamat tabel metode yang diperoleh program ada di ruang berjalan, dan kedua alamat dasar ini harus diketahui untuk diubah menjadi alamat di dalam. file statis, jadi sangat penting dan tidak dapat diisi, jika tidak maka kesalahan akan dikenali. Klik Hasilkan IDC untuk menghasilkan file IDC yang sesuai dengan antarmuka yang dipilih saat ini. Kelas dan enumerasi tidak dapat menghasilkan IDC. Muat IDC ini ke IDA dan alamat metode yang sesuai dapat diidentifikasi dan diproses secara otomatis. Klik Hasilkan Semua untuk menghasilkan file IDC untuk semua antarmuka (letakkan di file yang sama). Pilih "Hasilkan Struktur" dan gunakan dua tombol buat untuk menghasilkan skrip pembuatan struktur yang sesuai dengan COM ini. Muat IDC struktur ini ke dalam IDA dan kumpulan struktur terkait akan dibuat di IDA, seperti: Salah satu program yang dianalisis menggunakan operasi basis data. dan operasi enkripsi dan dekripsi. Umumnya, skrip struktur ADO dan CAPICOM perlu dimuat.
VBKiller juga memiliki fungsi memindai dan mengidentifikasi COM yang belum selesai.
Di direktori yang sama, ada beberapa file c lainnya.
Diantaranya, header.c disertakan dalam file IDC di atas. Ini adalah file fungsi publik;
vb.c merupakan versi modifikasi dari vb.idc yang beredar di Internet, tidak banyak berubah. Rasanya banyak tempat yang tidak berfungsi. Skrip ini dapat digunakan untuk menetapkan struktur kelas dan tabel acara program VB;
vboop.c adalah skrip yang dirancang khusus untuk membantu menganalisis fungsi berorientasi objek VB.
Metode Do_BasicOOP di dalamnya terutama didasarkan pada tabel peristiwa yang dibuat di vb.c, memproses isi fungsi yang sesuai. Jika fungsi tidak dibuat, buat fungsi, ganti nama fungsi agar konsisten dengan nama tabel peristiwa, dan buat setiap kelas pada waktu yang sama. Struktur tabel metode akan dianalisis nanti.
ParseAPI digunakan untuk memproses fungsi internal VB. Ini akan memindai referensi silang dari semua fungsi yang ditentukan, menambahkan komentar berulang ke fungsi, mencoba mengidentifikasi parameter, dan menambahkan komentar ke setiap parameter. Jika parameternya adalah register, maka cari lebih lanjut Sumber data register, dengan komentar. Fungsi dan komentar yang dipindai ditentukan dalam kode. Saat ini, sebagian besar fungsi ditentukan.
Metode ParseNew digunakan untuk memindai semua referensi silang _vbaNew dan _vbaNew2 dan mencoba mengidentifikasi CLSID yang sesuai. Jika dapat diidentifikasi, maka akan dimodifikasi ke nama program yang sesuai agar mudah dilihat. Pengenalan diterapkan secara bawaan. Saat ini tidak banyak pengenalan yang dapat Anda tambahkan sesuai kebutuhan. Pemindaian adalah, jika ditemukan CLSID yang tidak dikenal, program akan menulis CLSID ke UnKnown.txt di direktori yang sama. Setelah menganalisisnya, Anda dapat memeriksa file tersebut CLSID, dan setelah mendapatkan nama program, tambahkan ke tempat yang sesuai di program.