เครื่องมือ Delphi—ถอดรหัส Delphi (3)

ส่วนที่ 3 เครื่องมือถอดรหัส Delphi

วิศวกรรมย้อนกลับถือเป็นศิลปะที่สงวนไว้สำหรับพ่อมดทางเทคนิคมาโดยตลอด ซึ่งต้องการความคุ้นเคยกับภาษาแอสเซมบลีและดีบักเกอร์ ตัวถอดรหัส Delphi ต่อไปนี้อนุญาตให้ใครก็ตามสามารถถอดรหัสไฟล์ปฏิบัติการ Delphi ส่วนใหญ่ได้ แม้ว่าจะมีความรู้ทางเทคนิคที่จำกัดก็ตาม

หากคุณสนใจโปรแกรมวิศวกรรมย้อนกลับ Delphi ฉันขอแนะนำให้คุณดู "ตัวถอดรหัส" ต่อไปนี้:

เดเด

DeDe เป็นโปรแกรมที่รวดเร็วมากสำหรับการวิเคราะห์ไฟล์ปฏิบัติการที่คอมไพล์ของ Delphi หลังจากการคอมไพล์แล้ว DeDe จะให้ข้อมูลต่อไปนี้:

• ไฟล์ dfm เป้าหมายทั้งหมด คุณสามารถเปิดและแก้ไขด้วย Delphi
• วิธีการเผยแพร่ทั้งหมดที่มีรหัส ASM ที่มีความคิดเห็นดี ซึ่งเกี่ยวข้องกับสตริง การเรียกฟังก์ชันอินพุต การเรียกเมธอดคลาส ส่วนประกอบของหน่วย บล็อก Try-Except และ Try-Finally ตามค่าเริ่มต้น DeDe จะได้รับเฉพาะซอร์สโค้ดของวิธีการที่เผยแพร่ แต่คุณยังสามารถประมวลผลขั้นตอนอื่นๆ ในการดำเนินการได้หากคุณทราบค่าชดเชย RVA โดยใช้เมนูเครื่องมือ | แยกส่วน PROc
• ข้อมูลเพิ่มเติมมากมาย
• คุณสามารถสร้างโฟลเดอร์โครงการ Delphi พร้อมไฟล์ dfm, pas และ dpr ทั้งหมด หมายเหตุ: ไฟล์ pas มีโค้ด ASM ที่มีความคิดเห็นดีตามที่กล่าวไว้ข้างต้น ไม่สามารถคอมไพล์ใหม่ได้!

เรเวนเดโปร

Revendepro สามารถค้นหาโครงสร้างเกือบทั้งหมดในโปรแกรม (คลาส ประเภท โพรซีเดอร์ ฯลฯ) และสร้างนิพจน์ปาสคาล และโพรซีเจอร์ต่างๆ จะถูกเขียนในรูปแบบของแอสเซมเบลอร์ เนื่องจากข้อจำกัดบางประการของแอสเซมเบลอร์ ผลลัพธ์ที่สร้างขึ้นจึงไม่สามารถคอมไพล์ได้ ซอร์สโค้ดของตัวถอดรหัสนี้มีให้ใช้งานได้อย่างอิสระ น่าเสียดายที่นี่เป็นตัวถอดรหัสตัวเดียวที่ฉันไม่สามารถใช้ได้ - ฉันได้รับข้อยกเว้นเมื่อพยายามถอดรหัสไฟล์ปฏิบัติการ Delphi บางตัวด้วย

เอ็มอาร์ไอพี

ตัวแยกไฟล์ที่สร้างขึ้นโดยเฉพาะนี้สามารถค้นหาและแตกไฟล์จากไฟล์อื่นได้ MRIP แยกไฟล์ได้มากกว่า 100 รูปแบบ สิ่งที่สำคัญที่สุดสำหรับเราคือ MRipper สามารถถอดรหัสไฟล์ปฏิบัติการ Delphi ใด ๆ ได้ เครื่องมือนี้สามารถแยกทรัพยากรทั้งหมดจากแอปพลิเคชัน Delphi: เคอร์เซอร์ (เคอร์เซอร์), ไอคอน (ไอคอน), ไฟล์ dfm, ไฟล์ pas และทรัพยากรอื่น ๆ ไฟล์ Pas ไม่มีการดำเนินการตามขั้นตอนเหตุการณ์ MRIP เป็นเครื่องมือ DOS

DfmExplorer

นี่คือคำอธิบายของ DfmExplorer (รวมถึงแหล่งข้อมูล):

• โหลดโมดูลปฏิบัติการ (EXE/DLL/BPL/DPL) ในหน่วยความจำโดยการเรียกฟังก์ชัน "LoadLibrary" หรือ "LoadLibraryEx" ของ Win32 API
• ค้นหาทรัพยากร RCDATA ผ่านฟังก์ชัน "EnumResourceName" ของ Win32 API
• โหลดแต่ละบล็อก DFM ที่พบ ถอดรหัสและจัดเก็บไว้ในหน่วยความจำเป็นตาราง (รวมถึงชื่อด้วย)
• ในหน้าต่างหลักของโปรแกรม เราสามารถมองเห็นภาพ DFM ทั้งหมดของไฟล์ปฏิบัติการที่โหลดทั้งหมดในรูปแบบข้อความ
• ในที่สุด โปรแกรมสามารถบันทึกลงในดิสก์ที่ DFM เลือกได้ เป็นไฟล์ ASCII (.RC) หรือเป็นไบนารีบล็อก (DAT) ที่ต่อกันเป็นไฟล์ปฏิบัติการ

Exe2Dpr

หากคุณกำลังพยายามคลายซอร์สโค้ดของโปรเจ็กต์ ผู้ช่วยเหลือซอร์สโค้ดของโปรเจ็กต์ Delphi นี้สามารถช่วยเหลือส่วนของซอร์สโค้ดที่หายไปได้ ผู้ช่วยชีวิตจะสร้างแบบฟอร์มโครงการและโมดูลข้อมูลทั้งหมดที่มีคุณสมบัติและเหตุการณ์ที่ได้รับมอบหมาย ขั้นตอนเหตุการณ์ที่สร้างขึ้นไม่มีโปรแกรมหลัก (ไม่ใช่ตัวถอดรหัส) แต่อยู่ที่ที่อยู่รหัสในไฟล์ปฏิบัติการ เครื่องมือนี้ไม่มี GUI - ใช้รูปแบบบรรทัดคำสั่ง: 'exe2dpr [-o] exeFile' ซอร์สโค้ดของโปรเจ็กต์ถูกสร้างขึ้นในไดเร็กทอรีปัจจุบัน หากคุณต้องการเขียนทับไฟล์ที่มีอยู่ในไดเร็กทอรีปัจจุบัน ให้ใช้ตัวเลือก '-o'