[求助]VB反编译，几个函数看不懂，请高手指教-CTF对抗-看雪-安全社区|安全招聘|kanxue.com

[求助]VB反编译，几个函数看不懂，请高手指教

2012-5-26 22:32 7855

[求助]VB反编译，几个函数看不懂，请高手指教

playzd

活跃值

2012-5-26 22:32

7855

反编译一个小软件，这是注册算法的后面部分，前面看懂了。但是这里有点看不懂。特别是几个函数，搞不清哪个是参数，哪个是反回值，请高手指教
<&MSVBVM60.__vbaVarAnd>
<&MSVBVM60.__vbaBoolVarNull>
<&MSVBVM60.__vbaVarCmpNe>
<&MSVBVM60.__vbaLenVar>
以上函数用OD调试时总是搞不明白参数和返回值。

部分代码如下：
007B70FF .  FF15 7C104000    call dword ptr ds:[<&MSVBVM60.__vbaHresultChec>;  MSVBVM60.__vbaHresultCheckObj
007B7105 >  8D8D 68FFFFFF    lea ecx,dword ptr ss:[ebp-98]
007B710B .  FF15 60124000    call dword ptr ds:[<&MSVBVM60.__vbaFreeStr>] ;  MSVBVM60.__vbaFreeStr
007B7111 .  8D8D 48FFFFFF    lea ecx,dword ptr ss:[ebp-B8]
007B7117 .  FF15 5C124000    call dword ptr ds:[<&MSVBVM60.__vbaFreeObj>] ;  MSVBVM60.__vbaFreeObj
007B711D .  8B35 80104000    mov esi,dword ptr ds:[<&MSVBVM60.__vbaLenVar>] ;  MSVBVM60.__vbaLenVar
007B7123 .  B8 02800000    mov eax,8002
007B7128 .  8985 E8FEFFFF    mov dword ptr ss:[ebp-118],eax
007B712E .  8985 D8FEFFFF    mov dword ptr ss:[ebp-128],eax
007B7134 .  8D55 AC          lea edx,dword ptr ss:[ebp-54]
007B7137 .  8D85 38FFFFFF    lea eax,dword ptr ss:[ebp-C8]
007B713D .  52             push edx
007B713E .  50             push eax
007B713F .  C785 F0FEFFFF 170>mov dword ptr ss:[ebp-110],17
007B7149 .  C785 E0FEFFFF 1D0>mov dword ptr ss:[ebp-120],1D
007B7153 .  FFD6             call esi                                     ;  <&MSVBVM60.__vbaLenVar>
007B7155 .  8B3D 6C104000    mov edi,dword ptr ds:[<&MSVBVM60.__vbaVarCmpNe>;  MSVBVM60.__vbaVarCmpNe
007B715B .  8D8D E8FEFFFF    lea ecx,dword ptr ss:[ebp-118]
007B7161 .  50             push eax
007B7162 .  8D95 28FFFFFF    lea edx,dword ptr ss:[ebp-D8]
007B7168 .  51             push ecx
007B7169 .  52             push edx
007B716A .  FFD7             call edi                                     ;  <&MSVBVM60.__vbaVarCmpNe>
007B716C .  50             push eax
007B716D .  8D45 AC          lea eax,dword ptr ss:[ebp-54]
007B7170 .  8D8D 18FFFFFF    lea ecx,dword ptr ss:[ebp-E8]
007B7176 .  50             push eax
007B7177 .  51             push ecx
007B7178 .  FFD6             call esi
007B717A .  50             push eax
007B717B .  8D95 D8FEFFFF    lea edx,dword ptr ss:[ebp-128]
007B7181 .  8D85 08FFFFFF    lea eax,dword ptr ss:[ebp-F8]
007B7187 .  52             push edx
007B7188 .  50             push eax
007B7189 .  FFD7             call edi
007B718B .  8D8D F8FEFFFF    lea ecx,dword ptr ss:[ebp-108]
007B7191 .  50             push eax
007B7192 .  51             push ecx
007B7193 .  FF15 34114000    call dword ptr ds:[<&MSVBVM60.__vbaVarAnd>] ;  MSVBVM60.__vbaVarAnd
007B7199 .  50             push eax
007B719A .  FF15 C8104000    call dword ptr ds:[<&MSVBVM60.__vbaBoolVarNull>;  MSVBVM60.__vbaBoolVarNull
007B71A0 .  66:85C0          test ax,ax
007B71A3 .  0F84 A4000000    je 计算机.007B724D
我是菜鸟，请高手指点下，最好能把这个代码写点注脚什么的，方便学习。

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。

收藏・1

点赞・0

打赏

分享

最新回复 (8)
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1203 粉丝 0 关注私信	liuyq 2012-5-26 23:08 2 楼 0 看名字就知道什么意思了。
playzd 雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 5 粉丝 0 关注私信	playzd 2012-5-26 23:56 3 楼 0 大意倒是知道.但是不知道参数是怎么传的.
天命小三雪币： 2993 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 185 粉丝 0 关注私信	天命小三 1 2012-5-27 01:17 4 楼 0 堆栈传递参数，进入函数前把参数push进去，函数体内把参数pop出来
speedboy 雪币： 8091 活跃值： (2366) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 433 粉丝 0 关注私信	speedboy 2012-5-27 06:39 5 楼 0
playzd 雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 5 粉丝 0 关注私信	playzd 2012-5-27 08:08 6 楼 0 请高手帮我讲解一下这段代码的大概意思.
羊豁豁雪币： 588 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 0 关注私信	羊豁豁 2012-6-5 11:45 7 楼 0 都是Variant类型操作的函数 __vbaVarAnd: 入口参数:堆栈,返回:eax __vbaBoolVarNull 对应:if variant then... 入口:堆栈,出口,ax __vbaVarCmpNe 对应:IIf(Varianta <> Variantb, Variantc, Variantd) 入口:堆栈,出口:eax __vbaVarCmpGt:IIf(a > b, c, d) __vbaLenVar Len(variant) 对应:Len(Variant), 入口:堆栈,出口:eax __vbaVarCopy Variant字符串赋值,源:Edx,目标:Ecx 都跟到这个地步了,多看看Variant的4个DD的内容就OK了
小P孩儿雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 484 粉丝 0 关注私信	小P孩儿 2012-6-5 23:47 8 楼 0 无敌了。。。
hanjinxin 雪币： 205 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 38 粉丝 0 关注私信	hanjinxin 2012-7-29 07:47 9 楼 0 正解，over。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

返回

playzd

发帖

回帖

RANK

关注

他的文章

[求助]VB反编译，几个函数看不懂，请高手指教

ASPack 2.12 脱壳后运行程序无反应是怎么回事啊!please

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区