[求助]谁有能让ida识别delphi库函数的插件啊？？-IDA Pro插件区-看雪-安全社区|安全招聘|kanxue.com

[求助]谁有能让ida识别delphi库函数的插件啊？？

2007-3-10 16:24 23405

[求助]谁有能让ida识别delphi库函数的插件啊？？

dennisuly

2007-3-10 16:24

23405

最近分析一个delphi写的程序，但发现ida好像不识别delphi的一些库函数，如
call unknown_libname_14 ; Borland Visual Component Library & Packages，不知各位有没有ida的相关插件，还有就是各位遇到这样的情况应该怎样处理？小弟在这里先谢谢大家了！！

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・4

点赞・0

打赏

最新回复 (23)
sungy 雪币： 332 活跃值： (1638) 能力值： ( LV6，RANK：90 ) 在线值：发帖 143 回帖 634 粉丝 24 关注私信	sungy 1 2007-6-22 08:22 2 楼 0 是啊，没有也跟一下啊
haipengwan 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	haipengwan 2007-6-29 12:38 3 楼 0 文件--载入文件--flirt签名文件,把跟delphi相关的几个文件载入就可以了,但是分析的还是不如dede,推荐dede分析,用ollydbg调试跟踪,呵呵
expsc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	expsc 2007-8-28 11:01 4 楼 0 不知什么时候能有
arnew 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 49 粉丝 0 关注私信	arnew 2007-12-5 13:28 5 楼 0 前几天反一个程序，发现vs不知道那个版本，大概2006的吧，也有几个函数，应该是启动函数，也认不出来
jackniuniu 雪币： 200 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	jackniuniu 2007-12-5 15:49 6 楼 0 我一般这样做: 先用dede打开分析，然后导出map文件，然后执行：mapsym -s -o %1.sym %1.map， %1为导出的文件名。然后在IDA中打开IDC-> LoadSym,这样就可以识别DEDE到处的所有的标示了。
wehusen 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 0 关注私信	wehusen 2008-4-15 22:00 7 楼 0 是啊，没有也跟一下啊
wehusen 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 0 关注私信	wehusen 2008-4-15 22:00 8 楼 0 前几天反一个程序，发现vs不知道那个版本，大概2006的吧，也有几个函数，应该是启动函数，也认不出来
HamiltonLi 雪币： 311 活跃值： (291) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 51 粉丝 1 关注私信	HamiltonLi 2008-4-19 07:50 9 楼 0 我一般这样做: 先用dede打开分析，然后导出map文件，然后执行：mapsym -s -o %1.sym %1.map， %1为导出的文件名。然后在IDA中打开IDC-> LoadSym,这样就可以识别DEDE到处的所有的标示了。可、以吗？？
yidepde 雪币： 205 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	yidepde 2008-5-7 08:54 10 楼 0 jackniuniu的意思是file->IDC file执行IDA\idc目录下面loadsym.idc？试了一下，好像效果不太好，不太会用这个东西。
jackniuniu 雪币： 200 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	jackniuniu 2008-5-10 23:38 11 楼 0 我用起来，觉得效果挺好的，注意DEDE导出来时，不要加-> <-之类的符号，另外导出的Map文件中，每一行末尾最好去掉‘；’和';<+>'符号，再转换，会好很多。
jackniuniu 雪币： 200 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	jackniuniu 2008-5-10 23:40 12 楼 0 还有一个办法，是IDA中选择加载SIG文件，选择BDS2006之类的，马上可以看出很多符号表，不过还是DEDE最方便分析，除非想用IDA的F5，否则DEDE是首选。
yidepde 雪币： 205 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	yidepde 2008-5-14 13:28 13 楼 0 嘻嘻，怎么让DEDE导出来时不加-> <-和*之类的符号呢？如果导出来后手动删除的话，后面的操作就会有问题。
wxjgeorge 雪币： 123 活跃值： (95) 能力值： ( LV5，RANK：60 ) 在线值：发帖 30 回帖 140 粉丝 1 关注私信	wxjgeorge 1 2008-9-25 23:19 14 楼 0 好像这个只要用签名就可以了吧
ludingping 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	ludingping 2008-10-24 11:32 15 楼 0 都试一下先。哈哈
crunming 雪币： 37 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 1 关注私信	crunming 2009-1-24 11:39 16 楼 0 新人路过，看懂就看，不懂就学，学不会就问，现在是看的阶段
雪融冰寒雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	雪融冰寒 2009-2-1 20:27 17 楼 0 是的，我继续看
猎人雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	猎人 2009-2-16 03:28 18 楼 0 看看飘过
xfbird 雪币： 259 活跃值： (98) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 14 粉丝 4 关注私信	xfbird 2009-3-6 13:22 19 楼 0 路过学习一下了
dujiguang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	dujiguang 2009-3-19 23:01 20 楼 0 dede 能否反汇编 borland C++ 编写的DOS程序？
dujiguang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	dujiguang 2009-3-19 23:02 21 楼 0 用IDA 分析 borland c++ 编写的dos 程序 , 能否给些入手的建议？
风中听雪雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 37 粉丝 0 关注私信	风中听雪 2010-2-11 21:47 22 楼 0 我也觉得这样比较好
啤酒盖子雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	啤酒盖子 2010-2-13 11:42 23 楼 0 同意楼上的做法
haijie 雪币： 193 活跃值： (308) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 33 粉丝 0 关注私信	haijie 2020-6-12 19:01 24 楼 0 收藏一下，感谢分享
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

dennisuly

发帖

回帖

RANK

关注

私信

他的文章

[求助]谁有能让ida识别delphi库函数的插件啊？？

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
sungy 雪币： 332 活跃值： (1638) 能力值： ( LV6，RANK：90 ) 在线值：发帖 143 回帖 634 粉丝 24 关注私信	sungy 1 2007-6-22 08:22 2 楼 0 是啊，没有也跟一下啊
haipengwan 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	haipengwan 2007-6-29 12:38 3 楼 0 文件--载入文件--flirt签名文件,把跟delphi相关的几个文件载入就可以了,但是分析的还是不如dede,推荐dede分析,用ollydbg调试跟踪,呵呵
expsc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	expsc 2007-8-28 11:01 4 楼 0 不知什么时候能有
arnew 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 49 粉丝 0 关注私信	arnew 2007-12-5 13:28 5 楼 0 前几天反一个程序，发现vs不知道那个版本，大概2006的吧，也有几个函数，应该是启动函数，也认不出来
jackniuniu 雪币： 200 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	jackniuniu 2007-12-5 15:49 6 楼 0 我一般这样做: 先用dede打开分析，然后导出map文件，然后执行：mapsym -s -o %1.sym %1.map， %1为导出的文件名。然后在IDA中打开IDC-> LoadSym,这样就可以识别DEDE到处的所有的标示了。
wehusen 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 0 关注私信	wehusen 2008-4-15 22:00 7 楼 0 是啊，没有也跟一下啊
wehusen 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 0 关注私信	wehusen 2008-4-15 22:00 8 楼 0 前几天反一个程序，发现vs不知道那个版本，大概2006的吧，也有几个函数，应该是启动函数，也认不出来
HamiltonLi 雪币： 311 活跃值： (291) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 51 粉丝 1 关注私信	HamiltonLi 2008-4-19 07:50 9 楼 0 我一般这样做: 先用dede打开分析，然后导出map文件，然后执行：mapsym -s -o %1.sym %1.map， %1为导出的文件名。然后在IDA中打开IDC-> LoadSym,这样就可以识别DEDE到处的所有的标示了。可、以吗？？
yidepde 雪币： 205 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	yidepde 2008-5-7 08:54 10 楼 0 jackniuniu的意思是file->IDC file执行IDA\idc目录下面loadsym.idc？试了一下，好像效果不太好，不太会用这个东西。
jackniuniu 雪币： 200 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	jackniuniu 2008-5-10 23:38 11 楼 0 我用起来，觉得效果挺好的，注意DEDE导出来时，不要加-> <-之类的符号，另外导出的Map文件中，每一行末尾最好去掉‘；’和';<+>'符号，再转换，会好很多。
jackniuniu 雪币： 200 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	jackniuniu 2008-5-10 23:40 12 楼 0 还有一个办法，是IDA中选择加载SIG文件，选择BDS2006之类的，马上可以看出很多符号表，不过还是DEDE最方便分析，除非想用IDA的F5，否则DEDE是首选。
yidepde 雪币： 205 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	yidepde 2008-5-14 13:28 13 楼 0 嘻嘻，怎么让DEDE导出来时不加-> <-和*之类的符号呢？如果导出来后手动删除的话，后面的操作就会有问题。
wxjgeorge 雪币： 123 活跃值： (95) 能力值： ( LV5，RANK：60 ) 在线值：发帖 30 回帖 140 粉丝 1 关注私信	wxjgeorge 1 2008-9-25 23:19 14 楼 0 好像这个只要用签名就可以了吧
ludingping 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	ludingping 2008-10-24 11:32 15 楼 0 都试一下先。哈哈
crunming 雪币： 37 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 1 关注私信	crunming 2009-1-24 11:39 16 楼 0 新人路过，看懂就看，不懂就学，学不会就问，现在是看的阶段
雪融冰寒雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	雪融冰寒 2009-2-1 20:27 17 楼 0 是的，我继续看
猎人雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	猎人 2009-2-16 03:28 18 楼 0 看看飘过
xfbird 雪币： 259 活跃值： (98) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 14 粉丝 4 关注私信	xfbird 2009-3-6 13:22 19 楼 0 路过学习一下了
dujiguang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	dujiguang 2009-3-19 23:01 20 楼 0 dede 能否反汇编 borland C++ 编写的DOS程序？
dujiguang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	dujiguang 2009-3-19 23:02 21 楼 0 用IDA 分析 borland c++ 编写的dos 程序 , 能否给些入手的建议？
风中听雪雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 37 粉丝 0 关注私信	风中听雪 2010-2-11 21:47 22 楼 0 我也觉得这样比较好
啤酒盖子雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	啤酒盖子 2010-2-13 11:42 23 楼 0 同意楼上的做法
haijie 雪币： 193 活跃值： (308) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 33 粉丝 0 关注私信	haijie 2020-6-12 19:01 24 楼 0 收藏一下，感谢分享
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复