首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[原创]delphi字符串参考脚本
发表于: 2007-5-18 13:28 14538

[原创]delphi字符串参考脚本

快雪时晴 活跃值
4
2007-5-18 13:28
14538
var addr
var str0
var slen
var numb
var logfile

mov addr,00401000
mov numb,0

cmp $VERSION,"1.53"
jb odbgver

mov logfile, "g:\download\s.log"
eval "\r\n解析进程中delphi字符串脚本 by 快雪时晴\r\n\r\n"
wrt logfile, $RESULT

loop_0:

find addr,#FFFFFFFF#
cmp $RESULT,0
je exit_0
mov addr,$RESULT
add addr,4
mov slen,[addr]

//太长串了,不大可能,或许00到了空白区
cmp slen,ff
ja next_0
//太短串了,也没多大意义
cmp slen,5
jb next_0

//string NULL,ONLY 1 BYTE
mov str0,[addr+slen+4]
and str0,000000FF
cmp str0,00
jne next_0

add addr,4
inc numb
readstr [addr],slen
eval "#{numb}# [{addr}]"+$RESULT
//log $RESULT
wrta logfile,$RESULT
next_0:
jmp loop_0

odbgver:
msg "ODBGScript版本号应大于v1.53(ReadStr)"

exit_0:
eval "共找到{numb}个Delphi字符串参考." 
msg $RESULT

ret

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 8
支持
分享
最新回复 (18)
Losyz
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
没这么短吧           
2007-5-18 13:38
0
whg3249
雪    币: 210
活跃值: (40)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
3
试用下,看看效果
2007-5-18 13:59
0
wqrsksk
雪    币: 208
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
试试看看...
2007-5-18 14:38
0
tzl
雪    币: 242
活跃值: (1664)
能力值: ( LV9,RANK:410 )
在线值:
发帖
回帖
粉丝
私信
5
收藏一个...
2007-5-18 15:39
0
快雪时晴
雪    币: 370
活跃值: (15)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
6
你是指查找结果吗?
附件是我从TURBODEMO中查找到的delphi字符串参考,共3072条:
s.rar

你可以试试看,对你有帮助没有
上传的附件:
  • s.rar (30.92kb,51次下载)
2007-5-18 18:09
0
卡秋莎
雪    币: 144
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
用脚本运行错误的 1.53版本的 :(

不知道需要注意什么
2007-5-18 18:18
0
快雪时晴
雪    币: 370
活跃值: (15)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
8
多换几个版本的ODBGScript试一试,
我自己用的是v1.55.3
2007-5-18 19:04
0
冷血书生
雪    币: 443
活跃值: (200)
能力值: ( LV9,RANK:1140 )
在线值:
发帖
回帖
粉丝
私信
9
一载入就提示失败了~~
2007-5-18 19:43
0
快雪时晴
雪    币: 370
活跃值: (15)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
10
提示什么错?
你打开脚本窗口,STEP BY STEP看看
我自己这里是V1.55.3,不能用
LOG $RESULT
可能是量太大了?运行一会ODBGScript插件就会弹出错误。
我选择输出log到文件就没什么问题了。
2007-5-18 19:53
0
you8107
雪    币: 223
活跃值: (25)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
11
修改:eval "#{numb}# [{addr}]"+$RESULT
为:eval ""#{numb}# [{addr}] {$RESULT}"
一切ok
2007-5-18 20:03
0
快雪时晴
雪    币: 370
活跃值: (15)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
12
[QUOTE=you8107;311261]修改:eval "#{numb}# [{addr}]"+$RESULT
为:eval ""#{numb}# [{addr}] {$RESULT}"
一切ok...[/QUOTE]
你那样修改后,$RESULT输出的是字节码形式,而不是字符串了
比如:
#1# [403333]#31313131#
而不是
#1# [403333]1111
2007-5-18 20:12
0
WisdomZh
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
13
找个合适的版本试试先:)
2007-5-18 20:13
0
WisdomZh
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
14
eval "#{numb}# [{addr}]"+$RESULT 这行报错
2007-5-18 21:22
0
晏代泓
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
15
先学习一下啊
2007-5-18 23:48
0
cjteam
雪    币: 239
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
16
test
2007-5-22 12:18
0
binbinbin
雪    币: 405
活跃值: (10)
能力值: ( LV9,RANK:1130 )
在线值:
发帖
回帖
粉丝
私信
17
哇~~~期待中~~~~
2007-5-22 17:34
0
aaa2520
雪    币: 156
活跃值: (48)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
18
eval "#{numb}# [{addr}]"+$RESULT 这行报错
2007-7-2 08:37
0
jiansuper
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
19
出现wrt logfile, $RESULT错误
2007-7-16 07:06
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//