首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
请教VB5 P-code的问题[yyzyy,小楼,RoRa]?[求助]
发表于: 2004-12-16 15:07 7173

请教VB5 P-code的问题[yyzyy,小楼,RoRa]?[求助]

askformore 活跃值
18
2004-12-16 15:07
7173
由于 VB PCODE中常见的“助记符”认识不多,所以想请教大家:

VB5 P-code 的 Nop 伪指令是什么样的,机器码又怎么表示?
VB5 P-code 的 CRC32 的机器码特征又是什么样的,如知道请帖出来。
VB5 P-code 的 输出(写)文件,如不直接用 WriteFile(当然它最终是要调用它的),又可以用什么 VB5 函数?
VB5 P-code 的 显示组件对象(按钮、标题、菜单项等),是跟什么函数或伪指令比较挂钩得近些,当然不是指我们常见的 API ?


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 1
支持
分享
最新回复 (15)
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
2
路过
据说P-Code没有nop
2004-12-16 15:14
0
WiNrOOt
雪    币: 255
活跃值: (266)
能力值: ( LV12,RANK:220 )
在线值:
发帖
回帖
粉丝
私信
3
yyxzz大虾告诉我们读懂pcode最好的方法就是
自己用vb写一段程序~~~编译成pcode
然后就慢慢看懂了:D
2004-12-16 15:30
0
mejy
雪    币: 239
活跃值: (220)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
私信
4
yy就知道h
2004-12-16 16:25
0
loveyou
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
又是pcode的东西
:D :D
2004-12-16 17:01
0
askformore
雪    币: 383
活跃值: (786)
能力值: ( LV12,RANK:730 )
在线值:
发帖
回帖
粉丝
私信
6
最初由 WiNrOOt 发布
yyxzz大虾告诉我们读懂pcode最好的方法就是
自己用vb写一段程序~~~编译成pcode
然后就慢慢看懂了:D


那就 首推 yy 指点,毕竟前人已经 心有灵“犀”,自己盲人摸象,需要很多时间,本人时间不多,另外 VB5 和 VB6 的 P-code 有区别吗?

我现在调试的那个软件应该是 VB5 P-code 方式编译的,拿 风飘雪的 exdec中文版 却报是 It is VB6 native,用OD加载明明一看就不是啦,于是我对一个好像是英文测试版 DIY 了一下,可以输出文件,居然能反编译,但不能反完全,好像能在检测出有问题的同时,还会尝试量去反,反不异常为止,啊有3M多。。。如果有人要就下吧

附件:diy_exdec.rar :D
2004-12-16 17:44
0
sadan
雪    币: 212
活跃值: (70)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
7
意淫喜滋滋:D :D
2004-12-16 19:04
0
askformore
雪    币: 383
活跃值: (786)
能力值: ( LV12,RANK:730 )
在线值:
发帖
回帖
粉丝
私信
8
笑不出来,长篇小说,看得眼花,CRC32 在 VB Pcode的特征机器码 到到底是怎样的?:(
2004-12-16 21:09
0
小楼
雪    币: 166
活跃值: (112)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
9
CRC32的那张密码表我想不管是什么语言,排列都是一样的
可以用cc(crypt search),kanal等验证
2004-12-16 21:49
0
askformore
雪    币: 383
活跃值: (786)
能力值: ( LV12,RANK:730 )
在线值:
发帖
回帖
粉丝
私信
10
就知道它有 CRC32 校验,一串CRC数字数据在文件尾巴, 但不知如何找,用 PEid 的kanal 算法分析器找不到北,会不会是那表是 宽字符 的表呢?
2004-12-16 22:09
0
呱叽呱叽
雪    币: 253
活跃值: (27)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
11
最初由 fly 发布
路过
据说P-Code没有nop


好象是机器码00吧
2004-12-17 11:28
0
cAtEyE
雪    币: 225
活跃值: (145)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
12
刚好看到VB PCODE的一些东东:不知道能不能帮你。
FB FA 9D55 9048 0          vbaFileSeek                                       
FB FB 9D66 9059 0          vbaNameFile      
FC 14 51E9 0523 0          No Operation do nothing    //不知道是不是NOP
FF 0F B8D6 AC9E 4          vbaWriteFile  
我手上也有个VB5 PCODE的软件,破解也找不到北了,哈哈。
2004-12-18 16:02
0
askformore
雪    币: 383
活跃值: (786)
能力值: ( LV12,RANK:730 )
在线值:
发帖
回帖
粉丝
私信
13
其实类似 Nop 的指令并不是很重要,我们可以改变

BranchF
BranchT

变为我们硬性定位:
Branch 1E + offset

比如:
0045E9B8: F4 LitI2_Byte: -> 0h 0
0045E9BA: C6 EqI2
0045E9BB: 1C BranchF 0045E9CC //这行我们不想跳的话,可以改为:1E +(偏移量到 45e9be),或者 直接改 1D
0045E9BE: 00 LargeBos
0045E9C0: F4 LitI2_Byte: -> FFh 255
0045E9C2: 21 FLdPrThis 0019F4F8h
0045E9C3: 0F VCallAd frmRegister.Timer1 0050DEC8h

VB5 PCODE的软件? 不明你上面用什么工具出来的,我玩的那个更烦,我就知道它本身设计是有大量的加密数据的,CRC32肯定它是有采用的,但测不到,因为它本身就运行才解密,exdec和Wktvbde都用上了,没折,只能人工分析(滚动条拉得好若)反出来的一部分(不能反完全),破了一丁点限制。。。:D
2004-12-18 17:37
0
cAtEyE
雪    币: 225
活跃值: (145)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
14
用WKTVBDE load我那个VB5 PCODE的目标说:
This file does NOT import a VB dll.
明明是VB5的程序怎么会不认识??
2004-12-20 08:31
0
askformore
雪    币: 383
活跃值: (786)
能力值: ( LV12,RANK:730 )
在线值:
发帖
回帖
粉丝
私信
15
能调 Dll 吗?似乎只能调 exe 的说,又或者你的系统目录没有 VB模块呢?:o
2004-12-20 11:37
0
cAtEyE
雪    币: 225
活跃值: (145)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
16
问题找到了,是那个软件的tricks,利用WKTVBDE的BUG吧.
http://bbs.pediy.com/showthread.php?s=&threadid=8680
2004-12-20 20:41
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//