[原创]VB6反编译详解（二）-『软件逆向』-看雪安全论坛

[原创]VB6反编译详解（二）: 2006-7-20 10:57 15456

kenmark 2

[原创]VB6反编译详解（二）

kenmark

2006-7-20 10:57

15456

****************************************************************************************************
上次说到最重要的部分OBJECT TABLE就断了实在是对不起大家，所以最近加紧研究马上出了第二篇（连载会很长哦，要考验大家的耐心的哦）
****************************************************************************************************

*7）ObjectInfo
这些东西十分重要，是提取VB工程元素的重要标志，从这里我们可以得到这个工程里有多少FORM,多少MODULE,以及他们的重要索引数据，可以说重要性和SECTION HEAD在EXE程序中重要性相同。
我们反编译只是初期水平，现在由于笔者能力有限，我们只讨论到如何完全反会MOD,VBP,FRX和FRM文件，关于其他文件例如.CLS类文件什么的不再本文讨论范围之内。
入口的地址是由ProjectInfo_t结构提供的(semi提供关于这里提供的资料少之又少，所以需要自己摸索）
从ProjectInfo_t开始指向的是一个ObjectTable_t,由ObjectTable_t提供第一个OBJECT_t结构的地址，索引其他的OBJECT和Import Table里索引IID一样。

typedef struct //这个是OBJECT 的总表，可以索引以后的每个OBJECT
{
DWORD lNull1 As Long; //没有用的填充东西
DWORD aExecProj; //VA指向一块内存结构(研究下来既不没见着这个东西由什么用处
DWORD aProjectInfo2; //VA指向Project Info 2
DWORD Const1; //没有用的填充东西
DWORD Null2;                                             //没有用的填充东西
DWORD lpProjectObject As Long                               ' 0x14
DWORD Flag1; //标志1
DWORD Flag2; //标志2
DWORD Flag3; //标志3
DWORD Flag4; //标志4
WORD fCompileType; //Internal flag used during compilation
WORD ObjectCount1; //OBEJCT数量1????
WORD iCompiledObjects; //编译后OBJECT数量
WORD iObjectsInUse As Integer; //Updated in the IDE to correspond the total number ' but will go up or down when initializing/unloading modules.
DWORD aObject; //VA指向第一个OBJECT_t结构，很重要
DWORD Null3; //没有用的填充东西
DWORD Null4; //没有用的填充东西
DWORD Null5; //没有用的填充东西
DWORD aProjectName; //执行工程名字的字符串
DWORD LangID1; //language ID1
DWORD LangID2; //language ID2
DWORD Null6; //没有用的填充东西
DWORD Const3; //没有用的填充东西
' 0x54
}ObjectTable_t;

type struct//这个就是每个OBJECT的结构，
{
DWORD aObjectInfo; //VA 指向一个ObjectInfo_t类型,来显示这个OBJECT的数据
DWORD Const1; //没有用的填充东西
DWORD aPublicBytes; //VA 指向公用变量表大小
DWORD aStaticBytes; //VA 指向静态变量表地址
DWORD aModulePublic; //VA 指向公用变量表
DWORD aModuleStatic; //VA 指向静态变量表
DWORD aObjectName; //VA 字符串,这个OBJECT的名字
DWORD ProcCount; // events, funcs, subs(事件\函数\过程)数目
DWORD aProcNamesArray; //VA 一般都是0
DWORD oStaticVar; //OFFSET  从aModuleStatic指向的静态变量表偏移
DWORD ObjectType; //比较重要显示了这个OBJECT的实行,具体见下表
DWORD Null3;       //没有用的填充东西
//sizeof() = 0x30
}Object_t;

'Object_t.ObjectTyper 属性...//重要的属性表部分
'#########################################################
'form:             0000 0001 1000 0000 1000 0011 --> 18083
'                0000 0001 1000 0000 1010 0011 --> 180A3
'                0000 0001 1000 0000 1100 0011 --> 180C3
'module:          0000 0001 1000 0000 0000 0001 --> 18001
'                0000 0001 1000 0000 0010 0001 --> 18021
'class:          0001 0001 1000 0000 0000 0011 --> 118003
'                0001 0011 1000 0000 0000 0011 --> 138003
'                0000 0001 1000 0000 0010 0011 --> 18023
'                0000 0001 1000 1000 0000 0011 --> 18803
'                0001 0001 1000 1000 0000 0011 --> 118803
'usercontrol:    0001 1101 1010 0000 0000 0011 --> 1DA003
'                0001 1101 1010 0000 0010 0011 --> 1DA023
'                0001 1101 1010 1000 0000 0011 --> 1DA803
'propertypage:    0001 0101 1000 0000 0000 0011 --> 158003
'                   | ||    |  | | | |
'[moog]             | ||    |  | | | |
'HasPublicInterface ---+ ||    |  | | | |  （有公用的接口）
'HasPublicEvents --------+|    |  | | | |  （有公用的事件）
'IsCreatable/Visible? ----+    |  | | | | （是否可以创建，可见）
'Same as "HasPublicEvents" -----+  | | | |
'[aLfa]                      |  | | | |
'usercontrol (1) ---------------+  | | | | （用户控制）
'ocx/dll (1) ----------------------+ | | | （OCX/DLL）
'form (1) ------------------------------+ | | （是不是FORM是就是1）
'vb5 (1) ---------------------------------+ | （是不是VB5是就是1）
'HasOptInfo (1) -------------------------------+ （有没有额外的信息信息由就是1,决定是不是指向OptionalObjectInfo_t类似与PEHEAD里的Optional信息一样）
'                                           |
'module(0) ------------------------------------+ （如果是Module模块就这里是0）

typedef struct//这个是显示这个OBJECT信息的结构,每一个OBJECT都有一个
{
WORD Flag1;
WORD ObjectIndex; //OBJECT的索引????????????????????????
DWORD aObjectTable; //指向OBJECT TABLE??????????????????
DWORD Null1; //没有用的填充东西
DWORD aSmallRecord; // 如果这个对象是一个模块（module）那么这个数值是-1
DWORD Const1; //没有用的填充东西
DWORD Null2; //没有用的填充东西
DWORD aObject; //指向OBJECT??????????????????????????????
DWORD RunTimeLoaded; //[can someone verify this?]
DWORD NumberOfProcs; //proc个数
DWORD aProcTable; //指向proc表
WORD iConstantsCount; // 常量个数
WORD iMaxConstants; // 最大的要求分配的常量
DWORD Flag5;
WORD Flag6;
WORD Flag7;
WORD aConstantPool; //指向常量池
// sizeof() =  0x38
'the rest is optional items[OptionalObjectInfo]
}ObjectInfo_t;

typedef struct  // 这个是可选的OBJECT_INFO和PEHEADER里的OPTIONAL_HEADER类似，是否有要看每个Object_t里面的ObjectTyper表里的倒数第二个位（详细看上表）
{
DWORD fDesigner; // 如果这个数值是2则表示是一个designer
DWORD aObjectCLSID; //指向CLSID对象
DWORD Null1; //没有用的填充东西
DWORD aGuidObjectGUI; //?????????????????????????????
DWORD lObjectDefaultIIDCount; //  01 00 00 00 ???????????????????????????
DWORD aObjectEventsIIDTable; //指向对象行为IID表
DWORD lObjectEventsIIDCount; //对象行为IID个数
DWORD aObjectDefaultIIDTable; //指向默认对象IID表
DWORD ControlCount; //控件个数
DWORD aControlArray; //指向控件表
WORD iEventCount; // 行为的个数，比较重要，知道有几个行为
WORD iPCodeCount; // PCode个数
WORD oInitializeEvent; // offset从aMethodLinkTable指向初始化行为
WORD oTerminateEvent； // offset从aMethodLinkTable指向终止行为
DWORD aEventLinkArray; //Pointer to pointers of MethodLink
DWORD aBasicClassObject; // Pointer to an in-memory
DWORD Null3; //没有用的填充东西
DWORD Flag2; //一般都是空的
//sizeof() = 0x40
}OptionalObjectInfo_t;

typedef struct
{
WORD Flag1;//Integer                                     ' 0x00
WORD EventCount;//Integer                               ' 0x02
DWORD Flag2;//Long                                        ' 0x04
DWORD aGUID;//Long                                        ' 0x08
WORD index;//Integer                                     ' 0x0C
WORD Const1;//Integer                                     ' 0x0E
DWORD Null1;//Long                                        ' 0x10
DWORD Null2;//Long                                        ' 0x14
DWORD aEventTable;//Long                                  ' 0x18
BYTE Flag3;//Byte                                        ' 0x1C
BYTE Const2;//Byte                                        ' 0x1D
WORD Const3;//Integer                                     ' 0x1E
DWORD aName;//Long                                        ' 0x20
WORD Index2;//Integer                                     ' 0x24
WORD Const1Copy;//Integer                               ' 0x26
// 0x28  <-- Structure Size
}Control_t;

看到这里我们已经可以通过这个表粗略地勾画出那个工程是怎样的，通过PROJECT_INFO和其他的一些东西，我们已经能够重建VBP文件，而且我们已经知道这个工程到底有多少源文件（FRM,MOD不包括FRX）
接下来，我们来读取EXE文件中保存的数据来重建每个MOD,FRM,CLS,VBP

重建VBP
我们本文不是主要介绍VB工程组文件的内部结构，所以只是一笔带过，VBP文件内部格式和普通的配置文件类似都是(关键词,对应值)对的形式
主要有这么几个字段我们要注意（输出的东西和SEMI一样，关于VERSION会比SEMI详细，将在之后介绍）
Type=Exe（这个就是这个工程是什么我们当然是EXE）
Startup="frmMain"（这个就是工程的启动项目，关于它我们后面要详细介绍）
Description="Visual Basic Decompiler"（这个是描述，(char*)COMRegData+COMRegData->oNTSProjectDescription）
HelpFile=""（帮助文件(char*)VBHEADER+VBHEADER->oHelpFile就是其在文件中的偏移）
Name="VBDecompiler"（工程名字，获得方式和HELPFILE类似，只要看VBHEADER里面就有存储其偏移地址）
Title="VBDecompiler"（工程标题，获得方式和HELPFILE类似，只要看VBHEADER里面就有存储其偏移地址）
ExeName32="SemiVBDecompiler"（工程EXE32的名字，获得方式和HELPFILE类似，只要看VBHEADER里面就有存储其偏移地址）
注意:每找到一个OBJECT对应的文件,我们要将其添加到VBP工程里面,具体的方式是:
如果这个OBJECT是FRM文件,只要在VBP文件里面添加一条Form=窗体文件的名字（文件名）（没有空格要求=以后紧跟）
如果这个OBJECT是MOD文件,只要在VBP文件里面添加一条Module=内部标识名;文件名（之间需要一个分号来格开）
如果这个OBJECT是CLASS文件,只要在VBP文件里面添加一条Class=内部标识名;文件名（之间需要一个分号来格开）
这样的话，在VBP文件中维护各个工程文件的工作就大致完成了。
其他重要的项还有例如OBJECT项（添加使用的控件）以及版本信息相关的（在后面的资源反编译一节会着重介绍）
剩下的就是关于编译时的优化选项了，这些不是很重要，所以就没有加入。
其实VBP文件里包含了很多工程的细节，但是我们主要只要抓住重要的字段。

重建MOD
MOD文件比较简单，由于文件名可能和模块名不同，编译的时候舍弃了实际文件名，而用模块名来作为标识，所以我们生成的MOD文件的名字选用模块名，可能与原始的源文件组不同。
获得一个OBJECT之后，我们看Object_t.ObjectType通过查表我们能够确定它的性质
我们确定这个是MOD文件之后，我们通过Object_t.aObjectName（指向一个字符串）这个就是这个模块的名字，也是这个模块在编译后的文件中的标识。
我们用这个标识名来作为文件名，创建一个文件，然后我们通过Object_t.ProcCount知道这个MOD里存储着多少个FUNCTION和SUB，并且由于MOD是全编译，我们得不到具体的SUB和FUNCTION的名字，这些名字在编译的时候被丢弃的所以我们只能知道到底有多少个SUB和FUNCTION。
所以MOD的重建并不能得到什么东西，只能空创建一个文件然后最多写入：'There is totally 100 methods in this module.But we can't show you them.:)
还要记得一点就是我们要为这个BAS文件写上它的VB_ATTRIB,具体的格式就是Attribute VB_Name = "模块的名字(内部标识名)"
这部分的具体代码重建(一般来说不能完全重建)，我们只能有待更加强大的代码反编译来完成。

重建FRM
FRM和MOD不同的是我们可以得到FRM里面的所有控件的基本静态状态（属性），并且我们可以得到里面存储的SUB 和FUNCTION的名字（不同于MOD）
同样如何知道这个OBJECT是一个FRM文件还是要查表
知道它是一个FRM文件之后我们首先要了解一下FRM文件的结构,
FRM文件是类似配置文件的格式存储的，主要有外部的VB_ATTRIB定义以及FORM成员的定义
VERSION 5.00//文件的编译版本
Begin VB.Form 内部标识名（表示这个FORM的开始）
Begin VB.VB内部控件对象内部标识名

End
End
Attribute VB_Name = "FORM的内部标识名"
多重的嵌套就完成了这个FORM里面控件的从属关系（例如一个PICTUREBOX从属与FORM，而一个TEXT从属于一个FRAME）
之后我们要得到这个FRM文件里面的控件信息和SUB以及FUNCTION的信息，来完成我们的FRM写入
每个OBJECT里有一个TYPE表示这个OBJECT的属性，我们已经知道凡是是一个FRM都是有OptionalObjectInfo
这个结构告诉我们很多元素的索引，获取的方式十分简单，只要先确定有OptionalObjectInfo然后它的地址就是这个Object的(char*)ObjectInfo+sizeof(ObjectInfo)其实就是紧紧跟在ObjectInfo之后的。
结构的描述已经在上面列出了，这个结构中的信息十分复杂，我们要注意这么几个项目
ControlCount 列出控件个数
aControlArray 指向控件表
控件表是一个紧紧挨着的一个指针数组，我们可以逐个读取获得信息
伪代码：
for (i = 0 ; i<=this->ObjectTable->ObjectCount1 -1 ; ++i,++t)
{//循环获得所有的OBJECT的指针
s = this->Get_OptionalObjectInfo(t); //获取一个OBJECT的OptionalObjectInfo
if (s==NULL) // it is a module and haven't any optional object info
continue;
cout<<"One frm found!"<<endl;//打印出：获得一个FRM
ct = this->Get_Control_t(s);//获取第一个Control的指针
for (d = 0 ; d<=s->ControlCount-1 ; d++)//循环获得每一个CONTROL的索引
cout<<"one control:"<<this->Get_Control_Name(ct++)<<endl;//获得了一个Control打印出它的名字
}

inline BYTE * VBEXE::Get_Control_Name(VBST::Control_t *x)
{
return (this->buffer + this->sf.VA2Offset(x->aName));
}
这里其实是我的DECOMPILER的一些片段，仅仅是用作调试的还未成型所以就不敢贴出来丢脸了：）。
每个Control_t的aName是一个VA指向一个字符串就是表示这个控件的名字，至于控件的属性我们以后再说：）
我们看看我的VBDECOMPILER输出的读取那个SEMI的DECOMPILER的东西
Load file sucessfully!
Get contols in object
One frm found!
one control:mnuFile
one control:mnuHelpAbout
one control:txtFinal
one control:mnuFileOpen
one control:mnuTools
one control:Label1
one control:Form
one control:Label2
one control:mnuFileRecent1
one control:mnuFileSep1
one control:mnuFileRecent2
one control:mnuFileRecent3
one control:mnuFileRecent4
one control:mnuFileSep2
one control:lblObjectName
one control:mnuOptions
one control:mnuFileDebugProcess
one control:mnuToolsPCodeProcedure
one control:txtCode
one control:tvProject
one control:StatusBar1
one control:sstViewFile
one control:fxgEXEInfo
one control:picPreview
one control:mnuFileAntiDecompiler
one control:mnuFileExportMemoryMap
one control:mnuFileGenerate
one control:lstMembers
one control:lstTypeInfos
one control:mnuFileSaveExe
one control:txtBuffer
one control:txtFunctions
one control:txtEditArray
one control:lblArrayEdit
one control:buffCodeAv
one control:buffCodeAp
one control:mnuFileExit
one control:txtResult
one control:cmdCancel
one control:txtStatus
one control:mnuHelp
one control:FrameStatus
One frm found!
one control:imgFlame
one control:lblTitle
one control:TmrLight
one control:tmrIcon
one control:Form
One frm found!
one control:chkShowOffsets
one control:chkSkipCOM
one control:chkDumpControls
one control:cmdClose
one control:chkPCODE
one control:chkShowColors
one control:Form
One frm found!
one control:Class
One frm found!
one control:Class
One frm found!
one control:lblTitle
one control:cmdClose
one control:Form
one control:Label1
one control:lstProcedures
one control:txtView

到这里，我们以及能够基本将原来的工程组还原出来了，但是仍然有缺点：
1）我们得不到（应该说实我水平不够）VBP文件里的Reference
2）我们即将讨论关于VERSION信息的东西（要从一个EXE的RESOURCE中看出端倪）
3）我们的CODE仍然还是一大问题
4）我们的STARTUP开始段，（马上会研究出来的）
5）我们还不知道哪个FRM有FRX文件哪个没有而且不能还原,而且FRM里面的控件还是不能获得属性
6）PCODE一点都没有讨论
7）还有一些细节的信息没能弄出来

下一篇会说到VERSION INFO和控件属性的东西

2020安全开发者峰会（2020 SDC）议题征集中国.北京 7月！

打赏

最新回复 (15)
	nbw 24 2006-7-20 11:10 2 楼 0 支持一下! 一般比较关心的是pcode和vb库的导出函数。呵呵
	kenmark 2 2006-7-20 11:13 3 楼 0 PCODE的话，和NATIVE可以说不一样，之后由于要完整整个VBDECOMPILER所以会涉及的，（PCODE比较容易反吧）关于VB的MSVBVM60。DLL输出函数的解析，会很累的一般我都会看看他人的东西（盗取一些）自己弄的比较少，不太多，尽量最后总结了给大家看谢谢NBW的支持，一写好就来支持，谢谢了
	wmjm 2006-7-20 12:57 4 楼 0 学习学习,谢谢。
	zhucheba 2006-7-20 13:08 5 楼 0 很详细，继续
	kenmark 2 2006-7-20 16:25 6 楼 0 有人问了，大概是这些输出是那里来的，我就说说，这是我的DECOMPILER（因为在写文的时候不得不实现一个，虽然说很简单，但是要涉及到PEFILE、VBPROJ文件还有VBEXE的东西，所以弄起来还是挺费时间的）先不给大家的原因是还没有完成而且是因为写的很遭，还不完全，没有标准化，没有注释，什么都没有所以不拿来出丑了，以后等所有连载完了，就会出一份完全版（更加详细，更加全面）同时还会给出相关的图片，程序代码以及实例 Load file sucessfully! Get contols in object One frm found! one control:mnuFile one control:mnuHelpAbout one control:txtFinal one control:mnuFileOpen one control:mnuTools one control:Label1 one control:Form one control:Label2 one control:mnuFileRecent1 one control:mnuFileSep1 one control:mnuFileRecent2 one control:mnuFileRecent3 one control:mnuFileRecent4 one control:mnuFileSep2 one control:lblObjectName one control:mnuOptions one control:mnuFileDebugProcess one control:mnuToolsPCodeProcedure one control:txtCode one control:tvProject one control:StatusBar1 one control:sstViewFile one control:fxgEXEInfo one control:picPreview one control:mnuFileAntiDecompiler one control:mnuFileExportMemoryMap one control:mnuFileGenerate one control:lstMembers one control:lstTypeInfos one control:mnuFileSaveExe one control:txtBuffer one control:txtFunctions one control:txtEditArray one control:lblArrayEdit one control:buffCodeAv one control:buffCodeAp one control:mnuFileExit one control:txtResult one control:cmdCancel one control:txtStatus one control:mnuHelp one control:FrameStatus One frm found! one control:imgFlame one control:lblTitle one control:TmrLight one control:tmrIcon one control:Form One frm found! one control:chkShowOffsets one control:chkSkipCOM one control:chkDumpControls one control:cmdClose one control:chkPCODE one control:chkShowColors one control:Form One frm found! one control:Class One frm found! one control:Class One frm found! one control:lblTitle one control:cmdClose one control:Form one control:Label1 one control:lstProcedures one control:txtView
	bfqyygy 1 2006-7-20 16:31 7 楼 0 感觉这课.蛮深奥的!!
	Isaiah 10 2006-7-20 22:38 8 楼 0 支持楼主~~~！！！
	快雪时晴 4 2006-7-21 00:11 9 楼 0 楼主真强，你是如何分析得这么细致的呢？也用OD等工具一点一点的跟出来的吗？文件格式、各个字节的含义不是很好弄明白的哦 PCODE VB反编译器已经有了，头痛的是动态跟踪时其函数、参数的直观性问题
	WAKU 7 2006-7-21 09:16 10 楼 0 期待楼主最终工具的发布！
	jiangtaott 2006-7-21 15:38 11 楼 0 顶,支持,第一次发帖
	yxcwy 2006-7-22 17:24 12 楼 0 比较多撒....
	dashu 2006-7-22 20:13 13 楼 0 顶，收下了。
	lhgo 2006-8-8 08:19 14 楼 0 PCODE VB反编译器已经有了，头痛的是动态跟踪时其函数、参数的直观性问题
	银河地带 2006-8-8 08:21 15 楼 0 虽然看不懂,但是学习了!
	zyhxhw 2006-8-8 16:41 16 楼 0 谢谢,对于vb 软件,我简直没有一点办法,可能这对我有启发,如果能有点例子就好了!
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复