Конференция VBStreets

**tyomitch** » 26.06.2005 (Вс) 17:58

Вот результат моей первой попытки сабжа: http://users.isnet.ru/tyomitch/msvbvm60.rar (2,5Мб)
Результат достигнут с помощью специально написанной проги, которая вставляет выдернутые из msvbvm60.dbg символы в дизассемблированный msvbvm60.dll
Оба использованных файла свободно распространяются Microsoft-ом, т.ч. никакого вареза в моих действиях нет. Познавайте нутро msvbvm на здоровье.

В следующих версиях, если не заброшу это дело, добавятся данные об FPO-функциях.

Жду комментариев: нужно ли всё это ещё кому-то, кроме меня. Особенно жду их от ANDLL ;-)

ЗЫ: есть какая-нибудь апи для раздекорации VC-имён? Больше половины всех имён в msvbvm декорированы...

**d3drm** » 26.06.2005 (Вс) 19:15

а для чего это вообще может пригодиться?

**tyomitch** » 26.06.2005 (Вс) 20:30

Для удовлетворения любопытства об устройстве VB.

**Tin** » 27.06.2005 (Пн) 8:21

Черезчур сложно... Но идея интерестна

**tyomitch** » 27.06.2005 (Пн) 16:36

Что именно - "чересчур сложно"? :-?

**Tin** » 28.06.2005 (Вт) 6:06

Понять "это", когда не занешь...

**GSerg** » 28.06.2005 (Вт) 11:54

tyomitch писал(а):ЗЫ: есть какая-нибудь апи для раздекорации VC-имён? Больше половины всех имён в msvbvm декорированы...

Код: Выделить всё: Private Declare Function UnDecorateSymbolName Lib "dbghelp.dll" (ByVal DecoratedName As String, ByVal UnDecoratedName As String, ByVal UndecoratedLength As Long, ByVal Flags As Long) As Long

**ANDLL** » 30.06.2005 (Чт) 11:31

Прикольно. Но вот что-то мне кажеться, что куда то мы с дизассемблированием msvbvm60 свернули с верного пути

Можешь объяснить, что значит запись

Код: Выделить всё: mov eax, cs:[005]

Ты же ведь сказал, что сегментов нету... И как в CS что-то записать(mov cs,10 не работает)

**tyomitch** » 01.07.2005 (Пт) 0:10

ANDLL писал(а):Прикольно. Но вот что-то мне кажеться, что куда то мы с дизассемблированием msvbvm60 свернули с верного пути

Можешь объяснить, что значит запись
Код: Выделить всё
mov eax, cs:[005]

Это мусор. Поскольку код и данные лежат в одной секции и перемежаются, то дизассемблер не может их различить.
Всё, что тебе покажется мусором - с вероятностью 99% мусор и есть. Там даже недопустимые инструкции порой встречаются, дизассеблированные как "???"

Сейчас доделается версия с раздекорированными символами - вот это будет вообще красота... Stay tuned :-)

Вообще, самое сложное с этим проектом - то, что один прогон анализатора занимает часа полтора-два.
Чувствую себя первобытным программером: запустил прогу, пошёл гулять, вернулся, обнаружил багу, выбросил результаты, запустил по-новой :-)

**Tin** » 01.07.2005 (Пт) 6:28

**ANDLL** » 01.07.2005 (Пт) 8:00

Темыч, я спросил не касательно твоего примера а вообще. К примеру, вызов CloseHandle(0) делает это:

Код: Выделить всё: mov esi,esp push 0 call dword ptr ds:[0042B17Ch] cmp esi,esp call 004113A7

Вот я и спрашиваю, что это делает?

**GSerg** » 01.07.2005 (Пт) 10:05

Ээээ... насколько я понимаю, это вызов CloseHandle с контролем целостности стека

**ANDLL** » 01.07.2005 (Пт) 11:13

Повторюсь еще раз. Сегментов нет? Нет!(могу привести пару цитат за авторством Темыча). Тогда что значит dword ptr ds:[0042B17Ch]?

**GSerg** » 01.07.2005 (Пт) 11:47

Это так дизассемблер решил.
Он мог вместо этого с тем же успехом написать call dword ptr [0x0042B17C]

**tyomitch** » 01.07.2005 (Пт) 13:49

GSerg писал(а):Это так дизассемблер решил.
Он мог вместо этого с тем же успехом написать call dword ptr [0x0042B17C]

Видимо, да. 2ANDLL:
1) какой у тебя дизассемблер?
2) какой там машинный код?

2All: архив обновлён, теперь там все символы раздекорированы. Читать стало легче и приятнее.
Загадка: что делает int __stdcall EatPicture(unsigned short * *,unsigned short,int) :?:

**ANDLL** » 01.07.2005 (Пт) 15:50

Отладчик у меня - MS Visual Studio .NET.
А вот, собственно, коды(просто, для примера, указываю различные регистры):

Код: Выделить всё: 004135CE 3E FF 15 07 00 00 00 call dword ptr ds:[00000007h] 004135D5 2E FF 15 07 00 00 00 call dword ptr cs:[00000007h] 004135DC 36 FF 15 07 00 00 00 call dword ptr ss:[00000007h]

BV » 01.07.2005 (Пт) 18:10

Друзья, а чтобы вас понять простому смертному - это надо Intel'овские команды почитать?...

**tyomitch** » 01.07.2005 (Пт) 18:33

ANDLL писал(а):Отладчик у меня - MS Visual Studio .NET.
А вот, собственно, коды(просто, для примера, указываю различные регистры):
Код: Выделить всё
004135CE 3E FF 15 07 00 00 00 call dword ptr ds:[00000007h] 004135D5 2E FF 15 07 00 00 00 call dword ptr cs:[00000007h] 004135DC 36 FF 15 07 00 00 00 call dword ptr ss:[00000007h]

Конкретно эти коды - откуда??

Или стой, что мне пытаешься продемонстрировать? Что в процессоре i386 есть сегментные регистры?
Выходи лучше в аську уже, а то опять топик превратится в оффлайн-чат.

**tyomitch** » 02.07.2005 (Сб) 23:58

Всё; FPO-информация вставлена в дамп, и работы по символьному дизассемблированию можно считать оконченными.
Всем спасибо за внимание.

**ANDLL** » 03.07.2005 (Вс) 15:58

BV писал(а):Друзья, а чтобы вас понять простому смертному - это надо Intel'овские команды почитать?...

Мы больше не будем...

Конференция VBStreets

Символьное дизассемблирование msvbvm

Символьное дизассемблирование msvbvm

Re: Символьное дизассемблирование msvbvm

Кто сейчас на конференции