调试版本如何使逆向工程变得容易？

Question

这里的一些答案指出调试信息将使对软件进行逆向工程变得更容易。当我使用 Visual C++ 并分发带有调试信息但没有其他文件 (.pdb) 的可执行文件时，它会包含任何有趣的内容吗？

我用十六进制编辑器查看了可执行文件，没有发现任何类似符号名称的东西，现在我假设 .exe 文件只是链接到 .pdb 文件中的信息，对吗？

你知道它是否包含

• 变量名吗？
• 函数/成员名称？
• 行号？
• 有什么有趣的吗？

Answer 1

调试构建往往会生成可以轻松与高级语言结构关联的输出。只需查看机器代码，您就可以识别变量、测试、循环等。您不会获得变量的名称，但这通常是逆向工程时最不重要的考虑因素之一。

优化代码，OTOH，重新排列指令，展开循环，重用多个变量的槽，在函数之间共享代码块，内联小函数等等，使得辨别原始意图变得更加困难。即使您拥有代码，它也使调试变得更加困难，因为当前行标记通常非常具有误导性，并且变量往往会消失或显示随机垃圾。

不过，这一切并不意味着逆向工程成为不可能。只是需要做更多的工作来弄清楚其含义。

Answer 2

使用调试信息构建不是“调试构建”。

“调试构建”是定义 _DEBUG 符号时的构建。如果是这样，就有很多可用于逆向工程的字符串（断言等）。

因此，您可以使用.pbd中的调试信息进行Release构建，并且反编译程序将与没有调试信息一样困难。

Answer 3

可执行文件不应包含变量名或行号。它可能包含导出的任何此类名称的函数/成员名称（更可能是 lib/dll 而不是 exe）。

代码的结构将“更接近”类似于原始源代码 - 代码不太可能被内联、语句重新排序、循环展开等。

Answer 4

优化使代码更难理解（并且在使用符号和源代码调试自己的代码时也更难将源代码和程序集关联起来）。

调试版本不包含行号、函数名称，也不包含行号，这些属于 PDB。但是，每次使用 assert()该代码将包含一个包含文件名和行号的字符串。

Answer 5

很久以前，调试信息被附加到可执行文件中（以所谓的 CodeView 格式）。如今，它大多单独出现在 PDB 文件中。 exe 本身确实只包含 PDB 的链接。

PDB 通常有两种类型：私有和公共（也称为剥离）。公共（例如，由微软提供的）通常只有函数和全局变量的名称。私有的（例如，当您使用调试信息构建应用程序时生成的）还可以包括类型信息（结构、枚举、类、变量类型）函数原型、局部变量名称和类型以及行号信息。

如果要检查 PDB，请检查 Visual Studio 安装中“DIA SDK”文件夹中的 DIA2Dump。