Delphi反编译

Question

Closed. This question needs to be more focused. It is not currently accepting answers.

---

想要改进这个问题吗？通过编辑这篇文章来更新问题，使其仅关注一个问题。

11 年前已关闭。

Answer 1

有一些东西可以帮助逆向 delphi 程序：

• 您可以获得完整的表单数据，包括事件处理程序方法的名称
• 所有具有 published 可见性的成员都具有与 RTTI 一起使用的元数据
• 编译器在优化方面非常糟糕。它没有对整个程序进行优化，并且汇编通常是原始源代码的直接翻译，仅进行了较小的优化。 （至少在我使用的版本中，从那时起可能有所改进）
• 所有类，甚至那些关闭 RTTI 编译的类，都具有一定程度的可用元数据。特别是可以获取类的名称和继承结构。对于您在调试器中碰巧看到的类的任何实例，您都可以获得其 VMT 及其类名。

Delphi 使用文本文件描述表单的内容并按名称连接事件处理程序。这种方法显然需要足够的元数据来反序列化 from 的文本表示并按名称连接事件处理程序。

其他一些 GUI 工具包使用的另一种方法是自动生成代码，用于初始化表单并使用代码连接事件处理程序。由于此代码直接使用指向事件处理程序的指针并直接分配给属性/调用设置器，因此不需要任何元数据。这有一个副作用，就是倒车变得有点困难。

创建一个将 dfm 文件转换为一系列创建表单的硬编码指令的程序应该不会太难。所以像 DeDe 这样的工具将不再那么好用了。但这在实践中并没有给你带来太多好处。

但是弄清楚哪个事件处理程序对应于哪个控件/事件仍然相当容易。特别是像 FLIRT 这样的东西可以识别大多数库函数。因此，您只需在您感兴趣的断点处设置断点，然后单步执行用户代码即可。

Answer 2

你的说法是错误的。 Delphi 并不比其他主流编译器生成的代码更容易反编译。

• 对于 .net 语言，有 Reflector。
• 这个 Stack Overflow 问题涵盖了 C++。
• Python/Perl/Ruby 等被解释。

如果您能够证明反编译 Delphi 可执行文件的结果的质量明显高于其他广泛使用的语言，那么您的问题就会更有分量。

Answer 3

来自战壕的故事：反编译一个微小的 Delphi DLL

我自己也经历过 Delphi 反编译会话。这是那些听起来很假的“我丢失了源代码”的事情之一，我确实丢失了微小 Firebird UDF 库的源代码。现在我也没有做得更好，我没有直接进行反编译，因为库太小了，而且我知道重写会快得多。

该 DLL 导出一个如下所示的函数：

function udf_do_some_math(Number1, Number2:Currency): Currency;

在做了正常的事情并重写该函数并进行了一些回归测试之后，我发现了一些模糊的极端情况，其中新函数的结果与旧函数的结果不同！问题是，新函数的结果是正确的结果，旧的 DLL 包含一个 BUG，我必须重现该 BUG - 对于这个函数，一致性比准确性更重要。

再次，做了理智的事情并尝试“猜测”BUG。我知道这是一个四舍五入的问题，但就是不明白它是什么。最后我决定给出我尝试的反编译器。毕竟这是一个小库，入口点很简单，我并不需要重新编译代码，也不需要 100% 反编译：我只需要足够的数据来找出旧的 BUG，这样我就可以重现它！

反编译失败！我尝试了很多不同的反编译器，包括几个“商业”反编译器。大多数都产生了表面上看起来不错的数据，但不足以找出旧的错误。最有前途的一个，具有 VCL 和 RTL 版本特定知识的那个，却遭遇了最严重的失败：当然，它找出了 RTL 调用，给了它们名称，但未能找到导出的函数！我感兴趣的一个函数没有显示在入口点列表中，它应该是直接的，因为它是一个导出函数。

这种反编译尝试应该很容易，因为：

• 代码相当简单，而且数量不多。
• 它是一个带有导出函数的 DLL，没有您所期望的事件驱动 exe 那样的复杂性。
• 我对可重新编译的代码不感兴趣，我只是想找到一个旧的错误，以便我可以重现它。
• 我没有要求 Pascal 代码，汇编程序就足够了。
• 我清楚地知道代码在做什么以及它是如何做的。这不是神秘的第三方代码。

我的解决方案

在反编译器失败后，我转向我自己值得信赖的 Delphi IDE 进行调试。我编写了一个小型 Delphi 程序，直接从 DLL 导入函数，创建了一个假的 Firbird 内存管理器 DLL，以便我的 DLL 可以加载，使用我知道会产生不良结果的参数调用我的旧函数，单步执行使用调试器进入代码并密切监视 FPU 寄存器。经过几次失败的尝试后，我终于注意到从 FPU 堆栈中弹出了一个值作为整数，它不应该是 Integer，所以我遇到了 BUG：我错误地定义了一个 Integer 局部变量，而我应该在其中定义一个 Integer 局部变量使用的货币。有了这些知识，我就能够重现该错误。

Answer 4

Delphi 中唯一更容易的事情是检索 VCL。
使用 DeDe 等反编译器后，您将获得应用程序用户界面，但没有任何逻辑。
因此，如果您只想检索表单和按钮 - Delphi 比其他编译器更容易，但是如果您想知道单击按钮后发生了什么，则需要使用 ollydbg 或其他（调试器/反汇编器）创建可执行文件的语言。

Answer 5

有优点也有缺点。我不确定你指的是哪个角度更容易。单一形式的简单应用程序与具有多种形式以及大量类和函数的非常深入的应用程序之间也存在巨大差异。这就像记事本与 Office 2013（假设它们是用 delphi 编码的，只是比较复杂性而不是语言的示例）。

在小型应用程序中，拥有 Delphi 应用程序“通常”包含的额外信息可以使其变得轻而易举。然而，在大型应用程序中，它可能会“有所帮助”，但您有一百万个调用需要挖掘。它们可能会帮助你到达附近，但是调用中的调用中的调用中的调用，然后用作跳转的多个返回......让你头晕。然后，如果应用程序“被”打包或保护，有些东西仍然可能是乱码。虽然它可能适合编程，但阅读它可能会困难得多。有一天，我遇到了所有字符串都被加密的情况，因此“引用的文本字符串”没有任何帮助，而且加密不是简单的 md5 或 base64，而是某种自定义算法。也许是带盐的 MD5，然后进行 Base64 编码？我始终无法掌握弦乐的确切方法。我知道其中一些应该是什么，但无法重现该方法，即使它看起来像是base64，它是已经以某种方式加密的字符串的base64...我不依赖文本字符串，但是在大型应用程序中，每一点都有帮助。

当然，我对这个问题的解释是查看 OllyDbg 中的 Delphi exe。我可能会偏离你们对这个话题的看法，但我觉得关于奥利和逆转，我说得对（如果这就是你们所说的）哈哈。