可对C#,C++生成的动态库进行反编译操作,加密后的不能查看。可导出源代码。
2022-01-15 13:32:44 1.51MB 动态库反编译 dll反编译
1
首先需要知道该函数有几个参数,然后再细化参数类型。详细分析过程如下: 可以通过反汇编来知道接口函数的参数,建议使用W32DSM来分析,也可以直接使用VC来分析,就是麻烦一点。现在使用W32DSM来具体说明:1。先打开需要分析的DLL,然后通过菜单功能-》出口来找到需要分析的函数,双击就可以了。它可以直接定位到该函数。2。看准该函数的入口,一般函数是以以下代码作为入口点的。push ebpmov ebp, esp...3。然后往下找到该函数的出口,一般函数出口有以下语句。...ret xxxx;//其中xxxx就是函数差数的所有的字节数,为4的倍数,xxxx除以4得到的结果就是参数的个数。其中参数存放的地方:ebp+08 //第一个参数ebp+0C //第二个参数ebp+10 //第三个参数ebp+14 //第四个参数ebp+18 //第五个参数ebp+1C //第六个参数。。。。-------------------------------------------还有一种经常看到的调用方式:sub esp,xxxx //开头部分//函数的内容。。。//函数的内容add esp,xxxxret //结尾部分其中xxxx/4的结果也是参数的个数。 -------------------------------------------------还有一种调用方式:有于该函数比较简单,没有参数的压栈过程,里面的esp+04就是第一个参数esp+08就是第二个参数。。。esp+xx就是第xx/4个参数你说看到的xx的最大数除以4后的结果,就是该函数所传递的参数的个数。----------------------------------------------到现在位置,你应该能很清楚的看到了传递的参数的个数。至于传递的是些什么内容,还需要进一步的分析。最方便的办法就是先找到是什么软件在调用此函数,然后通过调试的技术,找到该函数被调用的地方。一般都是PUSH指令来实现参数的传递的。这时可以看一下具体是什么东西被压入堆栈了,一般来说,如果参数是整数,一看就可以知道了,如果是字符串的话也是比较简单的,只要到那个地址上面去看一下就可以了。如果传递的结构的话,没有很方便的办法解决,就是读懂该汇编就可以了。
2011-09-22 00:00:00 441KB 动态库
1