用VB调用开源反汇编库diStorm

acme_pjz

如题，不知道发对版块了没有……diStorm是开源GPL授权的反汇编库，官方网站http://code.google.com/p/distorm/，我看它是纯C写的，就搞了一下，用VB6也能调用了……附件是DLL+VB源代码（说明：用VB调用的那段代码写得并不规范，规范写法去查官方网站的文档）……

演示一下反汇编msvbvm60里面的函数：

7345BCED    6A61    push    0x61
7345BCEF    E892230000  call    0x7345e086
7345BCF4    8B442404    mov eax, [esp+0x4]
7345BCF8    85C0    test    eax, eax
7345BCFA    7C05    jl  0x7345bd01
7345BCFC    33C0    xor eax, eax
7345BCFE    C20400  ret 0x4
7345BD01    8BC8    mov ecx, eax
7345BD03    81E10000FF1F    and ecx, 0x1fff0000
7345BD09    81F900000A00    cmp ecx, 0xa0000
7345BD0F    7507    jnz 0x7345bd18
7345BD11    25FFFF0000  and eax, 0xffff
7345BD16    EBE6    jmp 0x7345bcfe
7345BD18    81F900000100    cmp ecx, 0x10000
7345BD1E    741B    jz  0x7345bd3b
7345BD20    3D01400080  cmp eax, 0x80004001
7345BD25    7422    jz  0x7345bd49
7345BD27    3D02000380  cmp eax, 0x80030002
7345BD2C    7414    jz  0x7345bd42
7345BD2E    50  push    eax
7345BD2F    E8ED96F3FF  call    0x73395421
7345BD34    3DEA020000  cmp eax, 0x2ea
7345BD39    76C3    jbe 0x7345bcfe
7345BD3B    B8B8010000  mov eax, 0x1b8
7345BD40    EBBC    jmp 0x7345bcfe
7345BD42    B8B0010000  mov eax, 0x1b0
7345BD47    EBB5    jmp 0x7345bcfe
7345BD49    B8BD010000  mov eax, 0x1bd
7345BD4E    EBAE    jmp 0x7345bcfe
7345BD50    FF3594EF4973    push    dword [0x7349ef94]
7345BD56    FF1578123973    call    dword [0x73391278]
7345BD5C    8B480C  mov ecx, [eax+0xc]
7345BD5F    33C0    xor eax, eax
7345BD61    66817C2404FFFF  cmp word [esp+0x4], 0xffff
7345BD68    740B    jz  0x7345bd75
7345BD6A    0FB7442404  movzx   eax, [esp+0x4]
7345BD6F    8B4908  mov ecx, [ecx+0x8]
7345BD72    8B0481  mov eax, [ecx+eax*4]
7345BD75    C20400  ret 0x4
7345BD78    56  push    esi
7345BD79    8B742408    mov esi, [esp+0x8]
7345BD7D    FF36    push    dword [esi]
7345BD7F    FF15F4193973    call    dword [0x733919f4]
7345BD85    832600  and dword [esi], 0x0
7345BD88    8BD6    mov edx, esi
7345BD8A    8B4C240C    mov ecx, [esp+0xc]
7345BD8E    E87FE70000  call    0x7346a512
7345BD93    85C0    test    eax, eax
7345BD95    7D08    jge 0x7345bd9f
7345BD97    6A00    push    0x0
7345BD99    50  push    eax
7345BD9A    E87ED40000  call    0x7346921d
7345BD9F    8B06    mov eax, [esi]
7345BDA1    5E  pop esi
7345BDA2    C20800  ret 0x8
7345BDA5    FF74240C    push    dword [esp+0xc]
7345BDA9    FF742408    push    dword [esp+0x8]
7345BDAD    FF742414    push    dword [esp+0x14]
7345BDB1    FF742414    push    dword [esp+0x14]
7345BDB5    6A00    push    0x0
7345BDB7    6A00    push    0x0
7345BDB9    FF15A4113973    call    dword [0x733911a4]
7345BDBF    C20C00  ret 0xc
7345BDC2    33C0    xor eax, eax

boyqiang520

O(∩_∩)O哈哈~，沙发是我的啦
boyqiang520 于 2011-9-17 00:19 使用 抢沙发 抢夺本帖沙发

JuncoJet

反汇编库，我记得C里是一个几KB的头文件

coyove

以前搞inline hook也用过一个反汇编模块,还支持交叉引用,不过现在找不到了

VBProFan

有了这个就可以用 VB 搞 OD 了吗？

菜鸟学飞

呃 貌似这个引擎不能把汇编编译成机器码? 如果可以的话说不定就可以搞的VB OD了......

h907308901

那个Python脚本是干什么用的？

flash

acme_pjz 邀请你参与话题 用VB调用开源反汇编库diStorm

od好像也有个反汇编引擎吧,新版2.0的od开始支持插件了.

flash

od不开源,他的反汇编开源啊,调用方法和源码下载
http://www.ollydbg.de/srcdescr.htm