VB程序逆向常用的函数-白红宇

VB程序逆向常用的函数

阅读量：4945 次

发布时间：2019-06-11

本文共 32534 字，大约阅读时间需要 108 分钟。

VB程序逆向常用的函数

1) 数据类型转换:

a) __vbaI2Str 将一个字符串转为8 位（1个字节）的数值形式(范围在 0 至 255 之间) 或2 个字节的数值形式(范围在 -32,768 到 32,767 之间)。

b)__vbaI4Str 将一个字符串转为长整型(4个字节)的数值形式(范围从-2,147,483,6482,147,483,647)

c)__vbar4Str 将一个字符串转为单精度单精度浮点型(4个字节)的数值形式

d)__vbar8Str 将一个字符串转为双精度单精度浮点型(8个字节)的数值形式

e) VarCyFromStr (仅VB6库. 要调试，则在WINICE.DAT里必须有 OLEAUT32.DLL)字符串到变比型数据类型

f) VarBstrFromI2 (仅VB6库. 要调试，则在WINICE.DAT里必须有 OLEAUT32.DLL)整型数据到字符串:

2) 数据移动：

a) __vbaStrCopy 将一个字符串拷贝到内存，类似于 Windows API HMEMCPY

b) __vbaVarCopy 将一个变量值串拷贝到内存

c) __vbaVarMove 变量在内存中移动，或将一个变量值串拷贝到内存

3) 数学运算：

a) __vbavaradd 两个变量值相加

b) __vbavarsub 第一个变量减去第二个变量

c) __vbavarmul 两个变量值相乘

d) __vbavaridiv 第一个变量除以第二个变量，得到一个整数商

e) __vbavarxor 两个变量值做异或运算

4) 程序设计杂项：

a) __vbavarfornext 这是VB程序里的循环结构， For... Next... (Loop)

b) __vbafreestr 释放出字符串所占的内存，也就是把内存某个位置的字符串给抹掉

c) __vbafreeobj 释放出VB一个对象(一个窗口，一个对话框)所占的内存，也就是把内存某个位置的一个窗口，一个对话框抹掉

d) __vbastrvarval 从字符串特点位置上获取其值

e) multibytetowidechar 将数据转换为宽字符格式，VB在处理数据之都要这样做，在TRW2000显示为7.8.7.8.7.8.7.8

f) rtcMsgBox 调用一个消息框，类似于WINDOWS里的messagebox/a/exa,此之前一定有个PUSH命令将要在消息框中显示的数据压入椎栈

g) __vbavarcat 将两个变量值相连，如果是两个字符串，就连在一起

h) __vbafreevar 释放出变量所占的内存，也就是把内存某个位置的变量给抹掉

i) __vbaobjset

j) __vbaLenBstr 获得一个字符串的长度，注：VB中一个汉字的长度也为1

k) rtcInputBox 显示一个VB标准的输入窗口，类似window's API getwindowtext/a, GetDlgItemtext/a

l) __vbaNew 调用显示一个对话框，类似 Windows' API Dialogbox

m) __vbaNew2 调用显示一个对话框，类似 Windows' API Dialogboxparam/a

n) rtcTrimBstr 将字串左右两边的空格去掉

5) 比较函数

a) __vbastrcomp 比较两个字符串，类似于 Window's API lstrcmp

b) __vbastrcmp 比较两个字符串，类似于 Window's API lstrcmp

c) __vbavartsteq 比较两个变量值是否相等

d)__vbaFpCmpCy - Compares Floating point to currency. sp; Compares Floating point to currency

6) 在动态跟踪，分析算法时，尤其要注意的函数：

rtcMidCharVar 从字符串中取相应字符，VB中的MID函数，用法MID("字符串","开始的位置","取几个字符")

rtcLeftCharVar 从字符串左边取相应字符，VB中的用法：left("字符串","从左边开始取几个字符")

rtcRightCharVar 从字符串右边取相应字符，VB中的用法：Right("字符串","从右边开始取几个字符")

__vbaStrCat 用字符串的操作，就是将两个字符串合起来，在VB中只有一个&或+

__vbaStrCmp 字符串比较，在VB中只有一个=或<>

ASC()函数取一个字符的ASC值，在反汇编时，还是有的movsx 操作数

7) 在函数中的缩写：

bool 布尔型数据(TRUE 或 FALSE)

str 字符串型数据 STRING

i2 字节型数据或双字节整型数据 BYTE or Integer

ui2 无符号双字节整型数据

i4 长整型数据(4字节) Long

r4 单精度浮点型数据(4字节) Single

r8 双精度浮点型数据(8字节) Double

cy （8 个字节）整型的数值形式 Currency

var 变量 Variant

fp 浮点数据类型 Float Point

cmp 比较 compare

comp 比较 compare

Btw：

__vbavartsteq系列的还有__vbavartstne 不等于

__vbavartstGe,__vbavartstGt,__vbavartstLe,__vbavartstLt等，比较大于或小于

--------------

Variant 变量的内部表示:

_______________________________________________________________

符号常量值内部表示字节数

V_EMPTY 0 Empty

V_NULL 1 Null

V_INTEGER 2 Interger 2

V_LONG 3 Long 4

V_SINGLE 4 Single 4

V_DOUBLE 5 Double 8

V_CURRENCY 6 Currency 8

V_DATE 7 Date 8

V_STRING 8 String

V_OLE 9 OLE Automation Object

V_ERROR 10 Error

V_BOOLEAN 11 Boolean 2

V_VARIANT 12 Variant(仅用于变体数组) 16(22)

V_OBJECT 13 Object(非OLE自动化对象) 4

V_BYTE 17 Byte 1

V_ARRAY 8192 Array

________________________________________________________________

__vbaVarMove ;变体变量赋值(一般用于数值变量)

lea edx,var1 ;变量1的地址放到edx

lea ecx,var2 ;变量2的地址放到ecx

call __vbaVarMove ;把变量1赋值给变量2

;-------------------------------------------------

__vbaVarCopy ;变体变量赋值(一般用于字符串变量)

lea edx,var1 ;变量1的地址放到edx

lea ecx,var2 ;变量2的地址放到ecx

call __vbaVarMove ;把变量1赋值给变量2

;-------------------------------------------------

__vbaVarAdd ;变体变量相加 +

lea eax,var1

push eax ;加数1

lea ecx,var2

push ecx ;加数2

lea edx,var3

push edx ;结果

call __vbaVarAdd ;变量相加，在eax中返回

;-------------------------------------------------

__vbaVarSub ;变体变量相减 -

lea eax,var1

push eax ;被减数

lea ecx,var2

push ecx ;减数

lea edx,var3

push edx ;结果

call __vbaVarSub ;变量相减，在eax中返回

;-------------------------------------------------

__vbaVarMul ;变体变量相乘 *

lea eax,var1

push eax ;被乘数

lea ecx,var2

push ecx ;乘数

lea edx,var3

push edx ;结果

call __vbaVarMul ;变量相乘，在eax中返回

;-------------------------------------------------

__vbaVarDiv ;变体变量相除（浮点除法）/

lea eax,var1

push eax ;被除数

lea ecx,var2

push ecx ;除数

lea edx,var3

push edx ;结果

call __vbaVarDiv ;变量相除，在eax中返回

;------------------------------------------------

__vbaVarIdiv ;变体变量相除（整数除法）\

lea eax,var1

push eax ;被除数

lea ecx,var2

push ecx ;除数

lea edx,var3

push edx ;结果

call __vbaVarIdiv ;变量相除，在eax中返回

;------------------------------------------------

__vbaVarMod ;变体变量取模运算 Mod

lea eax,var1

push eax ;被除数

lea ecx,var2

push ecx ;除数

lea edx,var3

push edx ;结果

call __vbaVarMod ;变量去模，在eax中返回

;------------------------------------------------

__vbaVarNeg ;变体变量前加负号 -

lea eax,var1

push eax ;变量

lea ecx,var2

push ecx ;结果

call __vbaVarNeg ;对变量取补

;------------------------------------------------

__vbaVarPow ;变体变量求幂 ^

lea eax,var1

push eax ;底数

lea ecx,var2

push ecx ;指数

lea edx,var3

push edx ;结果

call __vbaVarPow ;求幂，在eax中返回

;------------------------------------------------

__vbaVarTstGt ;关系运算 >

lea eax,var1

push eax ;变量1

lea eax,var2

push eax ;变量2

call __vbaVarTstGt ;if var1 > var2 then ax = &Hffff

;else ax = 0

;end if

;------------------------------------------------

__vbaVarTstGe ;关系运算 >=

lea eax,var1

push eax ;变量1

lea eax,var2

push eax ;变量2

call __vbaVarTstGe ;if var1 >= var2 then ax = &Hffff

;else ax = 0

;end if

;------------------------------------------------

__vbaVarTstEq ;关系运算 =

lea eax,var1

push eax ;变量1

lea eax,var2

push eax ;变量2

call __vbaVarTstEq ;if var1 = var2 then ax = &Hffff

;else ax = 0

;end if

;------------------------------------------------

__vbaVarTstNe ;关系运算 <>

lea eax,var1

push eax ;变量1

lea eax,var2

push eax ;变量2

call __vbaVarTstNe ;if var1 <> var2 then ax = &Hffff

;else ax = 0

;end if

;------------------------------------------------

__vbaVarTstLt ;关系运算 <

lea eax,var1

push eax ;变量1

lea eax,var2

push eax ;变量2

call __vbaVarTstLt ;if var1 < var2 then ax = &Hffff

;else ax = 0

;end if

;------------------------------------------------

__vbaVarTstLe ;关系运算 <=

lea eax,var1

push eax ;变量1

lea eax,var2

push eax ;变量2

call __vbaVarTstLe ;if var1 <= var2 then ax = &Hffff

;else ax = 0

;end if

;------------------------------------------------

__vbaVarAnd ;逻辑运算 And

lea eax,var1

push eax ;变量1

lea ecx,var2

push ecx ;变量2

lea edx,var3

push edx ;结果

call __vbaVarAnd ;逻辑运算,在eax中返回

;------------------------------------------------

__vbaVarOr ;逻辑运算 Or

lea eax,var1

push eax ;变量1

lea ecx,var2

push ecx ;变量2

lea edx,var3

push edx ;结果

call __vbaVarOr ;逻辑运算,在eax中返回

;------------------------------------------------

__vbaVarXor ;逻辑运算 Xor

lea eax,var1

push eax ;变量1

lea ecx,var2

push ecx ;变量2

lea edx,var3

push edx ;结果

call __vbaVarXor ;逻辑运算,在eax中返回

;------------------------------------------------

__vbaVarEqv ;逻辑运算 Eqv

lea eax,var1

push eax ;变量1

lea ecx,var2

push ecx ;变量2

lea edx,var3

push edx ;结果

call __vbaVarEqv ;逻辑运算,在eax中返回

;------------------------------------------------

__vbaVarImp ;逻辑运算 Imp

lea eax,var1

push eax ;变量1

lea ecx,var2

push ecx ;变量2

lea edx,var3

push edx ;结果

call __vbaVarImp ;逻辑运算,在eax中返回

;------------------------------------------------

__vbaVarNot ;逻辑运算 Not

lea eax,var1

push eax ;变量1

lea ecx,var2

push ecx ;结果

call __vbaVarNot ;逻辑运算,在eax中返回

;------------------------------------------------

;------------------------------------------------下面是函数

lea eax,var1 ;函数 Abs(num)

push eax ;参数1 数值型

lea ecx,var2

push ecx ;结果

call __vbaVarAbs ;在eax中返回结果

;------------------------------------------------

rtcAnsiValueBstr ;函数 Asc(string)

lea eax,var1

push eax ;参数1 字符串型

call rtcAnsiValueBstr ;结果在eax中返回 interger

;------------------------------------------------

MSVBVM60.#585 ;函数 Atn(num)

push ecx ;参数浮点数,用8个字节

push ecx

CALL MSVBVM60.#585 ;结果在浮点栈中返回

;------------------------------------------------

rtcVarBstrFromAnsi ;函数 Chr(interger)

push eax ;参数1 整型

call rtcVarBstrFromAnsi ;结果在eax中返回 string

;------------------------------------------------

rtcCommandVar ;函数 Command() #670

push eax ;参数1 字符串

call rtcCommandVar ;结果在eax中返回 string

;------------------------------------------------

rtcCos ;函数 Cos(num) #583

call rtcCos ;输入参数在当前栈顶,8个字节,注意是浮点型

fstp st ;结果在浮点栈顶

;------------------------------------------------

rtcCurrentDir ;函数 curdir(string) #647

lea eax,var1 ;参数1 字符串

push eax

lea edx,var2 ;结果

push edx

call rtcCurrentDir ;结果在eax中返回

;-------------------------------------------------

rtcGetDateVar ;函数 Date #610

lea edx,var1 ;结果

push edx

call rtcGetDateVar ;结果在eax中返回,日期型(Date)

;-------------------------------------------------

rtcDateAdd ;函数 DateAdd(string,double,date) #661

push date ;8字节日期date

push double ;8字节浮点数double

push string ;1字节字符的ASCII码,这里是地址

push var1 ;结果,日期型(date)

call rtcDateAdd ;结果在eax中返回,日期型(Date)

;--------------------------------------------------

rtcDateDiff ;函数 DateDiff(string,date1,date2,...,...) #662

push 1 ;默认值

lea eax,var1 ;日期2

push eax

lea ecx,var2 ;日期1

push ecx

lea edx,var3 ;字符串

push edx

lea eax,var4 ;结果

push eax

call rtcDateDiff ;结果在eax中返回,长整型(long)

;---------------------------------------------------

rtcDatePart ;函数 DatePart(string,date,...,...) #663

push 1 ;默认值

lea eax,var1 ;日期

push eax

lea ecx,var2 ;字符串

push ecx

lea edx,var3 ;结果

push edx

call rtcDatePart ;结果在eax中返回

;----------------------------------------------------

rtcPackDate ;函数 DateSerial(integer,integer,integer) #538

lea eax,var1 ;日

push eax

lea ecx,var2 ;月

push ecx

lea edx,var3 ;年

push edx

lea eax,var4 ;结果

push eax

call rtcPackDate ;结果在eax中返回,日期型(Date)

;-----------------------------------------------------

rtcGetDateValue ;函数 DateValue(string)

lea eax,var1 ;字符串

push eax

lea edx,var2 ;结果

push edx

call rtcGetDateValue ;结果在eax中返回,日期型(Date)

;-----------------------------------------------------

rtcGetDayOfMonth ;函数 Day(date) #542

lea eax,var1 ;日期

push eax

lea ecx,var2 ;结果

push ecx

call rtcGetDayOfMonth ;结果在eax中返回,整型

;-----------------------------------------------------

rtcDir ;函数 Dir #645

lea eax, var1 ;属性

push eax

lea ecx,var2 ;路径

push ecx

call rtcDir ;结果在eax中返回,字符串型(string)

;-----------------------------------------------------

rtcExp ;函数 exp #586

LEA EDX,DWORD PTR SS:[EBP-24] ;参数

PUSH EDX

CALL DWORD PTR DS:[<&MSVBVM60.__vbaR8Var>] ;转换成浮点数,结果在浮点寄存器里

SUB ESP,8

FSTP QWORD PTR SS:[ESP] ;压入堆栈

CALL DWORD PTR DS:[<&MSVBVM60.#586>] ;rtcExp

FSTP QWORD PTR SS:[EBP-2C] ;结果存入堆栈

;-----------------------------------------------------

rtcFileDateTime ;函数 FileDateTime #577

LEA EDX,DWORD PTR SS:[EBP-34]

PUSH 工程1.004016B0 ;文件名

PUSH EDX ;结果

CALL DWORD PTR DS:[<&MSVBVM60.#577>] ;rtcFileDateTime

;调用后结果同时在eax中

;------------------------------------------------------

rtcFileLen ;函数 FileLen #578

PUSH 工程1.004016B0 ;文件名

CALL DWORD PTR DS:[<&MSVBVM60.#578>] ;rtcFileLen

;结果在eax中

;------------------------------------------------------

__vbaVarFix ;函数Fix(参数1)

LEA EDX,DWORD PTR SS:[EBP-24]

LEA EAX,DWORD PTR SS:[EBP-54]

PUSH EDX ;参数1

PUSH EAX ;返回的结果

CALL DWORD PTR DS:[<&MSVBVM60.__vbaVarFix>]

MOV EDX,EAX

;------------------------------------------------------

rtcHexVarFromVar ;函数 Hex(num)

lea eax,var1

push eax ;参数1 数值型

lea ecx,var2

push ecx ;存放结果的参数

call rtcHexVarFromVar ;在eax中返回string

;------------------------------------------------------

rtcGetHourOfDay ;函数 Hour #543

LEA EAX,DWORD PTR SS:[EBP-34] ;时间日期型参数

LEA ECX,DWORD PTR SS:[EBP-44] ;存放结果的参数

PUSH EAX

PUSH ECX

CALL DWORD PTR DS:[<&MSVBVM60.#543>] ;Hour

;结果同时在eax中返回

;------------------------------------------------------

rtcImmediateIf iif(参数1,参数2,参数3)

LEA EDX,DWORD PTR SS:[EBP-54] ;参数3

LEA EAX,DWORD PTR SS:[EBP-44] ;参数2

PUSH EDX

LEA ECX,DWORD PTR SS:[EBP-34] ;参数1,即表达式

PUSH EAX

LEA EDX,DWORD PTR SS:[EBP-64] ;存放结果的参数

PUSH ECX

PUSH EDX

MOV DWORD PTR SS:[EBP-2C],-1

MOV DWORD PTR SS:[EBP-34],0B

CALL DWORD PTR DS:[<&MSVBVM60.#681>] ;iif

;结果同时在eax中返回

;------------------------------------------------------

__vbaInStrVar ;函数 InStr(起始位置,源字符串,目标字符串,比较方式)

LEA EDX,DWORD PTR SS:[EBP-24]

PUSH 1 ;起始位置,从1开始

LEA EAX,DWORD PTR SS:[EBP-34]

PUSH EDX ;被搜索的字符串

PUSH EAX ;要搜的字符串

LEA ECX,DWORD PTR SS:[EBP-54]

PUSH 1 ;比较方式

PUSH ECX ;返回的结果

CALL DWORD PTR DS:[<&MSVBVM60.__vbaInStrVar>]

MOV EDX,EAX ;结果同时在eax中返回

;------------------------------------------------------

rtcInStrRev ;函数 InStrRev(源字符串,目标字符串,起始位置,比较方式) #709

XOR ESI,ESI

PUSH ESI ;比较方式

PUSH -1 ;起始位置

LEA EAX,DWORD PTR SS:[EBP-4C]

LEA ECX,DWORD PTR SS:[EBP-24]

PUSH EAX ;目标字符串

LEA EDX,DWORD PTR SS:[EBP-48]

PUSH ECX ;源字符串

PUSH EDX ;返回的结果

CALL DWORD PTR DS:[<&MSVBVM60.#709>] ;rtcInStrRev

;结果同时在eax中返回

;------------------------------------------------------

__vbaVarInt ;函数 Int(参数1)

LEA ECX,DWORD PTR SS:[EBP-24]

LEA EDX,DWORD PTR SS:[EBP-54]

PUSH ECX ;参数1

PUSH EDX ;返回的结果

CALL DWORD PTR DS:[<&MSVBVM60.__vbaVarInt>]

MOV EDX,EAX ;结果同时在eax中返回

;------------------------------------------------------

rtcIsArray ;函数 IsArray #556