Reverse Engineering/Tools2012. 1. 9. 11:37
그냥 지나치기는 아까운 툴이라 한번 포스팅 해 봅니다... 비주얼 베이직으로 컴파일된 프로그램을 완벽에 가깝게 디컴파일링 해줍니다... P-Code로 된 것도 자세히 나옵니다... :) 거기다 map 파일로 만들어주면 올리에서 읽어드려서 연동하면 분석하는데 훨씬 시간을 절약하고 도움이 됩니다... 그럼 한번 살펴보겠습니다..

우선 위에 있는 VB Decompiler 5.0을 설치 합니다..

사용자 삽입 이미지

별 다른거 없이 Next 누르고 Install 버튼 눌러서 설치 합니다..

사용자 삽입 이미지

두둥!! 키를 입력시켜 봅니다.. 잘못된 패스워드라는 에러 메시지를 뿜어 댑니다.. 언어 차이로 인해서 입력이 안되는 거라는걸 중국 사이트에서 번역기 돌려 가면서 알게 되었습니다 ㅜ_ㅜ 그럼 방법이 없느냐 다행히 있습니다... Microsoft AppLocale를 설치하면 됩니다..

Microsoft AppLocale를 설치하고 VB_Decompiler.rar를 풀면 나오는 파일을  VB Decompiler Pro 폴더에 넣습니다... 이제 VB_Decompiler.cmd를 실행하면 아래처럼 나옵니다..

사용자 삽입 이미지

위의 그림에서 확인을 누르면 프로그램이 실행됩니다... 한가지 문제점은 디컴파일링해서 나오는 문자들은 영어면 문제가 없지만 한글이라면 깨져서 나옵니다... ㅜ_ㅜ

사용자 삽입 이미지

P-Code로 된 프로그램을 디컴파일링 해보았습니다.. 위의 그림처럼 자세히 나옵니다.. 분석할려면 P-Code 문법에 대해 이해해야 합니다..

사용자 삽입 이미지

현재 위의 프로그램은 P-Code로 되있어서 MAP 파일이 생성이 안되지만 Native-Code라면 MAP 파일이 생성됩니다...

사용자 삽입 이미지

생성된 MAP 파일을 올리 플러그인을 통해 불러올 수 있습니다... GODUP에서 불러왔을때는 저같은 경우에 올리가 다운됐었는데 MapConv에서는 같은 문제가 없더군요.. VB Decompiler로만 분석해도 되지만 올리를 사용해야 한다면 이렇게 사용하시면 됩니다...

현재 VB Decompiler는 7.2 버전까지 나왔습니다... 하지만 과자가 없는 관계로... 5.0으로도 충분히 될껀 다 됩니다... 7.2 버전 써 보실분은 아래 사이트 가셔서 Free 버전 받아서 써 보세요.. 그런데 제약 사항이 많습니다...

Features of VB Decompiler Lite Pro
Universal unpacking for packed applications (supported UPX, NSPack and more other popular EXE packers)
+
+
Decompiling forms (frm and frx) and usercontrols (ctl) object files
+
+
Fully p-code decompiling (with parsing opcodes to standart vb instructions, with decompile GUID objects)
-
+
2 p-code decompiling modes (with stack parsing or without stack parsing)
-
+
Disassembling native code procedures (with power Pentium Pro disassembler, supporting MMX and FPU instruction sets)
+
+
Disassembling native code procedures with String References and API Calls (with power Pentium Pro disassembler, supporting MMX and FPU instruction sets)
+
+
Partially decompiling native code (using code emulation engine)
-
+
Syntax coloring in decompiled code
+
+
String reference list and search engine
+
+
Fast decompiling speed
-
+
Obfuscator for VB5/6 programs
-
+
Patcher for VB5/6 programs
-
+
Save decompiled data to single DB file
+
+
Price Free $99
-- 09.09.12 
어제 날짜로 7.6 버전이 나왔습니다... 더이상 Microsoft AppLocale은 필요 없습니다..
SND 그룹에서 크랙을 했네요... NFO 보다가 놀랬습니다...

Winlicense 2.x.x.0 (CISC Virtual Machine, Packer, SDK Api's, CRC checks) 
& Vmprotect 1.7x 1.8x (Virtual Machine & Virtual Machine CRC checks)

위에 적힌 두개의 프로텍션으로 보호됐더군요... VB로 된 프로그램만 찾으면 되겠습니다 :)

-- 2012.01.09
계속 개발되고 있네요... 프로텍션이 Enigma 로 바꼈네요.. 이전에는 다른거였던거 같은데 말이죠..
업그레이드 정보는 아래의 주소로 가셔서 확인하시기 바랍니다..
http://www.vb-decompiler.org/news.htm 


'Reverse Engineering > Tools' 카테고리의 다른 글

강력한 암호 크랙툴 Extreme GPU Bruteforcer v1.6  (9) 2010.01.06
P32Dasm v2.6  (0) 2010.01.01
Protection ID v6.3.5  (0) 2009.12.31
IDA 5.5.0.952 demo cracked  (0) 2009.12.11
Kernel Detective v1.3.1  (2) 2009.12.07
Posted by Mocker