第二节 delphi反向工程
目前 ,borland没有提供任何产品用于反编译可执行(.exe)文件或“delphi 编译文件”(.dcu)为原始的程序代码(.pas)。
delphi编译单元:dcu(delphi compiled unit: dcu)
当一个delphi工程被编译或运行时,一个编译单元(.dcu)文件便产生了。默认情况下,每个单元的编译版本都存放在独立的二进制文件中,该文件的文件名与单元文件同名,同时它的扩展名为.dcu。例如:unit1.dcu文件包含有在unit1.pas文件中声明的代码和数据。
这意味着如果你有某些资源,如编译过的组件,你所必须做的是反编译它并获得源代码。错了,dcu文件格式是非文档的(所有者格式)并且它可以随版本的改变而改变。
编译器之后:delphi反向工程(after the compiler: delphi reverse engineering)
如果你试图反编译一个delphi可执行文件,有几件事你应该知道:
delphi源程序文件通常以两种文件类型存储:ascii代码文件(.pas、.dpr)和资源文件(.res、.rc、.dfm、.dcr)。dfm文件包含表单中所容纳的对象的详细资料(属性)。当创建一个可执行文件时,delphi拷贝.dfm文件中的信息到已完成的.exe代码文件。表单文件描述了表单中的每个组件,包括所有稳定的属性值。每当我们改变表单的位置、按钮的标题或为组件指派一个事件过程时,delphi就会在dfm文件中记下这些改变(不是事件过程的代码—它是存放在pas/dcu文件中)。为了从可执行文件中得到'dfm',我们需要理解什么类型的资源被存放在win32可执行文件中。
所有被delphi编译过的程序都有以下几个部分:code、data、bss、.idata、tls、.rdata、.rsrc。从反编译的角度来看,最重要的部分是:code、.rsrc。在“adding functionality to a delphi program"(“在delphi程序中增加功能”)(译者加:陆续译出)文章中讨论了关于delphi可执行格式、类信息和dfm资源的一些有趣的内容:怎样分配事件给同一个表单中定义的其他事件句柄(handler)处理、怎样增加你自己的事件句柄(handler)从而在可执行文件中增加代码改变按钮的标题。
存放在.exe文件中的各种类型的资源里,rt_rcdata或application-defined(程序定义)资源(原始数据)拥有编译前dfm文件所包含的信息。为了从.exe文件中选出dfm数据,我们可以调用enumresourcenames api函数...关于从.exe文件中选出dfm数据的更多的信息,可以参考:“coding a delphi dfm explorer”(“编写一个delphi dfm探测器”)。(译者加:陆续译出)
