关于 VBto Converter V2.89 逆向

zyyujq · 发表于 2021-12-9 16:33

本帖最后由 yujunqiang 于 2021-12-9 16:53 编辑

关于 VBto Converter V2.89 逆向（目标为Armadillo 4.54保护）

VBto Converter是来自国外的一款简单实用，功能强大的VB源码转换工具，它是一款实用的编程小控件，可以将Microsoft Visual Basic 6.0 project（包括源代码）转换成MS VC++ MFC, VC++.NET (CLR), VBNET, C#, J#, Borland C++ Builder, Borland Delphi源文件。可以将MS Visual Basic 6.0窗体资源文件转换成MS VC++ 或 VBNET 项目，支持VS 2010, Delphi 2010、支持FileSystemObject、支持VB.Data (VB.NET, C#, C++Builder, Delphi)。

使用ArmaGeddon v2.2导出解壳程序，程序无法运行，需要人工修改：
Loading target:
VBto.exe
Process ID: 2168
EnumWindows: ArmaGeddon v2.2 for WinXP (32-bit final)
Processing target...
==========================================
Debug Blocker detected
child Process ID: 2788
child Thread ID: 22F0
==========================================
CopyMem2 detected
CopyMem2 completed
==========================================
No splices found.
==========================================
Dumping target...
Dump done!
Saved to: vb2.exe
==========================================
Rebuilding Imports...
Rebuilding Imports completed
Return code: 0
Now, you should test your target. Good luck :)
==========================================
IAT RVA: 00632124
IAT Size: 00000FF0
OEP VA: 004016F0
OEP RVA: 000016F0
OEP call return VA: 00FA00AD
Exit Process ID: 2168

使用 dillodie_v1.6解壳，程序成功解壳：
软件下载dillodie V1.6 http://down1.downxia.com/down/ha_dillodie_wzdbzd.rar
CreateProcess...
--> Filename: VBto.exe
--> Process ID: 00001B2C
Debugblocker detected...
Entering Child Process...
--> Process ID: 000019D0
New Thread created. ID: 00001AD8
New Thread created. ID: 000005E4
New Thread created. ID: 00001448
IAT Initialization hooked...
--> 0033CCB6
Rebuilding Import Table...
--> Thunk @ 00A32124 = IMAGEHLP.DLL!ImageNtHeader
--> Thunk @ 00A32128 = IMAGEHLP.DLL!ImageRvaToVa
.......
--> Thunk @ 00A3310C = OLEAUT32.DLL!Ordinal0000000B
--> Thunk @ 00A33110 = OLEAUT32.DLL!Ordinal00000008
Call OEP hooked...
--> 0034008C
--> 003400AB
New Thread created. ID: 00002348
OEP resolved to: 004016F0
CopyMemII detected...
--> Decrypting Codepage @ 00401000
--> Decrypting Codepage @ 00402000
.......
--> Decrypting Codepage @ 007A4000
--> Decrypting Codepage @ 007A5000
Scanning for potential Nanomites...
--> Analyzing Int3 @ 004012AE --> No Nanomites Used...
Aborting Nanomite Scan...
Resolving Nanomites...
Dumping PE Sections...
Done. I did all of this in 10 seconds!

程序完美解壳，可以运行，但程序测试转换VB6代码，保存转换时，弹出Trial Version试用版不能超过800行代码，

捕获.PNG

使用x32dbg调试程序，找到弹出对话框在62D594，使用NOP代替CALL，程序能够转换代码了。

捕获2.PNG

检查转换后的代码，超过800的代码部分被截断，程序没有完美逆向。需要找到正式注册的汇编代码。期待高手指导。

程序官方下载：VBto Converter http://www.vbto.net/SetupVBto.exe
解壳后的程序无法上传。

zyyujq · 发表于 2021-12-24 11:37

新论坛可以上传文件了！！！压缩包含安装文件和逆向文件：

SetupVBto_v2.89.part1.rar (1.8 MB, 下载次数: 4)

SetupVBto_v2.89.part2.rar (1.8 MB, 下载次数: 2)

SetupVBto_v2.89.part3.rar (1.8 MB, 下载次数: 2)

SetupVBto_v2.89.part4.rar (1.8 MB, 下载次数: 2)

SetupVBto_v2.89.part5.rar (1.8 MB, 下载次数: 2)

SetupVBto_v2.89.part6.rar (1.8 MB, 下载次数: 2)

SetupVBto_v2.89.part7.rar (1.3 MB, 下载次数: 2)

playboy · 发表于 2021-12-9 18:41

谢谢分享！！

lies · 发表于 2021-12-10 00:55

希望继续完善，谢谢

zyyujq · 发表于 2021-12-20 10:09

已经完美逆向见

https://www.52hb.com/thread-53553-1-1.html

zyyujq · 发表于 2021-12-20 12:57

我的程序员博客
https://blog.csdn.net/zyyujq/

xiaoxukk · 发表于 2021-12-20 13:03

{:7_236:}{:7_236:}

zyyujq · 发表于 2021-12-20 13:10

我的程序员博客
https://blog.csdn.net/zyyujq/
关于虚拟串口VSPDPRO描述
https://blog.csdn.net/zyyujq/article/details/121387304
虚拟串口VSPDPRO逆向下载
https://download.csdn.net/download/zyyujq/51259581

xrzr · 发表于 2022-1-12 09:12

学习一下，谢谢楼主

hetao8003200 · 发表于 2022-1-12 10:01

谢谢楼主分享

		自动登录	找回密码
密码			立即注册

[原创逆向图文] 关于 VBto Converter V2.89 逆向

评分