软件逆向——常见编译器和程序的特征

BC6

入口点特征

程序入口处会有：66 62 3A 43 2B 2B 48 4F 4F 4B 90 E9

且第一个调用的call是GetModuleHandleA

连接器的版本

区段的名称

BC的区段表：具有idata和edata段

---

Borland Delphi

可以通过DarkDe4反汇编程序处理Delphi程序。

入口点特征

程序入口处会有：55 8B EC 83 C4 F0 B8 ?? ?? ?? ?? E8
问号为会被重定位的数据。

连接器的版本

版本：2.25

区段的名称

---

VC6.0&易语言程序特征

入口点特征

总结：vc6.0和易语言的第一个CALL都是GetVersion ，在OEP中VC6.0的RELEASE版本和易语言版本都是使用SUB esp,0x58来抬高栈帧,VC6.0的RELEASE版本则是使用ADD ESP,-0x5c来太高栈帧。
vc6.0 DEBUG版本：

vc6.0 release版本：

易语言程序:

连接器的版本

6.0

区段的名称

DEBUG版本会多几个。

---

（重点）VS程序特点

链接器版本

VC 6.0 = 6.0
VC2003 = 7.0, 7.1
VS2005 = 8.0
VS2008 = 9.0
VS2010 = 10.0
VS2012 = 11.0
VS2013 = 12.0
VS2015 = 14.0
VS2017 = 14.1
VS2019 = 14.2

程序入口点

第一个需要进去的CALL的对应关系。

第二个需要进去的CALL的对应关系

在其中的第一个CALL为 __security_init_cookie()，表示初始化一个cookie来检测是否存在栈溢出。
从第二个CALL__scrt_common_main_seh()中进去。

第三个需要进去的CALL的对应关系

---