工程代码查看编译器

⑴ 用什么软件来查看一个用Microsoft Visual C++ 6.0 编写的程序的源代码

标 题: MFC逆向初级研究（1）
作 者: 北斗之摇光
时 间: 2007-03-15 17:14
链 接: http://bbs.pediy.com/showthread.php?t=41087
详细信息:

【文章标题】: MFC逆向初级研究(1)
【文章作者】: 北斗之摇光
【作者邮箱】: [email protected]
【下载地址】: 自己搜索下载
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
引言
本文主要针对微软的VC++6.0中使用MFC产生的EXE文件的逆向研究，我曾经使用微软的Visual Studio 2005编译了一
个EXE文件，通过IDA反汇编以后发现该文件与VC++6.0产生的文件还是有所区别，因此特别在此声明一下。文中主要使用了I
DA pro 5.0和在看雪(www.pediy.com)下载的OllyICE作为工具对目标文件进行反汇编。在此也感谢看雪论坛的各位的无私奉
献，在研究过程的中的困难多通过各位的帖子得到了帮助。
逆向的关键
我认为逆向的关键主要是要弄明白目标文件的算法和实现过程，在Window操作系统下，软件的实现过程就体现在其
对Window消息的处理，而软件的算法则包含在处理的具体过程中。对于通过SDK编写的"传统"的Windows应用程序基本都具备
几个共同的特征：WinMain函数、WinProc函数、窗口注册、消息循环。对于这类目标文件的分析主要集中的WinProc的分析上
，WinProc的函数地址获得一般是通过窗口注册函数中的参数获得。（由于我对于这类文件没有具体逆向过，所以只是大概的
说说，有不对的地方请各位不要客气，尽管拍砖）
而使用MFC（Microsoft Function Class）顾名思义，该类库主要封装了大部分的Windows API函数所以在代码中看
不到原本的SDK编程中的消息循环、窗口过程函数等等东西，所有这些封装在相应的mfcxx.dll中，让程序员能够专着与处理
过程与算法。这种做法于逆向而言有好处也有坏处：
坏处就是加大了对于MFC产生的EXE文件的逆向难度，让许多的和我一样的菜鸟迷失在汇编代码中找不找北了，基本主要就靠
猜测实现过程中用到了那些函数，然后对文件导入表的函数下断点来寻找我们所需要的处理过程；
好处就是这样的做法使得EXE文件中主要都是目标程序的Window消息处理流程以及算法，而且dll中的大部分函数的功能都能
在MSDN中查到。如果能够通过对目标文件的分析得到这个Window消息处理流程和算法架构，基本上我们就可以重写整个软件；
要做到上面的目标，首先我们要对MFC有所了解，推荐没有基础的兄弟们读读候俊杰的《深入浅出MFC》。该书在逆向过
程中完全可以作为一本参考书，让你能通过源代码了解实现过程，网上有很多该书的电子版下载。
一个逆向MFC产生的EXE文件的例子
下面我们就通过一个具体的例子来学习一下如何从目标文件中挖到我们需要的东西。首先我们来产生一个需要的EXE文件。
在此我假定各位对MFC有过一定的使用经验，毕竟逆向分析才是本文的重点。
1．产生例子所需要的目标文件：
我们通过VC++6.0的向导来产生一个名为ReverseMFC的工程，这个工程的设置情况如下：
Application type of fff:
Dialog-Based Application targeting:
Win32
Classes to be created:
Application: CFffApp in ReverseMFC.h and ReverseMFC.cpp
Dialog: CFffDlg in ReverseMFCDlg.h and ReverseMFCDlg.cpp
Features:
+ Uses shared DLL implementation (MFC42.DLL)
+ Localizable text in:
中文[中国]
直接编译以后就能够运行，为了确定我们是否正确的分析的整个目标文件，在该对话框中加入一个我们自定义的按钮如
下,对于该按钮的处理函数如下设定为：
AfxMessageBox("I find it!",MB_OK)；编译后就得到了我们需要的目标文件。
现在我们得到了所需要的目标文件，在IDA中载入该文件。在此我们最好是产生Release版本的EXE文件，毕竟所有的发
布软件都是Release版本的。
2．具体分析
在IDA中按Ctrl＋S找到.rdata段，该段主要存储了目标文件的类运行时创建信息、MessageMap信息、MessageEntry信息、
虚函数表、RTTI数据（如果编译选项中选择了支持RTTI的话）。
在到达.rdata段后我们可以看到这样的代码，对数据进行格式转换后可以得到如下图所示的数据。
.rdata:004021C0 ; 屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯?
.rdata:004021C0
.rdata:004021C0 ; Segment type: Pure data
.rdata:004021C0 ; Segment permissions: Read
.rdata:004021C0 _rdata segment para public 'DATA' use32
.rdata:004021C0 assume cs:_rdata
.rdata:004021C0 ;org 4021C0h
.rdata:004021C0 off_4021C0 dd offset sub_401000 ; DATA XREF: sub_401010o
.rdata:004021C4 dd offset dword_4021C8
.rdata:004021C8 dword_4021C8 dd 111h ; DATA XREF: .rdata:004021C4o
.rdata:004021CC dd 0
.rdata:004021D0 dd 0E146h
.rdata:004021D4 dd 0E146h
.rdata:004021D8 dd 0Ch
.rdata:004021DC dd offset CWinApp::OnHelp(void)
.rdata:004021E0 dd 0
.rdata:004021E4 dd 0
.rdata:004021E8 dd 0
.rdata:004021EC dd 0
.rdata:004021F0 dd 0
.rdata:004021F4 dd 0
.rdata:004021F8 off_4021F8 dd offset CWinApp::GetRuntimeClass(void)
.rdata:004021F8 ; DATA XREF: unknown_libname_1-56o
.rdata:004021FC dd offset sub_401040
.rdata:00402200 dd offset nullsub_2
.rdata:00402204 dd offset nullsub_3
.rdata:00402208 dd offset nullsub_2
.rdata:0040220C dd offset CCmdTarget::OnCmdMsg(uint,int,void *,AFX_CMDHANDLERINFO *)
其中的off_4021C0就是一个MessageMap数据；dword_4021C8就是MessageMap所指的MessageEntry数据；off_4021F8就是一个
类的虚函数表的开始位置。那么具体这些数据时那个类的相关数据呢？如此判断的依据是什么？
首先我们知道MessageEntry是的数据结构定义如下，而且以6个0表示整个数组的结束。
struct AFX_MSGMAP_ENTRY
{
UINT nMessage; // windows message
UINT nCode; // control code or WM_NOTIFY code
UINT nID; // control ID (or 0 for windows messages)
UINT nLastID; // used for entries specifying a range of control id's
UINT nSig; // signature type (action) or pointer to message #
AFX_PMSG pfn; // routine to call (or special value)
};
因此我们有理由假设"dword_4021C8就是MessageMap所指的MessageEntry数据"。
而MessageMap数据结构定义如下：
struct AFX_MSGMAP
{
#ifdef _AFXDLL
const AFX_MSGMAP* (PASCAL* pfnGetBaseMap)();
#else
const AFX_MSGMAP* pBaseMap;
#endif
const AFX_MSGMAP_ENTRY* lpEntries;
};
off_4021C0的两个数据中第二个数据恰恰就是我们前面假设为MessageEntry的指针，跟入其第一个数据，我们看到如下的代
码：
.text:00401000 ; *************** S U B R O U T I N E ***************************************
.text:00401000
.text:00401000
.text:00401000 sub_401000 proc near ; DATA XREF: .rdata:off_4021C0o
.text:00401000 mov eax, ds:AFX_MSGMAP const CWinApp::messageMap
.text:00401005 retn
.text:00401005
.text:00401005 sub_401000 endp
恰恰是一个返回基类的MessageMap的函数。因此我们也同样有理由假设"off_4021C0就是一个MessageMap数据"。
对于虚函数表的假设是如何被证明呢？首先我们要知道关于虚函数表的一点知识：虚函数表由虚函数的地址组成，表中函数
地址的顺序和它们第一次出现的顺序（即在类定义的顺序）一致。若有重载的函数，则替换掉基类函数的地址。通过这个我
们可以知道MFC中虚函数表中的函数顺序必然是先按照CObject->CCmdtarget->。。。。这个类继承顺序中的虚函数顺序来处
理虚函数表中的函数顺序的。只要证明这个我们"假设的虚函数"中的函数顺序与上面提到的知识相符合则有理由说明我们的
假设成立。
首先来看CObject中虚函数的顺序，在查看CObject的声明文件后得到了这个类的虚函数顺序：
virtual CRuntimeClass* GetRuntimeClass() const;
virtual ~CObject(); // virtual destructors are necessary
virtual void Serialize(CArchive& ar);
#if defined(_DEBUG) || defined(_AFXDLL)
// Diagnostic Support
virtual void AssertValid() const;
virtual void Dump(CDumpContext& dc) const;
再来查看CCmdtarget的虚函数顺序，在查看CObject的声明文件后得到了这个类的虚函数顺序：
DECLARE_DYNAMIC(CCmdTarget)；
virtual BOOL OnCmdMsg(UINT nID, int nCode, void* pExtra,
AFX_CMDHANDLERINFO* pHandlerInfo);
#ifndef _AFX_NO_OLE_SUPPORT
// called when last OLE reference is released
virtual void OnFinalRelease();
#endif
#ifndef _AFX_NO_OLE_SUPPORT
// called before dispatching to an automation handler function
virtual BOOL IsInvokeAllowed(DISPID dispid);
virtual BOOL GetDispatchIID(IID* pIID);
virtual UINT GetTypeInfoCount();
virtual CTypeLibCache* GetTypeLibCache();
virtual HRESULT GetTypeLib(LCID lcid, LPTYPELIB* ppTypeLib);
之所以还要列出"DECLARE_DYNAMIC(CCmdTarget)；"是因为这个宏的定义如下：
#define DECLARE_DYNAMIC(class_name) \
protected: \
static CRuntimeClass* PASCAL _GetBaseClass(); \
public: \
static const AFX_DATA CRuntimeClass class##class_name; \
virtual CRuntimeClass* GetRuntimeClass() const; \
这个virtual CRuntimeClass* GetRuntimeClass() const; 覆盖掉了一开始的CObject的相对应函数。依次按照类的顺序对
照下来，就可以知道该表确实是虚函数表。同时，对应的GetMessageMap虚函数的位置上跟入后，可以得到如下代码：
.text:00401010 ; *************** S U B R O U T I N E ***************************************
.text:00401010
.text:00401010
.text:00401010 sub_401010 proc near ; DATA XREF: .rdata:00402228o
.text:00401010 mov eax, offset off_4021C0
.text:00401015 retn
.text:00401015
.text:00401015 sub_401010 endp

恰恰是返回了我们之前假设的MessageMap的地址。

--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!

⑵ 如何查看一个编译器所含的库函数

用编译器提供的库管理工具。
C语言的编译器都会提供一个命令行工具，可以把自己编译后的.obj模块加入指定的库文件，以后使用时只需要连接该库文件即可。这个命令行工具通常是lib.exe，用这个工具可以查看库中的模块，可以把模块加入到库中，可以从库中删除模块。这个工具不仅仅是自己建立的库文件的管理工具，可以管理所有的库文件，包括C语言提供的标准库。

⑶ 下面段代码是用哪个编译器编译的，我想看看运行结果！ #define AND && RE

如果有编译器能编译这个就神了。逗乐子的，别在意

⑷ codeblocks如何查看当前编译器版本

Code::Blocks（codeblocks）是一个开源、免费、跨平台的c++ IDE。官方网站上称其能满足最苛刻的用户的需求。虽有点夸张，但既然敢这样说，也说明它的功能肯定不差。可扩展插件，有插件向导功能，让你很方便的创建 自己的插件。Code::Blocks是用c++编写的（用wxWidgets库），捆绑了MinGW编译器。
虽然Code::Blocks从一开始就追求跨平台目标，但是最初的开发重点是Windows平台，从06年3月21日版本:1.0 revision 2220开始，Code::Blocks在它的每日构建中正式提供GNU/Linux版本，这样 Code::Blocks在1.0发布时就成为了跨越平台的C/C++IDE，支持Windows和GNU/Linux。由于它开放源码的特点，Windows用户可以不依赖于VS. NET，编写跨平台C++应用。
Code::Blocks提供了许多工程模板，这包括:控制台应用、DirectX应用、动态连接库、FLTK应用、GLFW应用、Irrlicht工程、OGRE应用、OpenGL应用、QT应用、SDCC应用、SDL应用、SmartWin应用、静态库、Win32 GUI应用、wxWidgets应用、wxSmith工程，另外它还支持用户自定义工程模板。在wxWidgets应用中选择UNICODE支持中文。
Code::Blocks支持语法彩色醒目显示，支持代码完成(目前正在重新设计过程中)支持工程管理、项目构建、调试。
Code::Blocks支持插件，包括代码格式化工具AStyle;代码分析器;类向导;代码补全;代码统计;编译器选择;复制字符串到剪贴板;调试器;文件扩展处理器;Dev-C++DevPak更新/安装器;DragScroll，源码导出器，帮助插件，键盘快捷键配置，插件向导;To-Do列表;wxSmith;;wxSmith MIME插件;wsSmith工程向导插件;Windows7外观。
Code::Blocks具有灵活而强大的配置功能，除支持自身的工程文件、C/C++文件外，还支持AngelScript、批处理、CSS文件、D语言文件、Diff/Patch文件、Fortan77文件、GameMonkey脚本文件、Hitachi汇编文件、Lua文件、MASM汇编文件、Matlab文件、NSIS开源安装程序文件、Ogre Compositor脚本文件、Ogre Material脚本文件、OpenGL Shading语言文件、Python文件、Windows资源文件、XBase文件、XML文件、nVidia cg文件。识别Dev-C++工程、MS VS 6.0-7.0工程文件，工作空间、解决方案文件。
Code::Blocks基于wxWidgets开发，正体现了wxWidgets的强大。以前Borland C++Builder X宣称基于wxWidgets开发跨平台、兼容性好、最优秀的C++ IDE环境，但没有实现;让我们拭目以待。国内的Code::Blocks爱好者和跨平台开发员应该尽快建立中文Code::Blocks网站，提供Code::Blocks中文化支持，促进Code::Blocks在国内的发展。

⑸ 怎么查看编译器版本

你的是什么编译程序？
MYTC?
TC?
GCC?
GPP?
....

在VISUAL STUDIO命令提示里输入

RC /?

第一行

Microsoft (R) Windows (R) Resource Compiler Version 5.2.3690.0

5.2.3690.0就是版本号了

⑹ 请问如何在myeclipse编译器中查看java.class文件的源代码为什么我点击这种文件都报 SOURCR NOT FOUND呢

在你eclipse中装一个java反编译器就能查看，.class文件的源代码了

⑺ 如何在Code：Blocks下查看程序的汇编代码

首先创建一个工程：Create a new project -> ConsoleApplication -> 填上工程文件名和project路径 -> 调试器和编译器默认。
随便在工程里写点什么代码，比如下面的一个递归代码为例：
#include "stdio.h"
#include "math.h"
int factorial(int n);
int main(void)
{
int n, rs;
printf("请输入斐波那契数n：");
scanf("%d",&n);
rs = factorial(n);
printf("%d \n", rs);
return 0;
}
// 递归
int factorial(int n)
{
if(n <= 2)
{
return 1;
}
else
{
return factorial(n-1) + factorial(n-2);
}
}
点击“菜单栏 Debug -> Debugging windows -> disassembly”，把汇编窗口呼出来。
设定断点。就是设置查看汇编的那一段代码。在代码的左边（代码行）右键就可以设定调试断点了。
点击调试，就可以看到汇编代码了。如下：
如果想看指针或数组，可以编辑watch窗口，定义你想watch变量的类型。有很多窗口，自己可以多探索尝试。

⑻ 如何查看IAR编译器编译后的汇编代码，我想知道这个编译器是如何处理中断的

编辑界面右击工程点击options菜单项，选择c/c++ compiler选项卡中的list选项，勾选output assembler files，编译后则生成离线汇编代码文件。
调试界面下，点击view / disassembly 菜单项，则显示在线汇编代码窗口。

⑼ 如何在C语言中用宏来判断当前编译器

热心网友
一.
#define是C语言中提供的宏定义命令，其主要目的是为程序员在编程时提供一定的方便，并能在一定程度上提高程序的运行效率，但学生在学习时往往不能理解该命令的本质，总是在此处产生一些困惑，在编程时误用该命令，使得程序的运行与预期的目的不一致，或者在读别人写的程序时，把运行结果理解错误，这对 C语言的学习很不利。
1#define命令剖析
1.1 #define的概念
#define命令是C语言中的一个宏定义命令，它用来将一个标识符定义为一个字符串，该标识符被称为宏名，被定义的字符串称为替换文本。
该命令有两种格式：一种是简单的宏定义，另一种是带参数的宏定义。
(1) 简单的宏定义：
#define <宏名><字符串>
例： #define PI 3.1415926
(2) 带参数的宏定义
#define <宏名> (<参数表>) <宏体>
例： #define A(x) x
一个标识符被宏定义后，该标识符便是一个宏名。这时，在程序中出现的是宏名，在该程序被编译前，先将宏名用被定义的字符串替换，这称为宏替换，替换后才进行编译，宏替换是简单的替换。
1.2 宏替换发生的时机
为了能够真正理解#define的作用，让我们来了解一下对C语言源程序的处理过程。当我们在一个集成的开发环境如Turbo C中将编写好的源程序进行编译时，实际经过了预处理、编译、汇编和连接几个过程，见图1。