Acerca de offset en VB decompiler

Iniciado por zealot2, 21 Septiembre 2019, 06:17 AM

0 Miembros y 1 Visitante están viendo este tema.

zealot2

 
  Buenas noches y un saludo a todos. La pregunta es simple. VB Decompiler, me muestra esta porcion de codigo de una forma, Form quiero decir, como puedo localizar dicho offset en ollydbg o en el mismo VB decompiler para editarla en exhadecimal. Y si no es mucho pedir, como se cambian los colores en una ventana, porque no encuentro forma de hacerlo, sito, la parte que me interesa Offset: 00016B40    .Gracias de antemano


Begin TextBox T1 'Offset: 00016B40
    Index = 1
    Left = 2370
    Top = 3540
    Width = 2925
    Height = 315
    TabIndex = 1
    PasswordChar = "*"
    MaxLength = 10

EdePC

Saludos,

- Form viene de Formulario, no de Forma XD. Offset es un desplazamiento de bytes y depende de una dirección base a partir de la cual se va a realizar el desplazamiento, en caso de RAW (abrir el fichero con un Editor Hexadecimal) la base será 0, en caso de utilizar un Decompilador como OllyDBG la base será la ImageBase, esta la puedes encontrar en la ventana Memory de OllyDBG:

Memory map
00400000   00001000   Project1              PE header     Imag   R         RWE
00401000   00001000   Project1   .text      code,imports  Imag   R         RWE
00402000   00001000   Project1   .data      data          Imag   R         RWE
00403000   00001000   Project1   .rsrc      resources     Imag   R         RWE


-- Donde Project1 es el nombre de mi programa (Project1.exe) y 0040000 es mi ImageBase o Dirección en Memoria donde se carga mi ejecutable Project1.exe

- Pues ya está, solo sumas tu ImageBase con tu Offset y encuentras la dirección en memoria que quieres en OllyDBG, en mi caso:


  Begin TextBox T1 'Offset: 00001215
    Index = 1
    Left = 2370
    Top = 3540
    Width = 2925
    Height = 315
    TabIndex = 0
    PasswordChar = "*"
    MaxLength = 10
  End


-- Donde mi Offset es 1215, entonces voy a OllyDBG, presiono Ctrl + G y escribo: 401215

00401215      00            DB 00
00401216      00            DB 00
00401217      80            DB 80
00401218      01            DB 01
00401219      01            DB 01
0040121A      00            DB 00
0040121B      02            DB 02
0040121C      00            DB 00
0040121D   .  54 31 00      ASCII "T1",0
00401220      02            DB 02
00401221      01            DB 01
00401222      01            DB 01
00401223      00            DB 00
00401224      04            DB 04
00401225      42            DB 42                                    ;  CHAR 'B'
00401226      09            DB 09
00401227      D4            DB D4
00401228      0D            DB 0D


-- Aquí se muestran los Bytes (DB) que corresponden a esa sección, lo que hace VB Decompiler es interpretar esos Bytes y mostrar valores entendibles, por ejemplo, 0040121D   .  54 31 00      ASCII "T1",0 es el nombre del TextBox, 00401225 y 00401226 son 4209 o x0942 o 2370 que corresponden al atributo Left, y así sucesivamente.

- Debido a que no es fácil interpretar estos Bytes, lo más fácil que veo para lo que quieres (cambiar colores) es utilizar un programa como VBReFormer Professional (que obvio es de pago) o puedes exportar tus recursos con tu VBDecompiler y luego Instalar Visual Basic 6.0 para abrir dichos recursos y editarlos desde ahí.

- Puedes Obtener VBReformer Pro comprándolo o solicitándolo a alguien que lo tenga, por ejemplo en el Grupo CracksLatinos de Telegram. A mí me vino incluido en el curso paquete video/doc "Haciendo el Curso de Raton Ollydbg en x64dbg Windows 8.1 x64 by Apuromafo" también deberías de poder solicitar el curso en dicho grupo o poniéndote en contacto con Apuromafo (cosa que es de temer XD)

-- En particular el vídeo 06 del curso mencionado se ve rápidamente el uso de VB Decompiler y VB Reformer, donde justamente se editan propiedades y se guarda el exe resultante.

- Puedes obtener Visual Studio 6.0 que incluye a Visual Basic 6.0 en la WebArchive o sitios de AbandonWare, por ejemplo la versión en español (225MB) que he instalado sin problemas en mi Windows 8: Microsoft Visual Studio 6.0 Enterprise [Spanish] (ISO) https://winworldpc.com/download/f446ee1f-04a3-11e8-a755-fa163e9022f0, aunque también puedes encontrar ediciones "portables" que no suelen pasar los 10MB...

apuromafo CLS

lo de vb decompiler y vbreformer lo tengo en telegram, contactame ahi t.me/apuromafo en caso de necesitarlo, por otro lado

hay teorias donde enseñan a modificar en visual basic, como las teorias de coco, en general todo hexadecimal tiene un sentido en las opciones que van haciendo el diseño, si la idea es aprender, literalmente deberas programar en el lenguaje y hacer con y sin la opcion y luego explorarlo en el depurador, y decompilador, el resultado será claramente facil a lo largo del tiempo.

Saludos Cordiales
Apuromafo