DLL to C反编译工具，它可以将DLL转换成可编译的C/C++代码。当您丢失DLL的源代码时，您可以用DLL to C。能够把DLL转换回可编译的代码。 并且具有生成数据结构和反汇编代码段的功能。和其它的反编译或反汇编工具最大的不同是：它生成的代码是可以直接编译运行的。它可以为所有数据段生成数据结构并拆解代码段。它还可以生成函数关系树，然后可以方便地导出DLL中所需的指定特征。它可以将汇编代码转换成C代码，C代码也是可编译的。

看起来还不错。并且这还只是一个新出的工具，估计以后会进一步改进。感兴趣的可以试用一下。

产品特点：

将DLL转换成可编译C/C++代码

为所有数据段生成数据结构

生成模块定义文件

拆解代码段

拆装结构模式

全模式拆卸

全结构拆卸

用注释模式拆解

精密模式拆卸

用动态模式初始化导入地址表

用静态模式初始化导入地址表

用直接地址初始化导入地址表

附带工具反编译文件分析器

生成函数关系树

导出所有函数

仅输出指定的函数

创建调试工具

动态对数函数调用

自动识别所有使用的函数参数和局部变量

在没有任何分析的情况下导出DLL中的任何特征

C语言静态库函数的自动识别

将汇编代码转换为C代码

使用方法：

简单拆解代码：

反编译代码:

只需点击“开始转换”按钮，就可以得到DLL的可编译C/C++代码。

将输出文件添加到项目中。

然后你可以调用新的代码。

本文导读：ILSpy反编译工具的使用。不过，ILspy需要在电脑上安装.NET Framework 4.0。ILspy可以将一个dll文件转换为C#或VB语言。ILspy对于单个文件可以保存为.cs文件或.vb文件，当文件较多时，可以选择保存为项目文件。C#语句可被ILspy反编译出来，并可支持yield return语句和 lambdas表达式的反编译。

以前一直使用reflector来查看.net类库的一些信息,不过，自2011年2月份开始，reflector就开始转向收费软件了，所以爱好免费软件的开发者们转而开发自己的反编译软件。于是ILspy就因运而生了。ILSPY这个开源工具的目的就是代替reflector的,它反编译出的代码和reflector差不多。

SharpDevelop 是除Visual Studio外，另一个可选择的唯一的.NET开放工具，并且它是开源的。它提供的功能也相当不错，几乎就是在重写Visual Studio。最新的版本中，直接增加了对Visual Studio的解决方安案文件和项目文件的支持。ILSpy是SharpDevelop小组的反编译工具，也是开放源代码的，下面介绍一下它的调试器和反编译器。

ILspy的界面截图

ILSpy的界面与Reflector相似，左边以树型控件显示程序集和它的类型，右边是对应的源代码。基础的反编译功能，与Reflector相比，丝毫不差，甚至有时候用Reflector无法反编译(因为加密)的程序集，用ILSpy可以反编译。

ILspy需要在电脑上安装.NET Framework 4.0.

ILspy常用的几个功能

基础的类型反编译功能都具备

现在只支持把源代码反编译为C#和IL语言，不支持VB。

效果图为：

ILSpy的代码保存功能

当点击一个类型时，选择File->Save Code会反编译当前的类型并保存到指定的文件中，当选择程序集时，Save Code保存为一个项目(csproj)文件，并且把它所有的类型加到这个项目中。

ILSpy的调试器功能

这里要说的调试器，不是指Visual Studio的源码级别的调试器，而是指程序集的调试器。Reflector有个Addin，可以直接附加在Visual Studio中，调试第三方的类型库，而不需要把第三方的类型库反编译后，以源码的形式添加到项目中。

ILSpy也有这个功能，直接对第三方的程序集进行调试，有两种选项

如果第三方类型库是可执行程序(EXE)，可以用Debug an executable来启动这个程序。

如果第三方类型库是程序集(DLL)，可以用Attach to running application来附加，以启动程序集的调试。

从上图中已经可以看出它的用法，和调试源代码一样。在需要监视变量值的方法的地方，设置断点，当程序运行到此时，就可以通过监视窗体来观察变量的值。

这两者的区别是，Attach to a running application调试时，如果代码经过编译器优化，则监视器会无法得到它的值。

如图所示，无法显示正在调试的变量num的值，因为代码已经经过优化。官方推荐的方式是Debug an executable

与在Visual Studio中调试.NET源代码一样，你可以Step into,Step over,continue，同时状态栏会显示就绪(stand by)，运行中(running)，正在调试(debugging)。

除了调试程序集的C#/VB形式的代码之外，也可以以IL代码形式调试，如下图所示

ILSpy的debugger是以插件形式存在的，请确保包含ILSpy.Debugger的Plugin。

不过调试.NET程序集一定需要PDB文件才可以。然而ILSpy却没有产生PDB文件(no PDB files are generated)，而且它不可以调试ASP.NET Web application和Web 服务。

时间： 10-27

这是什么？

在我的IDA系列中，我会介绍一些我在交互式反汇编程序，IDA Pro中发现的有趣又有用的东西。

我写这篇文章出于两个原因：

大部分有价值的信息都很分散，难以找到。有时候，你不得不靠自己去找寻这些信息，或是在论坛中寻求帮助。

更好的理解IDA的架构可以使你在使用它的时候少一些挫折感，也有节省大量时间。了解你的工具的不足和了解它的功能同样重要。[1]

汇编伪代码映射

对于这个反编译器，你需要了解的第一件事就是，它能进行反汇编并把它转化为C语言伪代码。听起来似乎有点多余，但确实很多人都没有意思到这点。例如，假设你有一个函数，它的功能是将一串flag变量与一个静态值进行比较，像这样：

Hex-Rays觉得这是一个偏移地址，因为它看起来像一个地址，但实际上它是一个标记检查代码。

在伪代码窗口中没有选项来修正它，但这个反编译器能把汇编代码映射为伪代码，我们可以通过把鼠标移至&loc_401001上，按下TAB键转到对应的反汇编代码中，把鼠标移到这个值上，按H，把它标记为一个值，而不是地址偏移。在再次按下F5进行反编译后，我们可以看到代码变成了我们想要的样子：

没办法上传动图，很无奈。。。

反编译器没有遗漏分支

一些人觉得反编译给出的伪代码有错误，如果有需要，它会把分支消去，人们觉得这种做法不可靠，所以他们花了大量时间在那些没有经过优化，重复，臃肿的汇编代码上。这种做法是错误的。反编译器应该是我们的朋友，它给出了许多方式来提示你希望伪代码变成什么样。

例如，观察这个函数：

再看看汇编代码：

正如你看见的，代码中有一个cmp和jz，但反编译器只显示了第一个分支。不仅于此，再看看图形视图，我们可以发现还有更多的分支：

但为什么Hex-Rays没有反编译这块代码呢？

当第一次反编译这个函数时，我们可以看见这个警告：

它告诉我们数据引用的段会被替换为常数，例如：通过假设.r_data段中的数据永远不会改变，来优化输出。

现在，返回到汇编代码中：

.text:00401799                cmp    ds:dword_40E000, 0.text:004017A0                jz      short loc_4017E6

这里有一个对数据的引用，dword_40E000。如果我们检查一下这个数据的位置，就可以发现它在.r_data数据段中：

.r_only:0040E000 ; Segment type: Pure data.r_only:0040E000 ; Segment permissions: Read.r_only:0040E000 _r_only        segment para public 'DATA' use32.r_only:0040E000                assume cs:_r_only.r_only:0040E000                ;org 40E000h.r_only:0040E000 dword_40E000    dd 0                    ; DATA XREF: sub_401770+29

反编译器假设上述汇编代码等同于：

if (dword_40E000) {            // ...}

因为dword_40E000的值是0，而它又被识别为只读的，也就相当于上述代码是无效的，相当于：

if (0) {

// ...

}

理论上来说，它什么也不做，所以在优化时就把它去除了。如果要修正它，我们可以把这个特殊的变量标记为volatile(常量/const/read-only variable的反义词)，或是把整个段标记为可读写。

(标记变量为volatile)

(改变段属性)

不仅如此，因为Hex-Rays会进行优化，它会把对程序无用的垃圾代码去除掉。

今天就讲到这。如果你想要我讲某个主题，请在评论中列出来。

本文由 看雪翻译小组 梦野间 编译，来源qmemcpy

转载请注明来自看雪论坛