如何確定VB應用程序的編譯/創建日期

Question

我的公司使用的軟件在其頁腳部分列出了2001-2002年。這是否有足夠的理由相信該計劃最後一次重大改革或更新將在2001 - 02年度完成？

如果沒有，是否有反編譯軟件的方法，它是用VB6編寫的？

Answer 1

忘接頭枝的時間戳到PE頭。下面是一個簡短VB.NET小程序來讀取PE頁眉和轉換時間戳：

Private Function GetPEDate(filename As String) As DateTime 

    Dim dtUINT As UInt32 
    Using fs As Stream = New FileStream(filename, 
         FileMode.Open, FileAccess.Read), 
     rdr As New BinaryReader(fs) 

     ' move to PE location (60; 70 for 64 bit but 
     ' there is no such thing as a 64bit VB6 app) 
     fs.Position = &H3C 
     Dim peHDR As UInt32 = rdr.ReadUInt32()  ' offset of start location 
     fs.Position = peHDR 

     Dim tmpUINT = rdr.ReadUInt32()   ' PE sig 
     Dim tmpShrt = rdr.ReadUInt16    ' machine 
     tmpShrt = rdr.ReadUInt16     ' sections 

     dtUINT = rdr.ReadUInt32()     ' linker timestamp 

    End Using 
    ' SEE NOTE 
    Dim dtCompiled As New DateTime(1970, 1, 1, 0, 0, 0) 

    dtCompiled = dtCompiled.AddSeconds(dtUINT) 
    dtCompiled = dtCompiled.AddHours(_ 
      TimeZone.CurrentTimeZone.GetUtcOffset(dtCompiled).Hours) 

    Return dtCompiled 
End Function 

要使用它：

Dim dt = GetPEDate(FullFilePath) 
Console.WriteLine("App was compiled approx: {0}", dt.ToString) 

輸出：

應用程序被編譯約：4/6/2004 11:54:07 AM

我測試了一些實際的舊VB6應用程序以及一些x86 VB.NET應用程序和DateTime返回的是與由Explorer報告的CreatedDate和/或修改日期相比的現貨。

最初時間已經過去了3個小時。 MSDN docs明確指出：

該字段包含自1969年12月31日下午4點以來的秒數。

但它已經關閉了3個小時，而我的TZ距離美國東海岸，西雅圖或格林威治標準時間還不到3英里。快速谷歌取得了this article by Jeff Atwood（其中包括另一個PE閱讀器）。將基準日期更改爲1/1/1970 00:00:00並添加UTC調整將返回匹配資源管理器的時間。

顯然MSDN是錯誤的或過期的基準日期。由於對應於POSIX/Unix時間戳，因此似乎更可能是1/1/1970。

Answer 2

從WINNT.H注二等DWORD，TIMEDATESTAMP

typedef struct _IMAGE_FILE_HEADER { 
    WORD Machine; 
    WORD NumberOfSections; 
    DWORD TimeDateStamp; 
    DWORD PointerToSymbolTable; 
    DWORD NumberOfSymbols; 
    WORD SizeOfOptionalHeader; 
    WORD Characteristics; 
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER; 

如果你看看這裏，你會發現上面的解釋和程序做了你。

https://msdn.microsoft.com/en-au/library/ms809762.aspx?f=255&MSPPError=-2147217396