如何确定VB应用程序的编译/创建日期

Question

我的公司使用的软件在其页脚部分列出了2001-2002年。这是否有足够的理由相信该计划最后一次重大改革或更新将在2001 - 02年度完成？

如果没有，是否有反编译软件的方法，它是用VB6编写的？

Answer 1

忘接头枝的时间戳到PE头。下面是一个简短VB.NET小程序来读取PE页眉和转换时间戳：

Private Function GetPEDate(filename As String) As DateTime 

    Dim dtUINT As UInt32 
    Using fs As Stream = New FileStream(filename, 
         FileMode.Open, FileAccess.Read), 
     rdr As New BinaryReader(fs) 

     ' move to PE location (60; 70 for 64 bit but 
     ' there is no such thing as a 64bit VB6 app) 
     fs.Position = &H3C 
     Dim peHDR As UInt32 = rdr.ReadUInt32()  ' offset of start location 
     fs.Position = peHDR 

     Dim tmpUINT = rdr.ReadUInt32()   ' PE sig 
     Dim tmpShrt = rdr.ReadUInt16    ' machine 
     tmpShrt = rdr.ReadUInt16     ' sections 

     dtUINT = rdr.ReadUInt32()     ' linker timestamp 

    End Using 
    ' SEE NOTE 
    Dim dtCompiled As New DateTime(1970, 1, 1, 0, 0, 0) 

    dtCompiled = dtCompiled.AddSeconds(dtUINT) 
    dtCompiled = dtCompiled.AddHours(_ 
      TimeZone.CurrentTimeZone.GetUtcOffset(dtCompiled).Hours) 

    Return dtCompiled 
End Function 

要使用它：

Dim dt = GetPEDate(FullFilePath) 
Console.WriteLine("App was compiled approx: {0}", dt.ToString) 

输出：

应用程序被编译约：4/6/2004 11:54:07 AM

我测试了一些实际的旧VB6应用程序以及一些x86 VB.NET应用程序和DateTime返回的是与由Explorer报告的CreatedDate和/或修改日期相比的现货。

最初时间已经过去了3个小时。 MSDN docs明确指出：

该字段包含自1969年12月31日下午4点以来的秒数。

但它已经关闭了3个小时，而我的TZ距离美国东海岸，西雅图或格林威治标准时间还不到3英里。快速谷歌取得了this article by Jeff Atwood（其中包括另一个PE阅读器）。将基准日期更改为1/1/1970 00:00:00并添加UTC调整将返回匹配资源管理器的时间。

显然MSDN是错误的或过期的基准日期。由于对应于POSIX/Unix时间戳，因此似乎更可能是1/1/1970。

Answer 2

从WINNT.H注二等DWORD，TIMEDATESTAMP

typedef struct _IMAGE_FILE_HEADER { 
    WORD Machine; 
    WORD NumberOfSections; 
    DWORD TimeDateStamp; 
    DWORD PointerToSymbolTable; 
    DWORD NumberOfSymbols; 
    WORD SizeOfOptionalHeader; 
    WORD Characteristics; 
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER; 

如果你看看这里，你会发现上面的解释和程序做了你。

https://msdn.microsoft.com/en-au/library/ms809762.aspx?f=255&MSPPError=-2147217396