开发者社区云计算文章正文

一个小巧的反汇编引擎

2012-12-02 1199

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介：

从内核反汇编hook中截取的反汇编代码，非常小巧：

#include <stdlib.h>
#include <stdio.h>
#include <stdbool.h>
//#include <windows.h>
#include "libdasm.h"

typedef unsigned char byte;
byte bin[] = {0x55,0x89,0xE5,0x83,0xEC,0x08,0xC7,0x04,\
				0x24,0x01,0x00,0x00,0x00,0xFF,0x15,0xDC,\
				0x40,0x40,0x00,0xE8,0x88,0xFF,0xFF,0xFF};

#define SZINST_MAX 128

int main(void)
{
	INSTRUCTION inst;
	char szinst[SZINST_MAX];
	byte *pbin = bin;
	byte *offset = (byte*)0x401220;
	do
	{
		int ret0 = get_instruction(&inst,pbin,MODE_32);
		pbin += ret0;
		if(!get_instruction_string(&inst,FORMAT_INTEL,\
			(DWORD)offset,szinst,sizeof(szinst)))
		{
			puts("err : can't to string???");
		}
		offset += ret0;
		printf("code is :: %s\n",szinst);
	}while(pbin < bin+sizeof(bin));
	
	getchar();
	return 0;
}

输出：
code is :: push ebp
code is :: mov ebp,esp
code is :: sub esp,0x8
code is :: mov dword [esp],0x1
code is :: call [0x4040dc]
code is :: call 0x4011c0

关键词：

汇编引擎

大熊猫侯佩

lyshark

7月前

安全

10.5 认识XEDParse汇编引擎

XEDParse 是一款开源的x86指令编码库，该库用于将MASM语法的汇编指令级转换为对等的机器码，并以XED格式输出，目前该库支持x86、x64平台下的汇编编码，XEDParse的特点是高效、准确、易于使用，它可以良好地处理各种类型的指令，从而更容易地确定一段程序的指令集。XEDParse库可以集成到许多不同的应用程序和工具中，因此被广泛应用于反汇编、逆向工程、漏洞分析和入侵检测等领域。XEDParse 引擎非常易于使用，读者在使用时只需要通过`XEDPARSE xed = { 0 };`定义一个结构，并通过向`xed.cip`内输送一条汇编指令，当调用`XEDParseAssemble(

lyshark

49 0 0

lyshark

7月前

存储安全 API

10.4 认识Capstone反汇编引擎

Capstone 是一款开源的反汇编框架，目前该引擎支持的CPU架构包括x86、x64、ARM、MIPS、POWERPC、SPARC等，Capstone 的特点是快速、轻量级、易于使用，它可以良好地处理各种类型的指令，支持将指令转换成AT&T汇编语法或Intel汇编语法等多种格式。Capstone的库可以集成到许多不同的应用程序和工具中，因此被广泛应用于反汇编、逆向工程、漏洞分析和入侵检测等领域，著名的比如IDA Pro、Ghidra、Hopper Disassembler等调试器都在使用该引擎。

lyshark

112 0 0