文章目录
一、反汇编二进制机器码
二、打印反汇编数据
一、反汇编二进制机器码
在创建 Capstone 实例对象 , 并设置 detail 属性为 True ;
在之前读取了 节区 二进制数据 , 这些数据就是需要反汇编的机器码数据 ;
调用 反汇编解析器 的 disasm 方法 , 向汇编解析器中传入 节区数据 对应的 二进制数据 , 这些二进制数据都是机器码数据 , 即 , 需要反汇编这些二进制数据为 汇编 代码 ;
第一个参数设置二进制数据 ;
第二个参数指的是读取 raw 二进制数据的起始地址 , 一般设置 0 即可 ;
调用 反汇编解析器 的 disasm 方法 , 得到的是反汇编后的汇编代码列表 , 如果反汇编失败 , 此处为空 ;
# 读取 节区 二进制数据 # 这是需要反汇编的机器码数据 raw = file.read(sh_size) # 创建 Capstone 实例对象 capstone = Cs(CS_ARCH_X86, CS_MODE_32) # 此处设置为 true , 表示需要显示细节 , 打开后 , 会标明每条汇编代码中对寄存器的影响 # 如 : 本条汇编代码中 , 会读写哪些寄存器 capstone.detail = True # 向汇编解析器中传入 节区数据 对应的 二进制数据 , 这些二进制数据都是机器码数据 # 即 , 需要反汇编这些二进制数据为 汇编 代码 # 第一个参数设置二进制数据 # 第二个参数指的是读取 raw 二进制数据的起始地址 , 一般设置 0 即可 # 得到的是反汇编后的汇编代码列表 , 如果反汇编失败 , 此处为空 disasm = capstone.disasm(raw, 0)
二、打印反汇编数据
调用 反汇编解析器 的 disasm 方法 , 得到的是反汇编后的汇编代码列表 ;
遍历该汇编代码列表 , 可以得到该行汇编代码对应的 汇编代码 ;
要打印的结果如下 :
00000000: push ebx ; 读寄存器:esp. 写寄存器:esp ; 机器码 :53
在开始位置打印汇编代码地址 , 然后是 汇编指令 , 操作对象 ;
之后将汇编代码 读取的寄存器 , 写出的寄存器 打印出来 ;
最后打印出该行汇编代码对应的机器码 ;
打印汇编代码 :
# 遍历反汇编代码列表 for line in disasm: # 打印每行汇编代码的 地址 , 指令 , 操作对象 text = '%08X: %s %s ' % (line.address, line.mnemonic, line.op_str) # 统计汇编代码行的字符串个数 , 保证在第 55 字节处打印寄存器读写信息 # 00000000: push ebx ; 读寄存器:esp 写寄存器:esp ; 机器码 :53 length = len(text) if length < 55: text += ' ' * (55 - length) text += ';' # 读取操作影响到的寄存器 if hasattr(line, 'regs_read') and len(line.regs_read) > 0: text += ' 读寄存器:' for j, r in enumerate(line.regs_read): if j > 0: text += ',' text += '%s' % line.reg_name(r) # 写出操作影响到的寄存器 if hasattr(line, 'regs_write') and len(line.regs_write) > 0: text += ' 写寄存器:' for j, r in enumerate(line.regs_write): if j > 0: text += ',' text += '%s' % line.reg_name(r) text += ' ; 机器码 :' # 打印 本条汇编代码对应的 机器码 for i in range(line.size): text += '%02X ' % line.bytes[i] # 打印最终数据 print(text)
分析 打印结果 :
该操作是 入栈操作 , 肯定会影响到 esp 栈寄存器 ; 该汇编代码对应的机器码是 0x53 ; 00000000: push ebx ; 读寄存器:esp. 写寄存器:esp ; 机器码 :53
下面的汇编代码 , 调用 0xab , 会读取 esp,eip 寄存器 , 写出 esp 寄存器 ;
00000001: call 0xab ; 读寄存器:esp,eip. 写寄存器:esp ; 机器码 :E8 A5 00 00 00
