2 assembler & 2 disassembler

最新推荐文章于 2024-06-06 10:02:49 发布
最新推荐文章于 2024-06-06 10:02:49 发布
阅读量828 收藏 6
点赞数 1
分类专栏: # 汇编 bin # C/C++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ga4ra/article/details/101533322
版权
bin 同时被 3 个专栏收录
41 篇文章 1 订阅
订阅专栏
C/C++
35 篇文章 0 订阅
订阅专栏
汇编
8 篇文章 0 订阅
订阅专栏

文章目录

反汇编引擎:

BeaEngine

把headers和库文件win32两个文件夹拷贝到项目目录下。

预定义宏、包含头文件和库文件

#include "stdafx.h"
#include <windows.h>
#define BEA_ENGINE_STATIC
#define BEA_USE_STDCALL
#include "headers/BeaEngine.h"
#pragma comment(lib, "Win32/Lib/BeaEngine.lib")
#pragma comment(linker, "/NODEFAULTLIB:\"crt.lib\"")

使用头文件中的结构体:

#pragma pack(1)
typedef struct _Disasm {
   UIntPtr EIP;     // 你要反汇编的机器码的起始地址(数组)
   UInt64 VirtualAddr;  // 输出汇编语句时候指定的地址
   UInt32 SecurityBlock;
   char CompleteInstr[INSTRUCT_LENGTH]; //反汇编结果字符串
   UInt32 Archi;    // 平台,0表示X86_32,1表示X86_64
   UInt64 Options;  //  语法
   INSTRTYPE Instruction;   // 结果  操作码
   ARGTYPE Argument1;   // 结果  操作数1
   ARGTYPE Argument2;   // 结果  操作数2
   ARGTYPE Argument3;   // 结果  操作数3
   PREFIXINFO Prefix;   // 结果  前缀
   UInt32 Reserved_[40];
} DISASM, *PDISASM, *LPDISASM;
#pragma pack()

// 反汇编引擎_beaengine.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <windows.h>
#define BEA_ENGINE_STATIC
#define BEA_USE_STDCALL
#include "headers/BeaEngine.h"
#pragma comment(lib, "Win32/Lib/BeaEngine.lib")
#pragma comment(linker, "/NODEFAULTLIB:\"crt.lib\"")

int main()
{

	BYTE bTest[] = { 0x68,0x37,0x31,0x40,0x00,0xFF,0x15,0x0C,0x20,0x40,0x00,0x83,0xC4,0x04,0xE8,0x0E,0x00,0x00,0x00,0xE8,0x3E,0x00,0x00,0x00,0xEB,0xE6,0x6A,0x00,0xE8,0x63,0x00,0x00 };
	// 1. 初始化反汇编引擎
	DISASM objDiasm;
	objDiasm.EIP = (UIntPtr)bTest; // 起始地址
	objDiasm.VirtualAddr = (UINT64)0x400000; // 虚拟内存地址(反汇编引擎用于计算地址)
	objDiasm.Archi = 0;                      // AI-X86
	objDiasm.Options = MasmSyntax;           // MASM
	UINT uLen = Disasm(&objDiasm);
	CHAR szOpcode[32] = {};
	PCHAR pOpcode = szOpcode;
	for (UINT i = 0; i < uLen; i++) {
		sprintf_s(&szOpcode[2 * i], 20, "%02x", bTest[i]);
	}
	printf("%s:%s\n", szOpcode, objDiasm.CompleteInstr);
	return 0;
}

Capstone

拷贝include文件夹和库文件capstone_x86.lib到项目文件夹下。

#include "include/capstone.h"

#ifdef _64
#pragma comment(lib,"capstone_x64.lib")
#else
#pragma comment(lib,"capstone_x86.lib")
#endif

定义cs_opt_mem结构体变量,然后依次使用4个函数:

  1. cs_option(),注册堆空间管理组函数
  2. cs_open(),初始化反汇编器句柄,(x86_64架构,32位模式,句柄)
  3. cs_disasm(),反汇编
  4. cs_free(pInsn, count);,释放内存
// 反汇编引擎_capstone.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include "include/capstone.h"

#ifdef _64
#pragma comment(lib,"capstone_x64.lib")
#else
#pragma comment(lib,"capstone_x86.lib")
#endif // _64



int _tmain(int argc, _TCHAR* argv[])
{
	csh handle;
	cs_err err;
	cs_insn* pInsn;
	unsigned int count = 0;
	// 在编译capstone库的时候, 如果选择了用户自定义堆空间管理组(没有定义`CAPSTONE_USE_SYS_DYN_MEM`宏)
	// 则需要调用cs_option函数来设定堆空间管理组函数
	// 然后用结构体来配置回调函数.

	// 定义结构体, 配置堆空间的回调函数
	cs_opt_mem memop;
	memop.calloc = calloc;
	memop.free = free;
	memop.malloc = malloc;
	memop.realloc = realloc;
	memop.vsnprintf = (cs_vsnprintf_t)vsprintf_s;
	// 注册堆空间管理组函数
	cs_option(0, CS_OPT_MEM, (size_t)&memop);


	//初始化反汇编器句柄,(x86_64架构,32位模式,句柄)
	err = cs_open(CS_ARCH_X86, CS_MODE_32, &handle);
	if (err != CS_ERR_OK) {
		printf("初始化反汇编器句柄失败\n");
		return 0;
	}

	unsigned char szOpcode[] = { "\x53\x83\xEC\x18\x83\x3D\x20\x20\x48\x00\x02\x8B\x44\x24\x24" };
	// 开始反汇编.
	count = cs_disasm(handle,/*反汇编器句柄,从cs_open函数得到*/
		szOpcode,/*需要反汇编的opcode的缓冲区首地址*/
		sizeof(szOpcode), /*opcode的字节数*/
		0x401000, /*opcode的所在的内存地址*/
		0, /*需要反汇编的指令条数,如果是0,则反汇编出全部*/
		&pInsn/*反汇编输出*/
	);

	size_t j;
	for (j = 0; j < count; j++) {
		printf("0x%llx:%s %s\n",
			pInsn[j].address, /*指令地址*/
			pInsn[j].mnemonic,/*指令操作码*/
			pInsn[j].op_str/*指令操作数*/
		);
	}

	cs_free(pInsn, count);
	return 0;
}

汇编引擎:

汇编引擎包下基本都有x86和x64两个版本。

XEDParse

拷贝XEDParse文件夹到项目目录中。

//1. 包含头文件和静态库
#include "XEDParse/XEDParse.h"

#ifdef _WIN64
#pragma comment (lib,"XEDParse/x64/XEDParse_x64.lib")
#else
#pragma comment (lib,"XEDParse/x86/XEDParse_x86.lib")
#endif

汇编结构体和api:

XEDPARSE xed = { 0 };
XEDParseAssemble(&xed);

//XEDParse structs
#pragma pack(push,8)
struct XEDPARSE
{
    bool x64; // use 64-bit instructions
    ULONGLONG cip; //instruction pointer (for relative addressing)
    unsigned int dest_size; //destination size (returned by XEDParse)
    CBXEDPARSE_UNKNOWN cbUnknown; //unknown operand callback
    unsigned char dest[XEDPARSE_MAXASMSIZE]; //destination buffer
    char instr[XEDPARSE_MAXBUFSIZE]; //instruction text
    char error[XEDPARSE_MAXBUFSIZE]; //error text (in case of an error)
};
#pragma pack(pop)
  • bool x64; // 是否使用X64指令集
  • ULONGLONG cip; //汇编的起始地址值,你给的
  • unsigned int dest_size; //汇编结果指令字节数
  • unsigned char dest[XEDPARSE_MAXASMSIZE]; //opcode存放地址
  • char instr[XEDPARSE_MAXBUFSIZE]; //汇编语句
#include "stdafx.h"

#include "XEDParse/XEDParse.h"

#ifdef _WIN64
#pragma comment (lib,"XEDParse/x64/XEDParse_x64.lib")
#else
#pragma comment (lib,"XEDParse/x86/XEDParse_x86.lib")
#endif // _WIN64

void printOpcode(const unsigned char* pOpcode, int nSize)
{
	for (int i = 0; i < nSize; ++i) {
		printf("%02X ", pOpcode[i]);
	}
}

int _tmain(int argc, _TCHAR* argv[])
{
	XEDPARSE xed = { 0 };
	
	do {
		printf("地址 指令:");
		
		// 接受指令的地址和汇编指令
		scanf_s("%llx", &xed.cip);
		gets_s(xed.instr, XEDPARSE_MAXBUFSIZE);

		if (XEDPARSE_OK != XEDParseAssemble(&xed)) {
			printf("指令错误:%s\n", xed.error);
			continue;
		}
		printf("%08X : ", (UINT)xed.cip);
		printOpcode(xed.dest, xed.dest_size);
		printf("\n");
	} while (*xed.instr);
	return 0;
}



地址 指令:00401000 push ebp
00401000 : 55

keystone

拷贝keystone文件夹到项目目录中。

包含头文件和静态库:

#include "keystone/keystone.h"
#pragma comment (lib,"keystone/x86/keystone_x86.lib")

使用的结构体是空的,我们需要定义一个指针。

struct ks_struct;
typedef struct ks_struct ks_engine;

四个步骤:

  1. ks_open()
  2. ks_asm()
  3. ks_free()
  4. ks_close()
// 汇编引擎_keystone.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"

//1. 包含头文件
#include "keystone/keystone.h"

//2. 包含静态库
#ifdef _WIN64
#pragma comment (lib,"keystone/x64/keystone_x86.lib")
#else
#pragma comment (lib,"keystone/x86/keystone_x86.lib")
#endif // _WIN64



// 打印opcode
void printOpcode(const unsigned char* pOpcode, int nSize)
{
	for (int i = 0; i < nSize; ++i) {
		printf("%02X ", pOpcode[i]);
	}
}


int _tmain(int argc, _TCHAR* argv[])
{
	ks_engine *pengine = NULL;
	if (KS_ERR_OK != ks_open(KS_ARCH_X86, KS_MODE_32, &pengine)) {
		printf("反汇编引擎初始化失败\n");
		return 0;
	}

	unsigned char* opcode = NULL; // 汇编得到的opcode的缓冲区首地址
	unsigned int nOpcodeSize = 0; // 汇编出来的opcode的字节数

								  // 汇编指令
								  // 可以使用分号,或者换行符将指令分隔开
	char asmCode[] =
	{
		"mov eax,edx;mov eax,1;mov dword ptr ds:[eax],20"
	};

	int nRet = 0; // 保存函数的返回值,用于判断函数是否执行成功
	size_t stat_count = 0; // 保存成功汇编的指令的条数

	nRet = ks_asm(pengine, /* 汇编引擎句柄,通过ks_open函数得到*/
		asmCode, /*要转换的汇编指令*/
		0x401000, /*汇编指令所在的地址*/
		&opcode,/*输出的opcode*/
		&nOpcodeSize,/*输出的opcode的字节数*/
		&stat_count /*输出成功汇编的指令的条数*/
	);

	// 返回值等于-1时反汇编错误
	if (nRet == -1) {
		// 输出错误信息
		// ks_errno 获得错误码
		// ks_strerror 将错误码转换成字符串,并返回这个字符串
		printf("错误信息:%s\n", ks_strerror(ks_errno(pengine)));
		return 0;
	}

	printf("一共转换了%d条指令\n", stat_count);

	// 打印汇编出来的opcode
	printOpcode(opcode, nOpcodeSize);

	// 释放空间
	ks_free(opcode);
	// 关闭句柄
	ks_close(pengine);


	return 0;
}
CodeStarr
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
XEDParse_汇编引擎&middot;二改 By:美夜赤月-易语言
06-12
1.修复了size为0的错误 2.增加对多行汇编的支持
java2smali
08-31
Smali语言是基于Smali assembler的,它是一种人类可读的Dalvik虚拟机指令集的表示。通过Smali,我们可以逐行查看和修改Android应用的底层逻辑。这对于调试、安全分析、性能优化或破解有版权保护的应用来说非常有用。...
x86汇编实现一个注入器
不会写代码的丝丽
11-07 1617
解决Process32Next找不到的问题 Process32NextW函数位于kernel32.inc 和kernel32.dll中,但是在Masm32 r11中却没有这Process32NextA版本,因此你需要自行修正 修正方式: 修改kernel32.inc声明 源文件 Process32FirstW PROTO STDCALL :DWORD,:DWORD Process32NextW PROTO STDCALL :DWORD,:DWORD 修改后 Process32First PROTO S.
探索低级编程的利器:XEDParse
最新发布
gitblog_00072的博客
06-06 296
探索低级编程的利器:XEDParse 项目地址:https://gitcode.com/x64dbg/XEDParse 1、项目介绍 在深度操作系统和底层调试的世界里,高效解析汇编指令至关重要。XEDParse 是这样一个专为快速处理MASM风格明文指令并转化为XED(Intel's Extended Disassembly)格式设计的库。它旨在提供对汇编语言的便捷访问,特别是在诸如调试器等低级别...
伪任意地址HOOK类
sunflover454的专栏
10-10 5619
代码HOOK技术不管在安全领域还是在木马病毒方面都运用很广泛,因为他可以改变程序执行流程,悄无声息执行我们自己的代码。 之前我也用过一些hook类,如mhook等,但很多都局限于API HOOK,有的时候无法满足实际应用。也因此,我自己的hook类就诞生了。
Capstone反汇编(二)
小立仔
06-13 2191
Capstone反汇编的使用
10.5 认识XEDParse汇编引擎
CSDN
10-06 1万+
XEDParse 是一款开源的x86指令编码库,该库用于将MASM语法的汇编指令级转换为对等的机器码,并以XED格式输出,目前该库支持x86、x64平台下的汇编编码,XEDParse的特点是高效、准确、易于使用,它可以良好地处理各种类型的指令,从而更容易地确定一段程序的指令集。XEDParse库可以集成到许多不同的应用程序和工具中,因此被广泛应用于反汇编、逆向工程、漏洞分析和入侵检测等领域。
Inside.Microsoft.NET.IL.Assembler
04-16
Introduction ... Someone had to, and because I had been given the responsibility of designing and developing IL Assembler and ILDASM, it was my obligation to see it through all the way.
使用BizTalk Server 2013 R2进行集成的学习
04-04
BizTalk中的Flat File DisassemblerAssembler组件用于解析和构建这些文件。在实际应用中,确保正确的分隔符定义、字段长度和顺序是至关重要的,否则会导致数据解析错误。 2. **XSLT转换**:在BizTalk中,XSLT...
Inside Microsoft .NET IL Assembler
01-31
ILDASM,全称 Intermediate Language Disassembler,是.NET Framework自带的一个工具,用于将已编译的.NET程序集反汇编成IL代码。这个工具对于开发者来说极其重要,因为它允许查看和分析.NET程序的内部结构,包括...
Inside Microsoft .NET IL Assembler (Microsoft Press)
11-13
3. **C#和IL的交互**:解释了C#或其他.NET语言如何编译为IL,以及如何使用反编译工具(如ILDisassembler)查看IL代码,以增进对编译过程的理解。 4. **元数据和类型系统**:探讨了.NET框架的类型系统,包括类、接口...
XEDParse_汇编引擎&middot;二改 By:美夜赤月
06-02
1.修复了size为0的错误。 2.增加对多行汇编的支持。 欢迎大家完善这个引擎。 开源只为了更好的,独享不如共享!。 @821652228。
xedparse 汇编工具
09-24
汇编sdk XEDParse is a library to parse MASM-like plaintext instructions to the XED instruction format. The library is meant to have quick access to assembly in certain low-level programs (such as debuggers).
易语言-XEDParse_汇编引擎&middot;二改 By:美夜赤月
06-25
1.修复了size为0的错误 2.增加对多行汇编的支持 欢迎大家完善这个引擎。 开源只为了更好的,独享不如共享!
disasm_反汇编&mdash;&mdash;逆向
06-08
转,自己写的反汇编引擎&mdash;&mdash;intel编码学习报告
Capstone反汇编(一)
小立仔
06-12 5001
Capstone反汇编引擎的简介
驱动开发:内核实现进程汇编与反汇编
热门推荐
CSDN
05-23 1万+
简单介绍了如何通过MDL映射的方式实现进程读写操作,本章将通过如上案例实现远程进程反汇编功能,此类功能也是ARK工具中最常见的功能之一,通常此类功能的实现分为两部分,内核部分只负责读写字节集,应用层部分则配合反汇编引擎对字节集进行解码,此处我们将运用。Capstone旨在成为安全社区中二进制分析和反汇编的终极反汇编引擎,该引擎支持多种平台的反汇编,非常推荐使用。首先是实现驱动部分,驱动程序的实现是一成不变的,仅仅只是做一个读写功能即可,完整的代码如下所示;反汇编函数,该函数的解释如下所示;
可以用于学习汇编的软件
03-27
2. NASM(Netwide Assembler):一款跨平台的汇编语言编译器,支持多种操作系统,如 Windows、Linux、macOS 等。 3. TASM(Turbo Assembler):Borland 公司开发的一款汇编语言编译器,可生成 DOS 和 Windows 系统...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值