Disasm 示例程序改写和适配

最新推荐文章于 2024-04-25 10:03:06 发布
最新推荐文章于 2024-04-25 10:03:06 发布
阅读量312 收藏
点赞数 1
分类专栏: ASM 文章标签: mfc c++ 汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Pengcode/article/details/134582963
版权
文章讲述了如何将《C++反汇编与逆向分析技术揭秘》一书中介绍的反汇编程序进行改写,以便在VS2019和GCC环境中编译,包括了公用函数、宏定义和适配cmake的步骤。
摘要由CSDN通过智能技术生成

Disasm 示例程序改写和适配

简介

用途

可用于反汇编x86的二进制汇编文件,展示出来内部的反汇编原理和流程。

原由

最近在看<<C++ 反汇编与逆向分析技术揭秘>>这本书籍,在第一张的简介中我们可以看到ProViem这个反汇编开源工具的内容,内部介绍了反汇编的基本原理,我们可以看到详细的开源代码。

但是从网址下载后的代码无法直接使用VS2019或者是GNUC工具进行编译构建。主要原因是如下所示:

无法直接构建运行的原因:

  • 汇编函数需要用C改写

    • 代码中存在__asm关键字,该关键字只能在VS2013前的编译器上编译和识别
    • gnuc的gcc/g++是支持asm内建汇编编译的,但是和__asm{}的形式不兼容,需要改写代码。
    • 因此为了兼容性,最好是用汇编代码去取代汇编代码部分

  • 主函数逻辑存在问题,需要改写

  • 本书的随书文件下载网址

改写和适配工具

使用的编译工具

  • cmake
  • cygwin64(也可用mingw64代替)
    • make
    • gcc
    • g++
  • windows平台

汇编代码改写

公用函数和宏定义
#ifdef __GNUC__
// #define _asm __asm__ __volatile__()
#define uint16 unsigned short
#define uint32 unsigned int
#define BigtoLittle16(A) ((((uint16)(A) & 0xff00) >> 8) | (((uint16)(A) & 0x00ff) << 8))
#define BigtoLittle32(A) ((((uint32)(A) & 0xff000000) >> 24) | (((uint32)(A) & 0x00ff0000) >> 8) | \
             (((uint32)(A) & 0x0000ff00) << 8) | (((uint32)(A) & 0x000000ff) << 24))

#define LittletoBig16(A) BigtoLittle16(A)
#define LittletoBig32(A) BigtoLittle32(A)
#endif
SwapDword函数
  • 作用:从汇编代码来看,就是进行双字在小端/大端序之间的转换
void SwapDword(BYTE *MemPtr,
               DWORD *Original,
               DWORD *Mirrored)
{
    DWORD   OriginalDword;
    DWORD   MirroredDword;
#ifdef __GNUC__
    MirroredDword = *((DWORD*)MemPtr);
    OriginalDword = LittletoBig32(MirroredDword);
#else
    _asm
    {
        pushad
        mov edi,MemPtr         
        mov eax,dword ptr[edi] // 从MemPtr处获取4个字节,小端存储
        mov MirroredDword,eax  // 15141312
        bswap eax              // 镜像bytes
        mov OriginalDword,eax  // 12131415 
        popad
    }
#endif
    *Original = OriginalDword;
    *Mirrored = MirroredDword;
    return;
}
SwapWord函数
  • 作用:从汇编代码来看,就是进行字在小端/大端序之间的转换
void SwapWord(BYTE *MemPtr,
              WORD *Original,
              WORD *Mirrored)
{
    WORD    OriginalWord;
    WORD    MirroredWord;
#ifdef __GNUC__
    MirroredWord = *((WORD*)MemPtr);
    OriginalWord = LittletoBig16(MirroredWord);
#else
    _asm
    {
        pushad
        xor eax,eax
        mov edi,MemPtr
        mov ax,word ptr[edi]
        mov MirroredWord,ax  // 1312
        bswap eax
        shr eax,16
        mov OriginalWord,ax  // 1213 
        popad
    }
#endif

    *Original = OriginalWord;
    *Mirrored = MirroredWord;
}
StringToWord函数
  • 作用:从汇编代码来看,就是把ascii形式的16进制的hex字符串变成单字的hex二进制数字
WORD StringToWord(char *Text)
{
    /*
    this function will convert and return
    an Hexadecimel String into a real
    WORD hex number using assembly directive.
       */
#ifndef __GNUC__
    DWORD   AsmDwordNum = (DWORD) Text;
#endif
    WORD    DwordNum    = 0;
#ifdef __GNUC__
    DWORD edi = 4;
    for (DWORD i = 0; i < edi; i++){
        char one = Text[i];
        char number = 0;
        if (one >= 0x30){
            if ( one <= 0x39){
                // 0~9
                number = one - 0x30;
            }else{
                number = one - 0x37;
            }
        }else{
            number = one;
        }
        DwordNum += number;
        if (i < edi - 1){
            DwordNum = (DwordNum << 4);
        }
    }
#else
    _asm
    {
        PUSHAD
        PUSHF
        XOR ECX,ECX
        XOR EAX,EAX
        XOR EDI,EDI
        MOV EDI,4H
        MOV ESI,AsmDwordNum
        _start:
        MOV CL,[ESI]
        CMP CL,30H
        JL _lower
        CMP CL,39H
        JG _upper
        SUB CL,30H
        JMP _jmp1
        _upper:
        SUB CL,37H
        JMP _jmp1
        _lower:
        _jmp1:
        ADD EAX,ECX
        CMP EDI,1
        JZ _out
        SHL EAX,4H
        _out:
        INC ESI
        DEC EDI
        JNZ _start
        MOV DwordNum,AX
        POPF
        POPAD
    }
#endif
    return DwordNum;
}
StringToDword函数

  • 作用:从汇编代码来看,就是把ascii形式的16进制的hex字符串变成双字的hex二进制数字

  • 代码同StringToWord函数差不多,唯一区别就是"DWORD edi = 8;"

main函数
// Disasm_Push.cpp : Defines the entry point for the console application.
//

#include "stdafx.h"
#include <string.h>
#include "Decode2Asm.h"

int main()
{
	// 假设此字符数组为机器指令编码
	unsigned char szAsmData[] = {
		0x6A, 0x00,					// PUSH 00
		0x68,0x00,0x30,0x40,0x00,	// PUSH 00403000
		0x50,						// PUSH EAX
		0x51,						// PUSH ECX
		0x52,						// PUSH EDX
		0x53						// PUSH EBX
	};

	char szCode[256] = {0};			// 存放汇编指令信息
	unsigned int nIndex = 0;		// 每条机器指令长度,用于地址偏移
	unsigned int nLen = 0;			// 分析数据总长度
	unsigned char *pCode = szAsmData;		

	nLen = sizeof(szAsmData);
	while (nLen)
	{	
		if (nLen <= (unsigned int)(pCode - szAsmData)) // 跳出逻辑修改,之前会死循环
		{
			break;
		}
		int nAddr = 0 ;
		// 解析机器码
		Decode2Asm(pCode, szCode, &nIndex, 0);
		// 修改pCode偏移
		pCode +=  nIndex; // 跳出逻辑修改,之前会死循环
		// 显示汇编指令
		puts(szCode);
		memset(szCode, 0, sizeof(szCode));
	}
	return 0;

}

适配cmake和编译工程

cmakelist.txt编写

cmake_minimum_required(VERSION 3.4.1)
project("disasm_exe")

set(CMAKE_VERBOSE_MAKEFILE ON)
set(CMAKE_INCLUDE_CURRENT_DIR ON)
set(MY_BIN_FILE_NAE "disasm_exe")
set(SRC "${CMAKE_SOURCE_DIR}/source")

string(REPLACE "-Os" "-O3" CMAKE_CXX_FLAGS_RELEASE ${CMAKE_CXX_FLAGS_RELEASE})
set(CMAKE_CXX_FLAGS "${CMAKE_CXX_FLAGS} -std=c++11 -pthread -g") #-Wnon-virtual-dtor 检查虚析构函数

set(CMAKE_SHARED_LINKER_FLAGS "${CMAKE_EXE_LINKER_FLAGS} -lm -Wextra -flto -fuse-ld=gold")


include_directories(${CMAKE_SOURCE_DIR}/include)


include_directories(${SRC})


aux_source_directory(${SRC} SRC_LIST)

ADD_EXECUTABLE(${MY_BIN_FILE_NAE}
			${SRC_LIST}
			)

target_link_libraries(${MY_BIN_FILE_NAE}
        ${dl-lib}
        )
windows上使用cmake调用gcc/g++工具编译
rd /s /q build
mkdir build
cd build
cmake .. -G "Unix Makefiles" -D CMAKE_CXX_COMPILER=D:/Program/cygwin64/bin/g++.exe -D CMAKE_C_COMPILER=D:/Program/cygwin64/bin/gcc.exe -D CMAKE_MAKE_PROGRAM=D:/Program/cygwin64/bin/make.exe
make -j32

整个工程下载

慷仔
关注
专栏目录
disasm_反汇编——逆向
06-08
转,自己写的反汇编引擎——intel编码学习报告
命令行工具disasm汇编由命令行参数给出的起始地址和字节序列内容
09-24
命令行工具disasm汇编由命令行参数给出的起始地址和字节序列内容。
OD Disasm.dll 实现反汇编器和汇编
weixin_33804582的博客
06-13 530
在网络上找了好久的 反汇编器和汇编器,终于在 http://www.ollydbg.de/ 发现了原代码, 但它又上Borland C++编译的, 不爽啊, 又下了一下Borland C++,兄弟俺又没有用过BC 没法子,网络上找. 好不容易编译了一个Dll出来, 测试OK! 以下给出测试代码: 1.一个.h文件 2.测试代码 3.disasm.dl...
OllyDBG反汇编引擎:ODDisasm 使用(中文翻译)
02-11
这个文档时关于Ollydbg反汇编引擎的使用的, 很不错, 我在网上找了很久了, 一直好像都没有看到太多这方面的资料, 最后在看雪的外文翻译区看到有大牛翻译的文档, 我大喜. 看了感觉不错了..哥们下载了给个评论, 我上传不容易
disasm:Oleh Yuschuk(Olly,OllyDbg 的创建者)用 C 语言编写的反汇编程序,我修复了 makefile 以使用 Embarcadero 提供的 BCC55 免费命令行工具运行
05-31
解散 来自 Oleh Yuschuk(Olly,OllyDbg 的创建者)的 disasm,修复为使用 Embarcadero 提供的 BCC55 免费命令行工具运行。
Python中capstone实现反汇编可执行文件
weixin_61967363的博客
04-22 795
Python中capstone模块对可执行文件进行反汇编详细讲解
disasm6502-6502反汇编程序,带有一个工作示例-Rust开发
05-27
disasm6502提供了反汇编6502二进制代码功能的板条箱。 支持禁止指令的解码,...说明文件的用法#Cargo.toml [dependencies] disasm6502 =“ 0.2”示例箱diasm6502; fn main(){让字节= vec![0x05、0x0B,0x6C,0x0
disasm8086:用Python编写的8086指令集反汇编程序和相关脚本
04-04
"disasm8086"项目就是一个基于Python实现的8086指令集反汇编程序,它提供了一种高效、灵活的方式来解析和理解8086汇编代码。 首先,让我们深入探讨8086指令集。8086指令集包含了大量的操作码,这些操作码对应着不同...
test-disasm-arm.rar_disasm
09-24
在IT行业中,反汇编Disassembly)是将机器可执行代码转换成汇编语言的过程,这对于我们理解和分析二进制程序的内部工作原理至关重要。本文将深入探讨"test-disasm-arm.rar_disasm"这个主题,它涉及到在Linux环境下...
伟福环境下反汇编demo1.zip_Disassemble_pic DisAsm _伟福_伟福反汇编_反汇编
09-24
综上所述,这个压缩包提供了一个学习和实践如何在WinHex的伟福环境下使用反汇编工具DisAsm的具体示例,特别是针对PIC微控制器的代码。通过阅读www.pudn.com.txt文件,我们可以了解操作过程和相关知识,而DISASM1文件...
探索BDDisasm:强大的二进制反汇编器与分析工具
最新发布
gitblog_00018的博客
04-25 316
探索BDDisasm:强大的二进制反汇编器与分析工具 bddisasmbddisasm is a fast, lightweight, x86/x64 instruction decoder. The project also features a fast, basic, x86/x64 instruction emulator, designed specifically to detec...
程序底层查看工具之dumpbin
墨篙和小奶猫
10-12 2674
说惯了面向硬件的操作系统,也应该说说操作系统的主要使用对象–用户程序。要深入理解程序的运作过程,则需要了解编译原理、链接、装载和运行库等知识。一般都是IDE封装了这些过程,一个简单的Shift+F5指令封装了“预编译+编译+汇编+链接+装载”全过程,而要想分割独立地控制或挖掘这些子过程,则不得不借助一些工具,如预编译编译程序cl、汇编器as、链接器link、查看工具dumpbin(针对Windows
实现反汇编
awzzz的专栏
12-14 2861
实现反汇编第一次写这样的文章,由于用过的汇编指令有限,对有的Intel IA汇编指令的理解并不是很透彻,所以在下的文章和程序中如果有不正确的理解和BUG,敬请指出。下面的反汇编是按照Intel x86的体系结构来实现的,实现的是绝大部分的单字节指令的翻译,对于二字节指令和一些MMX,SSE,SSE2指令没有实现,不过可以在现有程序框架中进行扩充。文章和程序的参考资料有:1、Intel的IA-32 
计算机系统揭秘:反汇编代码的奥秘
m0_72410588的博客
08-10 246
汇编代码是计算机系统中一个重要且神秘的部分。通过转换机器语言指令为可读的汇编语言指令,我们可以深入了解程序的执行过程、排除错误、进行调试和优化代码。反汇编工具和技术可以帮助我们实现这一目标。尽管反汇编代码可能对初学者来说有些晦涩难懂,但随着深入的学习和实践,你将逐渐掌握这个有趣的领域。
【原创】为你的驱动挂上外挂 - 嵌入反汇编引擎
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-09 3353
标 题: 【原创】为你的驱动挂上外挂 - 嵌入反汇编引擎 作 者: thisIs 时 间: 2011-09-25,22:11:03 链 接: http://bbs.pediy.com/showthread.php?t=140587 首先来看两段IDA中的代码 上面的图是win xp下 NtOpenProcess 中的代码片段 下面的图是win 7下 PsOp
GDB disassemble
热门推荐
rznice的专栏
08-25 1万+
在GDB环境下可以通过如下设置让汇编语言按照inter格式或者是AT&amp;T的格式显示 set disassembly-flavor intel 转换为intel格式的汇编 set disassembly-flavor att 转换为AT&amp;T格式的汇编 也可以把这个配置到文件里面: sudo echo “set disassembly-flavor intel”&gt; ~/...
CUDA 编程 之 二进制工具与反编译
This is Chuanqiz's Blog
03-15 7505
1.Overview1.1什么是CUDA二进制文件cuda 二进制文件 (.cubin .elf)是一种 ELF格式的文件,其中包含可执行代码部分,还包含了一些 符号、relocator、debug 信息等其他内容。默认情况下,CUDA编译器 nvcc 可以讲cubin 文件,嵌入到 host 的可执行文件中。也可以 使用 nvcc -cubin 来编译直接得到 x.cubin 文件。注意: 更多细
在 RISC-V 架构中, Keystone Enclave在程序中设置安全参数,执行加密和解密操作,示例代码说明
09-10
Keystone Enclave是一个基于RISC-V架构的信任执行环境(TEE),它可以在程序中设置安全参数,执行加密和解密操作。示例代码可能包括设置秘钥、加密数据、解密数据等操作。具体实现可能因使用的库和语言而异。 ###...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值