shellcode转换成汇编代码

方法1:提取ShellCode中的机器码---->把机器码粘贴到WinHEX并保存成exe文件---->用C32Asm反汇编---->得到反汇编码。

方法2:提取ShellCode中的机器码---->用OllyDBG随便打开一个exe程序---->把机器码直接二进制粘贴到OllyDBG---->得到反汇编码。

 

方法1:


1.我先写了个简单的Perl脚本,把里面的机器码提取出来,当然用其它语言或者手动提取也可以,比较快速的方法是先把ShellCode保存到记事本里,去掉前后的引号和多余代码,然后用查找替换把“\x”替换成空,再删除换行就可以了。

一次性提取代码如下(pick.pl):
# -w
while (<>)
{
    while(/(x)(\w{2})/)
    {
        $code .=$2;
        s/$1$2//;
    }
}
open(HEX,">HEX.TXT") or die("error:$!");
print HEX $code;

在命令行运行
perl pick.pl ShellCode.cpp
就会把ShellCode里面的机器码提取到HEX.TXT文本文件中。


2.打开HEX.TXT,可以算出我这的机器码有222字节。然后复制所有机器码。
打开WinHEX,点新建,文件大小这里填150字节,只要大于机器码字节数的一半就行了。
然后点粘贴,选择剪贴板格式那选择“ASCII Hex”,确定就可以把机器码粘贴到WinHEX。
再把它保存成EXE文件,比如ShellCode.exe。


3.用C32Asm打开刚才保存的exe文件,点右键-->到对应汇编模式编辑,就可以看到汇编代码了。


现在机器码已经变成了汇编代码,就很容易看懂了。
我们可以在C32Asm里面对ShellCode进行修改,修改完只要记住变化了的机器码,然后在ShellCode.cpp里面改对应的机器码就行了。

方法2:

其实完全可以复制上面提取到的机器码,然后用OllyDBG随便打开一个exe程序,选择一块区域,直接右键-二进制-二进制粘贴,就可以看到ShellCode的反汇编代码了。而且这样更加简单。

我现在一般都是先用记事本替换提取机器码然后直接粘贴到OllyDBG里面查看的。

如下图:红色部分就是粘贴进去的机器码的反汇编代码。

方法2:

其实完全可以复制上面提取到的机器码,然后用OllyDBG随便打开一个exe程序,选择一块区域,直接右键-二进制-二进制粘贴,就可以看到ShellCode的反汇编代码了。而且这样更加简单。

 

 

 

  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Shellcode Helper v1.62 Coded by TeLeMan (c) 2008-2013 Usage: schelper.exe [options] Options: -i [input file] input file (Default: stdin) -o [output file] output file (Default: stdout) -s input file format (Default: Auto-Detection) -sb input file format is Binary -sp the input file format's parameters -d output file format (Default: C format) -db output file format is Binary -dp the output file format's parameters -search get the start offset by the pattern: e.g. PK\x03\x04 -soff fix the match offset after searching (Default: 0) -off convert the input file from the offset (Default: 0) -len convert the input file with the length (Default: 0 - MAX) -en [encoder] encode shellcode (Default: XorDword) -de [encoder] decode shellcode (Default: Auto-Detection) -ex exclude characters: e.g. 0x00,0x01-0x1F,0xFF (Default: 0x00) -in incude characters only -ep the encoder's parameters -t [pid] execute or inject shellcode into process for testing -td [pid] execute or inject shellcode into process for debugging -stack put shellcode into stack and execute it (ESP is the shellcode start) -noinfo display no normal messages except error messages Available formats: 0 - C 1 - C(HexArray) 2 - Perl 3 - Python 4 - Ruby 5 - JavaScript(Escape) 6 - VBScript(Escape) 7 - Pascal 8 - MASM(Data) 9 - HexDump 10 - BitString 11 - HexString 12 - HexArray(C like) 13 - Base64 14 - Binary 15 - HexString(C like) 16 - HexString(Escape) 17 - HexString(JavaScript,UNICODE) 18 - URI(ISO-8859-1) 19 - XML(PCDATA) 20 - BigNumber 21 - BigNumber(Hex) 22 - BigNumber(BaseX) 23 - FloatPoint 24 - UnixTimestamp 25 - GUID 26 - MASM(ASM) 27 - NASM 28 - YASM(ASM) 29 - FASM(ASM) 30 - JWASM(ASM) 31 - POASM(ASM) 32 - GOASM(ASM) 33 - GNU ASM Available encoders:
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值