反汇编二进制代码

最新推荐文章于 2022-10-10 17:06:05 发布
最新推荐文章于 2022-10-10 17:06:05 发布
阅读量2.1k 收藏 2
点赞数
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/faxiang1230/article/details/106284749
版权

最近又做了一些内核hook的工作,繁琐的地方在于二进制指令的可读性上,下面简要记录dump出指令二进制,之后利用binutils来转成可读的汇编代码.

hook的主要流程参考之前的linux内核态hook模块-splice,主要就是构建一个trampoline的代码区域,主要的工作就是操作堆栈,返回地址,还有修复跳转地址.

不聊这么复杂的东西,回归主题,dump指令很简单,将指令按照16进制打印出来,4个字节一组

void dump(void *buf, int len) {
    int i = 0;
    int *buffer = buf;
    for (; i < len; i++) {
             printk("%08x ", buffer[i]);
    }
    printk("\n");
}

之后dump出来的是assic字符串,类似于下面的东西:

3c02c147 67bdffb0 64427178 eba50124 eba700e6 eba900a8 ebab006a ffbf0008 0040f809 00000000 dfbf0008 cba50124 cba700e6 cba900a8 cbab006a 67bd0050 10400003 00000000 03e00008 00000000 3c1880a3 6718a358 10a00015 00000000 67bdfff0 00804825 03000008 00000000 00000000 00000000 00000000 00000000 004c5559 00000000 00000020 02000000 002f88ce 00000000 004c5565 00000000 00000020 02000000 002fa19c 00000000 004c5571 00000000 00000020 02000000 002eff2b 00000000 004c557d 00000000 00000020 02000000 002f6de8 00000000 004c5589 00000000 00000020 02000000 002f2b24 00000000 004c5595 00000000

之后需要将这些字符换重新转换成binary格式的,和打印的格式是相互约定好的,之后将assic格式的指令重新翻译成纯数据类型的的.

#define MYFILE	"ins.txt"
#define OBJFILE	"ins.obj"
int main(int argc, char **argv)
{
	char buf[9] = {0};
	int ret, ins;
	FILE *fp = fopen(MYFILE, "r");
	FILE *fp2 = fopen(OBJFILE, "w+");
	if (!fp||!fp2) {dprintf(2, "can't open %s", MYFILE); exit(-1);}

	while(fread(buf, sizeof(buf), 1, fp) > 0) {
		buf[8] = 0;
		ins = strtol(buf, NULL, 16);
		fwrite(&ins, sizeof(ins), 1, fp2);
	}

	fclose(fp);
	fclose(fp2);
	exit(0);
}

现在可以着手翻译了,但是objdump反汇编的对象一般是有格式的文件,通常是elf家族的,我们这里也取个巧,将指令加到现有elf的段中,之后使用objdump -D选项反编译所有的数据.

objcopy --add-section myins=ins.obj a.out
objcopy --update-section myins=ins.obj a.out
objdump -D a.out > 1

到这里我们就可以需要查看myins section的指令对应的汇编格式了.

Disassembly of section myins:

0000000000000000 <myins>:
   0:   3c02c147    lui v0,0xc147
   4:   67bdffb0    daddiu  sp,sp,-80
   8:   64427178    daddiu  v0,v0,29048
   c:   eba50124    gssq    a0,a1,64(sp)
  10:   eba700e6    gssq    a2,a3,48(sp)
  14:   eba900a8    gssq    a4,a5,32(sp)
  18:   ebab006a    gssq    a6,a7,16(sp)
...

上面不牵扯到任何的原理,纯粹是个小工具来帮助分析我们手工修改的指令内容.

应用层的指令翻译就很好整了,基本都只是gdb,直接attach上disassemble完事,只有内核这么复杂的东西才需要来回捯饬.

如有哪位大侠有更简便的方法,望不吝赐教.

Frank-Wang
关注
专栏目录
反汇编工具IDA使用详解(使用IDA查看二进制文件的汇编代码以及使用IDA分析崩溃问题实例分享)
dvlinker的技术专栏
10-07 5万+
本文详细介绍一下IDA反汇编工具,介绍如何使用IDA反汇编工具查看二进制文件的汇编代码,并分享一个使用IDA排查程序崩溃的实例。
C32Asm(反汇编和读写二进制文件工具).rar
08-27
C32Asm(反汇编和读写二进制文件工具).rar
apkide3.3.5少月增强版或其他反编译工具_reko 通用反编译工具
weixin_39540315的博客
11-30 667
Reko是一个C#项目,包含机器码二进制文件的反编译器。该项目可在GNU通用公共许可证下免费获得。该项目包括前端,核心反编译器引擎和后端,以帮助它实现其目标。在撰写本文时,存在命令行,Windows GUI和ASP.NET前端。反编译器引擎以单个可执行文件或反编译器项目文件的形式从前端接收输入。Reko项目文件包含有关二进制文件的其他信息,有助于反编译过程或格式化输出。然后,反编译器引擎...
linux二进制反编译,Xori:一款来自BlackHat 2018的二进制反汇编和静态分析工具
weixin_33758343的博客
05-09 571
Xori是一个自动化的反汇编和静态分析库,它使用shellcode或PE二进制文件并提供分类分析数据。体系结构:I386 X86-64文件格式PE,PE + 普通的shellcode目前的特点1.输出json格式结果2.反汇编函数3.支持导入。管理图像和堆栈内存。Light仿真 - 用于枚举所有路径(寄存器,堆栈,某些指令)。完全仿真 - 仅遵循代码的路径(性能缓慢)。模拟TEB和PEB结构。评估...
python打包的二进制文件反编译
Hk_Mayfly的博客
07-06 2854
简介 Pyhton是一个脚本语言,在运行Python代码时,最终由Python解释器来执行。解释器就是Python的运行环境,但是除了开发人员,大部分人在使用时并不会安装Python。所以官方就提供了一些打包程序,将代码与解释环境打包到二进制文件中,方便在各种操作系统中运行。 下面为一些文件格式: .py: Python代码文件。对于一些开源项目,发布方也许会直接提供源码,但是使用时需...
dex(二进制文件反汇编——baksmali、dedexer
lemisky的博客
10-23 1223
baksmali的使用:java -jar baksmali.jar -o baksmali_out smali.dex //生成smali.smali文件 .class public Lsmali; .super Ljava/lang/Object; .source "smali.java" # direct methods .method public constructor <init>()V
反汇编代码分析
fillthesky的博客
08-08 1159
1.这里直接给出反汇编代码,对应的汇编代码见 【OK6410裸机程序】点亮LED arm-linux-objdump -D -S led.elf  > led.dis -D ,--disassemlbe-all  Display assembler contents of all sections -S, --source Intermix source code with disassem
反汇编
bilibili的博客
09-24 1957
第七部分 立即数      立即数是Intel指令的中操作对象的一种(加上寄存器、内存共三种)。作为指令的一部分,立即数必须是直接可用的数字,这是立即数跟其他两种操作对象的主要区别(寄存器操作对象,CPU需要首先定位到寄存器,然后再读或写该寄存器中的对象。CPU指令的执行过程可粗分为:取指令,指令解码,取操作对象, ALU运算,存结果,取下一条指令……,立即数跟其他两种操作对象的区别体现在“取操
hh.rar_二进制代码_汇编语言二
09-24
在IT领域,汇编语言和二进制代码是计算机编程中的基本概念,它们与计算机硬件直接交互,提供了底层控制的能力。下面将详细解释这两个主题,以及它们之间的转换关系。 汇编语言是计算机程序设计的一种低级语言,它...
AsmToE 汇编二进制转换器.zip
最新发布
08-19
反汇编器是软件逆向工程的重要工具,它解析二进制代码,将其转换为人类可读的汇编语言,便于软件开发者、安全研究人员和逆向工程师进行代码分析。AsmToE.exe作为主要的执行文件,负责实现这个转换过程。 在AsmToE的...
Java *.class *.jar 二进制反编译工具
09-20
Java编译后的二进制文件 *.class *.jar 反编译工具 7z压缩
rewasm:WebAssembly二进制文件反编译器
05-03
回复:Wasm rewasm是WebAssembly二进制文件的反编译器。 它可以反编译MVP版本1中的所有WASM二进制文件,但是它仍在开发中,因此某些功能(如正确的类型恢复)仍然丢失,并且某些二进制文件仍然产生非常不可读的输出。 要求 运行rewasm需要 (版本4.8.6或4.8.7应该起作用)。 安装 您可以找到适用于64位Linux的预构建二进制文件。 从源头建造 从源代码构建或安装rewasm需要有效的(可能至少是1.37.0版)。 要构建和安装rewasm (这会将二进制文件放入~/.cargo/bin ,该文件应该在$PATH ): $ git clone https://github.com/benediktwerner/rewasm $ cargo install --path rewasm $ rewasm --version 要rewasm源代码构建rewas
Bin反编译工具
11-13
三款强大Bin反编译工具: unbin.exe 237K c51fby.exe 256K Bin2C.exe 22K
5-30汇编测试答案及分析
weixin_45523086的博客
05-30 2540
简介:本文是博主汇编测试的试题及答案分析,属个人理解,如有错误,欢迎指教 1:执行指令ADD %eax,%edx,其中%eax为0x0a517c44,%edx为0x0839317c,%edx结果为______(以十六进制小写格式表示例0xffffffff)。 正确答案:0x128aadc0 2:执行以下指令,最终%eax的结果为______(以十六进制格式小写表示例0xffffffff)。 movl $0xcc514c7d,%edx #1100(c)负数 movl $0x60fd5750,%eax #0
二进制反汇编工具 retdec(Windows)
桃子小迷妹
10-10 3909
二进制反汇编工具 retdec(Windows)
[反汇编]反汇编一个目录下的所有二进制文件
weixin_30740295的博客
11-29 176
#!/usr/bin/python #coding:utf-8 import os import sys def get_files(): files = os.listdir(os.getcwd()) #获取当前目录下的文件 for index in range(len(files)-1,-1,-1): if files[index]...
汇编解析(6)-二进制文件(嵌入式,纯二进制格式的文件)进行反汇编和汇编
The research on computer technolog
03-13 811
二进制文件(嵌入式,纯二进制格式的文件) 除了nasm可以汇编,使用gas也可以的 (base) [myhaspl@localhost gasm]$ cat test3.asm .global _start .code16 .text _start: mov $80,%eax add $60,%eax hlt 下面是生成与OS平台有关的 其中,objdump查看反汇编后的代码 (base) [myhaspl@localhost gasm]$ as test3.asm -o te
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值