windows内核开发:如何使用反汇编引擎

已于 2024-05-04 17:19:55 修改
阅读量494 收藏 10
点赞数 5
分类专栏: 总结 文章标签: 网络安全 windows BeaEngine
于 2024-05-04 17:18:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41252520/article/details/138444877
版权

前言

最近在写个人项目中需要在内核模式下使用到反汇编引擎,找到几个并使用对比后我强烈推荐一款名叫BeaEngine的反汇编引擎。这是它的项目仓库链接:https://github.com/BeaEngine/beaengine

编译

项目下载下来后需要使用CMake编译,在此之前确保你的Visual studio*已安装支持CMake编译。我使用的是Visual Studio2019。操作流程:

  1. 打开VS2019,选择菜单中的文件,下拉框中选择CMake。此时会弹出打开文件对话框,选择并打开你下载保存的BeaEngine项目中的CMakeLists.txt文件。
  2. 默认的CMake配置只有x64,我们可以新增x32的编译选项。选择配置里的“+”号3. 在这里插入图片描述
  3. 选择x86-debug
    在这里插入图片描述
  4. 并分别对这两个配置进行一些参数的修改。选择其中一个配置,例如x64-Debug。我们修改为使用vs2019编译
    在这里插入图片描述另一个x86-Debug配置则修改为
    在这里插入图片描述
  5. 分别编译生成vs项目
    在这里插入图片描述
  6. 使用vs2019打开生成的项目文件,在项目属性-》C/C++ -》高级-》调用约定改为 _stdcall,然后再预处理器-》预处理器定义里面添加 _NO_CRT_STDIO_INLINE
  7. 项目属性-》链接器-》命令行中添加 /kernel
  8. 生成BeaEngine_s_d_l项目,即可得到对应架构的BeaEngine_s_d_l.lib

在项目中使用BeaEngine

  1. 属性-》VC++目录 -》包含目录中添加BeaEngine项目中BeaEngine.h的位置。
  2. 属性-》VC++目录 -》库目录中添加BeaEngine项目中对应架构的BeaEngine_s_d_l.lib的位置
  3. 属性-》C/C++ -》预处理器-》预处理器定于中添加BEA_ENGINE_STATICBEA_USE_STDCALL
  4. 属性-》链接器-》附加依赖项中添加BeaEngine_s_d_l.lib

然后就可以正常编码了,以下是使用示例。

VOID DecodeIns(PVOID Address,ULONG Size)
{
	DISASM disAsm = { 0 };
	disAsm.EIP = (UIntPtr)Address;
	disAsm.VirtualAddr = (UIntPtr)Address;
	PUCHAR pEnd = (PUCHAR)(disAsm.EIP + Size);
	LONG len;

	while (disAsm.Error >= 0)
	{
		disAsm.SecurityBlock = (UIntPtr)pEnd - disAsm.EIP;
		if ((Int32)disAsm.SecurityBlock <= 0) break;

		len = Disasm(&disAsm);

		switch (disAsm.Error)
		{
		case OUT_OF_BLOCK:
			break;
		case UNKNOWN_OPCODE:
			disAsm.EIP += 1;
			disAsm.VirtualAddr += 1;
			break;
		default:
		{
			disAsm.EIP += len;
			disAsm.VirtualAddr += len;
			break;
		}
		}
	}
}
飞鸿踏雪(蓝屏选手)
关注
  • 5
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
驱动开发内核实现进程汇编与反汇编
05-28 488
简单介绍了如何通过MDL映射的方式实现进程读写操作,本章将通过如上案例实现远程进程反汇编功能,此类功能也是ARK工具中最常见的功能之一,通常此类功能的实现分为两部分,内核部分只负责读写字节集,应用层部分则配合反汇编引擎对字节集进行解码,此处我们将运用。Capstone旨在成为安全社区中二进制分析和反汇编的终极反汇编引擎,该引擎支持多种平台的反汇编,非常推荐使用。首先是实现驱动部分,驱动程序的实现是一成不变的,仅仅只是做一个读写功能即可,完整的代码如下所示;反汇编函数,该函数的解释如下所示;
Linux内核分析一:反汇编一个简单的C程序
you_and_007的专栏
02-28 1673
本博客属于《Linux内核分析》MOOC课程http://mooc.study.163.com/course/USTC-1000029000,课程作业。刘洋原创作品,转载请注明出处。  通过分析一个c代码的汇编语言,了解计算机执行代码的过程,废话不多说,登录实验楼Linux虚拟机,打开终端,输入命令vi main.c创建一个c源文件,输入i切换到插入模式,然后敲入如下代码: 输入完成后,按
反汇编引擎
04-25
反汇编引擎反汇编引擎反汇编引擎反汇编引擎反汇编引擎
linux内核反汇编文件
05-17
使用objdump指令反汇编出的linux文件,方便学习linux启动流程分析,本内核在实际产品中应用,已经量产,可使用nodepad++打开查看,也可以用文本编辑器查看
内核反汇编技术
eaglenet的专栏
02-24 1576
内核反汇编技术===============================                                   Усыпляющее шептание алых просторов                                   Сон зовет меня и мои мечты освобождены                    
内核反汇编
CraboYang的博客
01-23 4390
objdump 参数介绍 -d: 将代码段反汇编 -S: 将代码段反汇编的同时,将反汇编代码和源代码交替显示,源码编译时需要加-g参数,即需要调试信息 -C: 将C++符号名逆向解析 -l: 反汇编代码中插入源代码的文件名和行号 -j section: 仅反编译所指定的section,可以有多个-j参数来选择多个section 具体用法示例如下: >>objdump -dS hel
反汇编引擎diStorm3
weixin_34291004的博客
06-09 223
2019独角兽企业重金招聘Python工程师标准>>> ...
内核异常反汇编
shipinsky的博客
04-14 463
内核异常调用打印异常调用栈和反汇编。 找到异常语句的方法 1内核加-g选项重新编译 Makefile KBUILD_CFLAGS += -g 2 gzip -d vmlinux.gz 3 addr2line -e vmlinux XXXXXXXX //为出现异常的指令地址 回车之后显示 YYYY.c:ZZZ line 就是异常发生的C语句...
基于32位Intel CPU的反汇编引擎设计与实现.pdf
09-24
【标题】:基于32位Intel CPU的反汇编引擎设计与实现 【描述】:本文探讨了如何设计和实现一个针对32位Intel处理器的反汇编引擎,旨在支持程序优化、数据解密、软件汉化等领域的应用。通过研究Intel IA-32机器指令与...
linux内核分析1--反汇编分析
Watson2016的博客
05-19 1234
“Linux内核分析”实验报告 通过反汇编一个简单的C程序,分析汇编代码理解计算机是如何工作的 原c语言代码如下: int g(int x) { return x + 15; } int f(int x) { return g(x); } int main(void) { return f(10) + 1; } 将main.c文件编译成汇编文件:
BeaEngine反汇编引擎
06-06
BeaEngine是一款开源的反汇编引擎。最新版是5.0,但我仍然使用目前稳定版4.1.175。这个版本我还做了一些修改,以及修复BUG。因为它反汇编成NASM仍然存在一个BUG,。就是:置入代码 ({57,0})。这句代码反汇编后变成:cmp  [eax],eax。如果不加上 dword 再使用NASM编译是不通过的,。目前最新版5.0也存在这个问题,。因此我在GitHub上找到了它的源代码,修复了这个问题。@qq418995189。
libdasm 反汇编引擎
01-22
开源反汇编引擎libdasm。 支持windows,unix。 附带有Example程序。
一个超轻量级的反汇编引擎
12-22
一个超轻量级的反汇编引擎 代码区区几行,通俗易懂。常用的x86指令~适合入门者学习的代码。 就不多说了亲~你懂的~
OllyDbg汇编/反汇编引擎
09-26
感谢看雪论坛的bluesand大大对OD反汇编引擎移植到VS上,并修改了许多bug 使用方法: 反汇编函数 ulong Disasm(char *src,ulong srcsize,ulong srcip, t_disasm *disasm,int disasmmode) 返回值是指令长度 src指向需要反汇编的机器码指针 srcsize机器码的总长度 srcip机器码在被调试进程的内存中的内存地址 disasm指向t_disasm结构的指针。该结构体用来存放反汇编数据。 disasmmode反汇编模式。 汇编功能: int Assemble(char *cmd, ulong ip, t_asmmodel *model, int attempt, int constsize, char *errtext) 返回值是指令长度 cmd指向汇编指令字符串的指针 ip该句汇编指令在远程进程内存中的地址 model指向t_asmmodel结构体的指针,用于存放汇编数据 attempt这个……我想不起来了。 一般是NULL constsize立即数的长度(1、2、4字节)该参数会影响到汇编结果的长度。如果对汇编结果长度有要求,则需要设定对应的值。否则NU LL即可。 errtext汇编时的出错信息。
OllyDBG反汇编引擎:ODDisasm 使用(中文翻译)
09-26
这个文档时关于Ollydbg反汇编引擎使用的, 很不错, 我在网上找了很久了, 一直好像都没有看到太多这方面的资料, 最后在看雪的外文翻译区看到有大牛翻译的文档, 我大喜. 看了感觉不错了..哥们下载了给个评论, 我上传不容易
10.4 认识Capstone反汇编引擎
最新发布
CSDN
10-06 5292
Capstone 是一款开源的反汇编框架,目前该引擎支持的CPU架构包括x86、x64、ARM、MIPS、POWERPC、SPARC等,Capstone 的特点是快速、轻量级、易于使用,它可以良好地处理各种类型的指令,支持将指令转换成AT&T汇编语法或Intel汇编语法等多种格式。Capstone的库可以集成到许多不同的应用程序和工具中,因此被广泛应用于反汇编、逆向工程、漏洞分析和入侵检测等领域,著名的比如IDA Pro、Ghidra、Hopper Disassembler等调试器都在使用引擎
用GDB反汇编调试linux内核
XscKernel的专栏 记录工作中做的点滴
12-04 5821
在搭建好linux内核调试环境之后还会遇到各种问题,比如linux内核是不允许已最低优化等级编译的,因此有时候打印一个变量值就会显示 &lt;optimized out&gt; 这个时候就需要采用其它的方式来显示变量值了,反汇编就是其中一种方式: 当调试linux模块初始化函数的时候(http://blog.csdn.net/xsckernel/article/deta...
慢慢欣赏linux 内核反汇编分析
shipinsky的博客
09-10 616
vmlinux: file format elf32-i386 Disassembly of section .text: c0400000 <_text>: c0400000: f6 86 11 02 00 00 40 testb $0x40,0x211(%esi) c0400007: 75 14 jne c040001d <_text+0x1d> c0400009: 0f 01 .
深入探索Windows内核:从汇编到反汇编
"《天书夜读》是一本关于反汇编Windows底层编程的书籍,旨在帮助读者从汇编代码中理解Windows内核的工作原理。书中内容包括基础的Windows程序与汇编指令,深入讲解Windows内核的编程、调试和阅读方法。适合C/C++...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值