【Android 逆向】使用 Python 解析 ELF 文件 ( Capstone 反汇编 ELF 文件中的机器码数据 | 创建反汇编解析器实例对象 | 设置汇编解析器显示细节 )

最新推荐文章于 2024-06-13 17:46:18 发布
最新推荐文章于 2024-06-13 17:46:18 发布
阅读量1.3k 收藏 5
点赞数 4
分类专栏: Android 逆向 文章标签: Capstone 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shulianghan/article/details/121012510
版权

文章目录





一、创建 Capstone 反汇编解析器实例对象


使用 Capstone 反汇编框架 ,

首先创建 Capstone 反汇编解析器对象 , 即 Cs 类实例对象 ;

构造函数原型如下 :

class Cs(object):
    def __init__(self, arch, mode):

创建 Capstone 实例对象代码 : 下面代码创建的是 x86 架构的 32 位模式的 Cs 对象 , 也就意味着反汇编的 ELF 文件是 32 位 x86 CPU 架构的动态库 ;

Cs(CS_ARCH_X86, CS_MODE_32)

第一个参数是 CPU 架构 , 第二个参数是 CPU 位数模式 ;


CPU 架构选择 : 有如下可选项 ; 99% 的情况下使用的是 CS_ARCH_ARM , CS_ARCH_ARM64 , CS_ARCH_X86 这三种情况 ; 其中 Android 逆向中 , CS_ARCH_ARM 和 CS_ARCH_ARM64 用的最多 ;

# architectures
CS_ARCH_ARM = 0
CS_ARCH_ARM64 = 1
CS_ARCH_MIPS = 2
CS_ARCH_X86 = 3
CS_ARCH_PPC = 4
CS_ARCH_SPARC = 5
CS_ARCH_SYSZ = 6
CS_ARCH_XCORE = 7
CS_ARCH_M68K = 8
CS_ARCH_TMS320C64X = 9
CS_ARCH_M680X = 10
CS_ARCH_EVM = 11
CS_ARCH_MAX = 12
CS_ARCH_ALL = 0xFFFF

CPU 位数模式 : 每种 CPU 架构都分 32 位 , 64 位 模式 ;

# disasm mode
CS_MODE_LITTLE_ENDIAN = 0      # little-endian mode (default mode)
CS_MODE_ARM = 0                # ARM mode
CS_MODE_16 = (1 << 1)          # 16-bit mode (for X86)
CS_MODE_32 = (1 << 2)          # 32-bit mode (for X86)
CS_MODE_64 = (1 << 3)          # 64-bit mode (for X86, PPC)
CS_MODE_THUMB = (1 << 4)       # ARM's Thumb mode, including Thumb-2
CS_MODE_MCLASS = (1 << 5)      # ARM's Cortex-M series
CS_MODE_V8 = (1 << 6)          # ARMv8 A32 encodings for ARM
CS_MODE_MICRO = (1 << 4)       # MicroMips mode (MIPS architecture)
CS_MODE_MIPS3 = (1 << 5)       # Mips III ISA
CS_MODE_MIPS32R6 = (1 << 6)    # Mips32r6 ISA
CS_MODE_MIPS2 = (1 << 7)       # Mips II ISA
CS_MODE_V9 = (1 << 4)          # Sparc V9 mode (for Sparc)
CS_MODE_QPX = (1 << 4)         # Quad Processing eXtensions mode (PPC)
CS_MODE_M68K_000 = (1 << 1)    # M68K 68000 mode
CS_MODE_M68K_010 = (1 << 2)    # M68K 68010 mode
CS_MODE_M68K_020 = (1 << 3)    # M68K 68020 mode
CS_MODE_M68K_030 = (1 << 4)    # M68K 68030 mode
CS_MODE_M68K_040 = (1 << 5)    # M68K 68040 mode
CS_MODE_M68K_060 = (1 << 6)    # M68K 68060 mode
CS_MODE_BIG_ENDIAN = (1 << 31) # big-endian mode
CS_MODE_MIPS32 = CS_MODE_32    # Mips32 ISA
CS_MODE_MIPS64 = CS_MODE_64    # Mips64 ISA
CS_MODE_M680X_6301 = (1 << 1)  # M680X HD6301/3 mode
CS_MODE_M680X_6309 = (1 << 2)  # M680X HD6309 mode
CS_MODE_M680X_6800 = (1 << 3)  # M680X M6800/2 mode
CS_MODE_M680X_6801 = (1 << 4)  # M680X M6801/3 mode
CS_MODE_M680X_6805 = (1 << 5)  # M680X M6805 mode
CS_MODE_M680X_6808 = (1 << 6)  # M680X M68HC08 mode
CS_MODE_M680X_6809 = (1 << 7)  # M680X M6809 mode
CS_MODE_M680X_6811 = (1 << 8)  # M680X M68HC11 mode
CS_MODE_M680X_CPU12 = (1 << 9)  # M680X CPU12 mode
CS_MODE_M680X_HCS08 = (1 << 10)  # M680X HCS08 mode




二、设置 Cs 汇编解析器显示细节


创建完 Capstone 汇编解析器 Cs 对象后 ,

一定要设置汇编解析器实例对象的 detail 为 true , 作用是 表示需要显示细节 , 打开后 , 会标明每条汇编代码中对寄存器的影响 ; 如 : 本条汇编代码中 , 会读写哪些寄存器 ;

            # 创建 Capstone 实例对象
            x86 = Cs(CS_ARCH_X86, CS_MODE_32)
            # 此处设置为 true , 表示需要显示细节 , 打开后 , 会标明每条汇编代码中对寄存器的影响
            #   如 : 本条汇编代码中 , 会读写哪些寄存器
            x86.detail = True
恶意软件分析大合集
Sumarua的博客
05-09 437
这个列表记录着那些令人称赞的恶意软件分析工具和资源。受到 awesome-python 和 awesome-php 的启迪。
pyelftools,一个能解析ELF文件Python库,嵌入式开发的分析利器
03-29 3827
多精彩内容在公众号。ELF(Executable and Linkable Format)文件格式是一种用于表示可执行文件、目标文件、共享库和核心转储的标准文件格式。它被广泛应用于Linux和许多类Unix操作系统中。ELF文件格式的设计允许程序和数据的高效存储,同时也支持程序的链接和加载。
ELF文件格式的详解
zhangqing2002的博客
02-16 966
ELF文件格式的详解
ARM平台下ELF文件反汇编
05-08
作为代码插桩过程的前提,首先需要对于所提供的二进制代码进行必要的分析,了解ELF文件 的结构以及ARM平台的指令编码,将二进制01码翻译成为用户可读的汇编代码。通过对于汇 编代码的分析,用户可以得到程序应用中各个函数起始地址以及程序各个模块的流程调用等重 要信息,为代码插桩提供详细的数据。经过插桩的代码最后通过再一次汇编的过程输出到目标 文件。因此,正确、快速地进行平台下的反汇编工作显得十分关键。
ELF文件解析反汇编
热门推荐
wuxinke_blog的专栏
03-20 2万+
首先来看一段Unix/Linux下的汇编代码: #PURPOSE: This program finds the maximum number of a # set of data items. ##VARIABLES: The registers have the following uses: ## %edi - Holds the index of the data item bei
Android 逆向使用 Python 解析 ELF 文件 ( Capstone 反汇编 ELF 文件中的机器码数据 | 反汇编二进制机器码 | 打印反汇编数据 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-28 1276
一、反汇编二进制机器码、 二、打印反汇编数据
ELF文件-逆向工具
heartcleaner的专栏
09-01 2826
本文转载自http://bdxnote.blog.163.com/blog/static/8444235201532911597959/ 1、ELF文件内容解析 readelf: 可解析ELF文件的所有内容; strings: 查看ELF文件中的字符串; file   : 查看ELF文件的信息; nm     : 查看ELF文件中的符号信息; ldd    : 查看ELF文件所依赖的库
Android 逆向使用 Python 代码解析 ELF 文件 ( PyCharm 中进行断点调试 | ELFFile 实例对象分析 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-28 2035
一、PyCharm 中进行断点调试、 二、ELFFile 实例对象分析
Diself:基于Capstone Engine v3的多平台精灵反汇编
综上所述,diself项目是一个专注于提供跨多平台架构(x86/x86-64/ARM32/ARM64)的ELF文件反汇编功能的工具,采用C语言开发,并且使用Capstone反汇编框架。项目采用标准的源代码管理方式,有清晰的主干分支以及相应...
红队专题-REVERSE汇编/二进制PWN/逆向/反编译
aming小老弟
10-10 2003
ROP(Return-Oriented Programming)链是一种计算机安全领域中的攻击技术,用于绕过内存执行保护措施,实现利用漏洞进行代码注入和控制流劫持。由一系列已存在于程序内存中的代码片段(称为gadget)组成的,这些片段通常是程序的合法指令序列。通过将这些gadget按照特定的顺序串联起来,攻击者可以构造出一条可执行的ROP链,用于实现特定的攻击目的。ROP链的基本原理依赖于已存在的代码片段,而不是插入自定义的恶意代码。这样可以避免执行数据区域中的恶意代码,
ARM平台下ELF文件反汇编.pdf
10-05
ARM 平台反汇编 分析总结
Python解析ELF和DWARF-Python开发
05-25
pyelftools pyelftools是一个纯Python库,用于解析和分析ELF文件和DWARF调试信息。 有关更多详细信息,请参见《用户指南》。 前提条件作为pyelftools的用户,仅需要Pyt pyelftools pyelftools是一个纯Python库,用于解析和分析ELF文件和DWARF调试信息。 有关更多详细信息,请参见《用户指南》。 前提条件作为pyelftools的用户,一个人仅需要运行Python。 它适用于Python版本2.7和3.x(x> = 5)。 对于在pyelftools上进行黑客入侵,要求更为严格,请参阅黑客指南。 可以从PyPI(Python包索引)安装pyelftools:> pip install pyelftools或者,您也可以
Elf-Parser:python中的可执行链接文件解析器。 返回访问ELF部分所需的地址。 用于识别ELF文件的动态链接库
05-17
小精灵包 解析可执行链接文件(Unix ELF二进制文件)。 有关一般参考,请参见 。 脚本用法 elf.py <输入ELF文件名> 特征 32位和64位ELF解析 ELF类,方便抽象 ElfBytes类用于字节级操作 简要检查 动态链接依赖关系查找
python实现汇编格式转换二进制
12-21
在运行程序文件夹放入要转换文件文件中每个汇编格式文字之间用逗号隔开,之后会将每个均转换为二进制
修改机器码脚本
最新发布
03-19
例如,在引用中提到 `mov` 指令对应的机器码是以 `89` 开头的情况,这表明该指令用于将寄存器中的值移动到内存位置[^1]。 要修改机器码,首先需要了解目标平台的具体架构以及其指令集的设计原则。不同处理器架构...
Python库.20240617
lanlingxueyu的博客
06-13 1621
Python库 20240617 更新时间
Android 逆向使用 Python 代码解析 ELF 文件 ( PyCharm 中创建 Python 程序 | 导入 ELFFile 库 | 解析 ELF 文件 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-27 2911
文章目录一、程序头数据 一、程序头数据 00:17:44
csky elf文件反汇编命令
yangzhao0001的博客
11-04 2270
1、进入Debug(当然也可以不用进) Debug> 2、输入命令进行反汇编 Debug>csky-uclinux-objdump -S Sec-chip.elf > 1.asm 若没有> 1.asm,则会直接在控制台中打印: 3、使用记事本打开asm文件,asm文件就是反汇编后的文件
RT-Thread 使用 arm-none-eabi-objdump.exe 把 elf 文件反汇编
坚韧与专注
05-25 2760
RT-Thread 使用 arm-none-eabi-objdump.exe 把 elf 文件反汇编
free rtos:elf反汇编
07-28
FreeRTOS是一个开源的实时操作系统,用于嵌入式系统中。ELF是一种可执行文件格式,用于存储和传输可执行程序和库。 在FreeRTOS中,程序的编译后会生成一个可执行文件,通常是ELF格式。如果我们想对这个可执行文件进行反汇编,我们可以使用相应的工具。 ELF反汇编是将二进制代码转换回汇编语言的过程。它可以帮助我们理解程序的结构和执行流程,并进行调试和优化。 可以使用一些工具进行ELF反汇编,例如GNU工具链中的objdump命令。objdump可以读取ELF格式的文件,并将其转换为可读的汇编代码。 具体来说,如果我们想对FreeRTOS的ELF文件进行反汇编,我们可以使用以下命令: ``` objdump -d [可执行文件路径] ``` 这将生成一个包含汇编代码的文件,我们可以在其中查看程序的反汇编结果。 在进行ELF反汇编时,我们可以观察指令的地址、指令的类型以及操作数等信息。通过分析反汇编结果,我们可以更好地理解程序的运行逻辑,并发现隐藏的问题或优化的机会。 然而,需要注意的是,反汇编并不总是能够完全还原原始源代码。因此,在进行ELF反汇编时,应该结合其他调试和性能分析工具,以全面理解和优化代码。 总之,ELF反汇编是一个有用的工具,可以帮助我们理解和优化FreeRTOS中的程序。通过分析反汇编结果,我们可以更好地理解程序的执行流程和结构,从而提高嵌入式系统的性能和可靠性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值