本篇文章為大家展示了ollydbg調(diào)試器中反匯編引擎的選擇與改造是怎樣的,內(nèi)容簡明扼要并且容易理解,絕對能使你眼前一亮,通過這篇文章的詳細介紹希望你能有所收獲。
成都創(chuàng)新互聯(lián)公司專注于東勝企業(yè)網(wǎng)站建設,響應式網(wǎng)站,商城網(wǎng)站建設。東勝網(wǎng)站建設公司,為東勝等地區(qū)提供建站服務。全流程定制網(wǎng)站制作,專業(yè)設計,全程項目跟蹤,成都創(chuàng)新互聯(lián)公司專業(yè)和態(tài)度為您提供的服務
小編選擇的是udis86,od的反匯編引擎ODDisassm雖然簡潔,但是只支持x86intel的匯編指令,不支持x64,指令集也很陳舊,BeaEngine雖然也不錯支持新指令集也多,但是代碼風格看起來不爽,capstone 雖然支持指令集比較多,也支持移動arm指令,但是整體代碼比較復雜,龐大臃腫,改造成本太高,最后還是選擇了udis86,代碼和接口都非常簡潔只有幾個cpp/h文件,支持支持MMX, FPU (x87), AMD 3DNow, SSE, SSE2, SSE3, SSSE3, SSE4.1, SSE4.2, AES, AMD-V, INTEL-VMX, SMX,支持x86/x64的Intel/AT&A的指令平臺,還有一個最大的特點就是解碼速度非??臁?/p>
1. udis86的使用
udis86的接口很簡單,使用也很簡單
一、第一步是初始化
ud_t ud_obj;
ud_init(&ud_obj);
ud_set_mode(&ud_obj,16); 設置反匯編系統(tǒng)16/32/64位
ud_set_pc(u, 0); 設置內(nèi)存的段的基址,相當于PE文件的基址。
ud_set_asm_buffer(u,u->asm_buf_int,sizeof(u->asm_buf_int)); 設置反匯編的數(shù)據(jù)原始地址和數(shù)據(jù)長度
ud_set_syntax(&ud_obj, UD_SYN_INTEL);設置反匯編的語法平臺
二、第二步反匯編調(diào)用
代碼示例:
while (ud_disassemble(&ud_obj)) {
if (o_do_off)
printf("%016"FMT64 "x", ud_insn_off(&ud_obj));
if (o_do_hex) {
const char* hex1, *hex2;
hex1 = ud_insn_hex(&ud_obj);
hex2 = hex1 + 16;
printf("%-16.16s%-24s", hex1, ud_insn_asm(&ud_obj));
if (strlen(hex1) > 16) {
//printf("\n");
if (o_do_off)
printf("%15s-", "");
printf("%-16s",hex2);
}
}
else printf(" %-24s", ud_insn_asm(&ud_obj));
printf("\n");
}
ud_disassemble(&ud_obj)反匯編解析指令
ud_disassemble里調(diào)用ud_decode函數(shù)來實現(xiàn)解碼分析操作,然后使用translator函數(shù)對解碼的結(jié)果做指令翻譯操作翻譯成可讀的 intel或者AT&T的語法字符串。
ud_insn_off(&ud_obj)獲得當前的指令地址
ud_insn_asm(&ud_obj)獲取當前的反匯編后的字符串。
一下是結(jié)果顯示:
三、符號的設置
udis86還提供了一個設置解析符號的函數(shù)接口
ud_set_sym_resolver(&ud_obj,resolver);
resolver的接口定義:
const char* (*resolver)(struct ud*,
uint64_t addr,
int64_t *offset)
我們可以看到代碼里
void
ud_syn_print_addr(struct ud *u, uint64_t addr,char operand_asm_buf[64],int*index)
{
const char *name = NULL;
if (u->sym_resolver) {
int64_t offset =0;
name = u->sym_resolver(u, addr, &offset);
if (name) {
if (offset) {
ud_asmprintf(u, "%s%+" FMT64"d", name,offset);
ud_asmprintf2(operand_asm_buf,index,"%s%+"FMT64 "d",name, offset);
} else {
ud_asmprintf(u, "%s", name);
ud_asmprintf2(operand_asm_buf,index, "%s",name);
}
return;
}
}
ud_asmprintf(u, "%" FMT64"X", addr);
ud_asmprintf2(operand_asm_buf,index, "%"FMT64 "X",addr);
}
如果設置了sym_resolver接口,就會調(diào)用這個接口反匯的符號字符串來替代地址值的反匯編字符串。
縱觀以上udis86提供不少的功能但是在冒些情況下有很多不足之處,比如在一塊很大的內(nèi)存進行反匯編解碼時沒有預解碼的函數(shù)接口,會導致使用者誤認為效率不高,還有其他情況與我們使用ollydbg不同的語法風格也需要我們?nèi)ジ脑臁?/p>
2. udis86改造
一、增加預分析接口。
unsigned int ud_predecode(struct ud* u)
{
int len;
if (u->inp_end) {
return 0;
}
len = ud_decode(u);
return len;
}
這個函數(shù)在分析解析過程速度非???,效率非常高,這個函數(shù)用處主要在預分析,確定當前內(nèi)存數(shù)據(jù)能反匯編出多少行指令,方便后續(xù)界面顯示時分頁顯示,因為它少了translator過程,預分析過程效率提高了幾百上千倍。
二.地址前綴顯示的改造
udis86在地址取址的前綴結(jié)果顯示與ollydbg不同,例如
static void opr_cast(struct ud* u, struct ud_operand* op) { if (u->br_far) { ud_asmprintf(u, "far "); } switch(op->size) { case 8: ud_asmprintf(u, "byte " ); break; case 16: ud_asmprintf(u, "word "); break; case 32: ud_asmprintf(u, "dword ");break; case 64: ud_asmprintf(u, "qword ");break; case 80: ud_asmprintf(u, "tword ");break; default: break; } } 為了保持了ollydbg一直我們需要改成: switch(op->size) { case 8: ud_asmprintf(u, "BYTE PTR ");ud_asmprintf2(operand_asm_buf,index,"BYTE PTR"); break; case 16: ud_asmprintf(u, "WORD PTR " );ud_asmprintf2(operand_asm_buf,index,"WORD PTR "); break; case 32: ud_asmprintf(u, "DWORD PTR ");ud_asmprintf2(operand_asm_buf,index,"DWORD PTR "); break; case 64: ud_asmprintf(u, "QWORD PTR ");ud_asmprintf2(operand_asm_buf,index,"QWORD PTR "); break; case 80: ud_asmprintf(u, "TWORD PTR ");ud_asmprintf2(operand_asm_buf,index,"TWORD PTR "); break; default: break; }
三、X64 RIP call指令不能顯示符號地址
這個應該屬于bug顯示問題,所以我們需要做以下修改,問題主要在ud_syn_print_mem_disp
函數(shù),原是函數(shù)代碼為:
void ud_syn_print_mem_disp(struct ud* u, const struct ud_operand *op, int sign,char operand_asm_buf[64], int*index) { UD_ASSERT(op->offset != 0); if (op->base == UD_NONE&& op->index== UD_NONE) { uint64_t v; UD_ASSERT(op->scale == UD_NONE&& op->offset!= 8); /* unsigned mem-offset */ switch (op->offset) { case 16: v = op->lval.uword; break; case 32: v = op->lval.udword; break; case 64: v = op->lval.uqword; break; default: UD_ASSERT(!"invalid offset"); v = 0; /* keep cc happy */ } ud_asmprintf(u, "%" FMT64"X", v); ud_asmprintf2(operand_asm_buf,index, "%"FMT64 "X",v); } else { int64_t v; UD_ASSERT(op->offset != 64); switch (op->offset) { case 8 : v = op->lval.sbyte; break; case 16: v = op->lval.sword; break; case 32: v = op->lval.sdword; break; default: UD_ASSERT(!"invalid offset"); v = 0; /* keep cc happy */ } if (v < 0) { ud_asmprintf(u, "-%" FMT64"X", -v); ud_asmprintf2(operand_asm_buf,index,"-%" FMT64"X", -v); } else if (v > 0) { ud_asmprintf(u, "%s%" FMT64"X", sign?"+" : "",v); ud_asmprintf2(operand_asm_buf,index,"%s%" FMT64"X", sign?"+" : "",v); } } } 修復主要在后面加一個RIP指令判斷 void ud_syn_print_mem_disp( struct ud* u, struct ud_operand *op, int sign) { UD_ASSERT(op->offset != 0); if (op->base == UD_NONE&& op->index== UD_NONE) { uint64_t v; UD_ASSERT(op->scale == UD_NONE&& op->offset!= 8); /* unsigned mem-offset */ switch (op->offset) { case 16: v = op->lval.uword; break; case 32: v = op->lval.udword; break; case 64: v = op->lval.uqword; break; default: UD_ASSERT(!"invalid offset"); v = 0; /* keep cc happy */ } if (u->sym_resolver) { LPTSTR name = NULL; int64_t offset =0; name = u->sym_resolver(u, v, &offset); if (name) { if (offset) { op->_legacy = offset; ud_asmprintf(u,0, _T("%s.%")FMT64 _T("X"), name,offset); } else { op->_legacy = v; ud_asmprintf(u,0, _T("%s"),name); } return; } } ud_asmprintf(u,1, _T("%")FMT64 _T("X"), v); } else { int64_tv; UD_ASSERT(op->offset != 64); switch (op->offset) { case 8 : v = op->lval.sbyte; break; case 16: v = op->lval.sword; break; case 32: v = op->lval.sdword; break; default: UD_ASSERT(!"invalidoffset"); v = 0; /* keep cc happy */ } //這里為添加專門處理RIP的指令 if (op->base == UD_R_RIP) { v += (u->inp_ctr + u->insn_offset); if (u->sym_resolver) { LPTSTR name = NULL; int64_toffset = 0; name = u->sym_resolver(u, v, &offset); if (name) { if (offset) { op->_legacy = offset; ud_asmprintf(u,0, _T("%s.%") FMT64_T("X"),name, offset); } else { op->_legacy = v; ud_asmprintf(u,0, _T("%s"), name); } return; } } } if (v < 0) { ud_asmprintf(u,1, _T("-%") FMT64_T("X"),-v); } else if (v > 0) { if (op->base == UD_R_RIP) { ud_asmprintf(u,1, _T("%s%") FMT64_T("X"),sign? _T("") : _T(""), v); }else { ud_asmprintf(u,1, _T("%s%") FMT64_T("X"),sign? _T("+") : _T(""), v); } } } }
其他還有一些小的細節(jié)和ollydbg有細微差別,這里就不再贅述了,讀者可以自行去發(fā)現(xiàn),經(jīng)過一些改造與加工我們就能得到一個性能與結(jié)果完美的反匯編引擎,后面的一些界面顯示的速度性能等等一些調(diào)試器的交互工作就會事半功倍了。
上述內(nèi)容就是ollydbg調(diào)試器中反匯編引擎的選擇與改造是怎樣的,你們學到知識或技能了嗎?如果還想學到更多技能或者豐富自己的知識儲備,歡迎關注創(chuàng)新互聯(lián)行業(yè)資訊頻道。