[原创]一个快速查看API的汇编和机器码的工具.发布源码。-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]一个快速查看API的汇编和机器码的工具.发布源码。

发表于: 2013-4-25 15:32 53273

[原创]一个快速查看API的汇编和机器码的工具.发布源码。

fosom

2013-4-25 15:32

53273

提供一个早年（好像快10年了）写的一个小工具，一直在用，赶紧很顺手，特推荐给大家。

欢迎垂询。

1，在OD正在跟踪分析某个保护壳的一段code的时候，感觉似曾相识，好像在哪里见过，好像是某个API。----这个时候你就需要用【fosomAPI速查】，快速找到这个API。

2，在用OD手动Hook的时候，jmp长跳之后，用汇编写一个小小的Call的时候，需要用一个API，但是IAT被破坏了。---这个时候，你就需要用【fosomAPI速查】，快速查到API，然后把机器码直接copy到OD里面，就OK了。

3，随便一个Dll，需要查一下EAT，并且看看某个导出函数的汇编，---这个时候，你就需要用【fosomAPI速查】。

4，几个机器码，可以查看对应的汇编。

5，根据Call首地址，快速查找API Name。或者，反之。

API速查.rar

Code First character after #:
   A: Direct Address.
   C: Reg field in ModRm specifies Control register.
   D: Reg field in ModRm specifies Debug register.
   E: General purpose register or memory address specified in the ModRM byte.
   F: EFlags register
   G: Reg field in ModRM specifies a general register
   H: Signed immidiate data
   I: Imidiate data
   J: Relative jump Offset
   M: memory address spcified in the ModRM byte.
   O: Relative Offset Word or DWord
   P: Reg field in ModRM specifies a MMX register
   Q: MMX register or memory address specified in the ModRM byte.
   R: general purpose register specified in the ModRM byte.
   S: Reg field in ModRM specifies a Segment register
   T: Reg field in ModRM specifies a MMX register
   P: Seg prefix override.

  Second character after #
   a: two Word or two DWord, only used by BOUND
   b: Byte.
   c: Byte or word
   d: DWord
   p: 32 or 16 bit pointer
   q: QWord
   s: 6Byte
   v: Word or DWord
   w: Word
   t: Tera byte

  Third character after #
   j: jump Operand (Relative or absolute)

  First character after @
   e: used by register (@eax, @esp ..) return e with the character following when
      operand size = 4 ortherwise only the following character.
   g: Group, return the group insruction specified by OperandType
      and the reg field of the ModRM byte.
   h: Operand for group, return operands for the group insruction specified
      by OperandType and the reg field of the ModRM byte.
   m: Must have size, Size indicator always set.
   o: Operand size, returns the name (bwdq) of the number following, divided
      by two when operand size <> 4.
   p: Seg prefix override. Sets the prefix to the following charchter + 's'
   s: Size override (address or operand).
      follow by o: operand size override
               a: address size override

  First character after %
   c: Use the opcode instead in addition to the assembler instruction

今天发布源码。留着也没什么意思。

源码AppName.rar

[课程]FART 脱壳王！加量不加价！FART作者讲授！

上传的附件：

API速查.rar （214.77kb，1245次下载）
APIshowASM.jpg （82.06kb，35次下载）
源码AppName.rar （207.76kb，1835次下载）

收藏・94

免费・6

支持

最新回复 (62) 1 2 3 ▶
evilor 雪币： 297 活跃值： (235) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 660 粉丝 2 关注私信	evilor 2 楼顶一个 OD有个数据转换的插件也有类似的功能 2013-4-25 15:58 0
Fido 雪币： 107 活跃值： (326) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 3 楼这个试试..支持一下楼主... 2013-4-25 16:21 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 4 楼快速查api mark~~~ 2013-4-25 18:35 0
hkzlq 雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 50 粉丝 0 关注私信	hkzlq 5 楼貌似还不错，顶下 2013-4-25 20:29 0
虫子wq 雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	虫子wq 6 楼这个可以有哦！！！！ 2013-4-25 20:33 0
MacLook 雪币： 64 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 29 粉丝 0 关注私信	MacLook 7 楼快速查API。。谢谢LZ~ 2013-4-25 20:38 0
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 8 楼这个号~~~~~~~· 2013-4-25 20:38 0
Elijah 雪币： 411 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 90 粉丝 0 关注私信	Elijah 9 楼选中某个API后，利用反汇编引擎即时得到的OPCODE？ 2013-4-25 20:49 0
樊辉雪币： 38 活跃值： (1282) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 155 粉丝 0 关注私信	樊辉 10 楼这个还真不错。方便 2013-4-25 21:21 0
chixiaojie 雪币： 3202 活跃值： (1917) 能力值： ( LV2，RANK：10 ) 在线值：发帖 91 回帖 1357 粉丝 2 关注私信	chixiaojie 11 楼楼主不厚道呀，十年前的神器自己独享了十年，十年后才拿出来分享给大家。 2013-4-25 21:38 0
hmilywen 雪币： 1432 活跃值： (823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 5 关注私信	hmilywen 12 楼能支持64位嘛？ 2013-4-28 15:14 0
hmilywen 雪币： 1432 活跃值： (823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 5 关注私信	hmilywen 13 楼再支持ASM--->opcode的就更好啦！ 2013-4-28 15:16 0
wuyechen 雪币： 3728 活跃值： (2227) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 73 粉丝 0 关注私信	wuyechen 14 楼支持一下了呵呵 2013-5-2 11:21 0
kanxue 雪币： 44229 活跃值： (19950) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 527 关注私信	kanxue 8 15 楼支持原创 2013-5-18 11:17 0
zyicai 雪币： 437 活跃值： (78) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 194 粉丝 0 关注私信	zyicai 16 楼这个资源很好，谢谢分享 2013-5-18 11:57 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 17 楼感谢共享谢谢 2013-5-18 12:08 0
荒野无灯雪币： 406 活跃值： (164) 能力值： ( LV12，RANK：250 ) 在线值：发帖 33 回帖 262 粉丝 4 关注私信	荒野无灯 5 18 楼感谢分享 2013-5-18 12:13 0
cqg 雪币： 497 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	cqg 19 楼好工具啊 2013-5-18 22:09 0
提莫快走雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	提莫快走 20 楼 IDA工具用的不熟练，有些功能也不会用，请问各位过路的高手怎么查看一个程序反编译后各段的下列表中的信息。。这个表怎么调出来？ section virtual size virtual offset Raw size Row offset Charactristics .text 。。。。。。。。。。 .rdata 。。。。。。。。。。 .data 。。。。。。。。。。 .reloc 。。。。。。。。。。 ”。。“代替数据了。然后可以根据数据可以求机器码地址，继而在HDX中修改目的机器码。现在该怎么调出这个表呢？？ 2013-5-18 23:27 0
提莫快走雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	提莫快走 21 楼实在是急用但是没有KX币了。。求过路的哥哥们给指条明路啊。。。。。。。。。。。。。 2013-5-18 23:31 0
fosom 雪币： 1839 活跃值： (295) 能力值： ( LV9，RANK：370 ) 在线值：发帖 30 回帖 422 粉丝 24 关注私信	fosom 8 22 楼如下图所示：按照图片的数据结构读取pe文件格式，想怎么玩都可以。上传的附件： pe.jpg （75.23kb，153次下载） 2013-5-18 23:51 0
刘志阳雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 75 粉丝 0 关注私信	刘志阳 23 楼这个工具看起来很古老 2013-5-19 03:08 0
kanxue 雪币： 44229 活跃值： (19950) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 527 关注私信	kanxue 8 24 楼感谢开源！ 2013-6-2 21:31 0
靴子雪币： 22 活跃值： (423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 524 粉丝 1 关注私信	靴子 25 楼支持下。。。 2013-6-2 22:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

fosom

发帖

422

回帖

370

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (62) 1 2 3 ▶
evilor 雪币： 297 活跃值： (235) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 660 粉丝 2 关注私信	evilor 2 楼顶一个 OD有个数据转换的插件也有类似的功能 2013-4-25 15:58 0
Fido 雪币： 107 活跃值： (326) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 3 楼这个试试..支持一下楼主... 2013-4-25 16:21 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 4 楼快速查api mark~~~ 2013-4-25 18:35 0
hkzlq 雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 50 粉丝 0 关注私信	hkzlq 5 楼貌似还不错，顶下 2013-4-25 20:29 0
虫子wq 雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	虫子wq 6 楼这个可以有哦！！！！ 2013-4-25 20:33 0
MacLook 雪币： 64 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 29 粉丝 0 关注私信	MacLook 7 楼快速查API。。谢谢LZ~ 2013-4-25 20:38 0
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 8 楼这个号~~~~~~~· 2013-4-25 20:38 0
Elijah 雪币： 411 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 90 粉丝 0 关注私信	Elijah 9 楼选中某个API后，利用反汇编引擎即时得到的OPCODE？ 2013-4-25 20:49 0
樊辉雪币： 38 活跃值： (1282) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 155 粉丝 0 关注私信	樊辉 10 楼这个还真不错。方便 2013-4-25 21:21 0
chixiaojie 雪币： 3202 活跃值： (1917) 能力值： ( LV2，RANK：10 ) 在线值：发帖 91 回帖 1357 粉丝 2 关注私信	chixiaojie 11 楼楼主不厚道呀，十年前的神器自己独享了十年，十年后才拿出来分享给大家。 2013-4-25 21:38 0
hmilywen 雪币： 1432 活跃值： (823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 5 关注私信	hmilywen 12 楼能支持64位嘛？ 2013-4-28 15:14 0
hmilywen 雪币： 1432 活跃值： (823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 5 关注私信	hmilywen 13 楼再支持ASM--->opcode的就更好啦！ 2013-4-28 15:16 0
wuyechen 雪币： 3728 活跃值： (2227) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 73 粉丝 0 关注私信	wuyechen 14 楼支持一下了呵呵 2013-5-2 11:21 0
kanxue 雪币： 44229 活跃值： (19950) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 527 关注私信	kanxue 8 15 楼支持原创 2013-5-18 11:17 0
zyicai 雪币： 437 活跃值： (78) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 194 粉丝 0 关注私信	zyicai 16 楼这个资源很好，谢谢分享 2013-5-18 11:57 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 17 楼感谢共享谢谢 2013-5-18 12:08 0
荒野无灯雪币： 406 活跃值： (164) 能力值： ( LV12，RANK：250 ) 在线值：发帖 33 回帖 262 粉丝 4 关注私信	荒野无灯 5 18 楼感谢分享 2013-5-18 12:13 0
cqg 雪币： 497 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	cqg 19 楼好工具啊 2013-5-18 22:09 0
提莫快走雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	提莫快走 20 楼 IDA工具用的不熟练，有些功能也不会用，请问各位过路的高手怎么查看一个程序反编译后各段的下列表中的信息。。这个表怎么调出来？ section virtual size virtual offset Raw size Row offset Charactristics .text 。。。。。。。。。。 .rdata 。。。。。。。。。。 .data 。。。。。。。。。。 .reloc 。。。。。。。。。。 ”。。“代替数据了。然后可以根据数据可以求机器码地址，继而在HDX中修改目的机器码。现在该怎么调出这个表呢？？ 2013-5-18 23:27 0
提莫快走雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	提莫快走 21 楼实在是急用但是没有KX币了。。求过路的哥哥们给指条明路啊。。。。。。。。。。。。。 2013-5-18 23:31 0
fosom 雪币： 1839 活跃值： (295) 能力值： ( LV9，RANK：370 ) 在线值：发帖 30 回帖 422 粉丝 24 关注私信	fosom 8 22 楼如下图所示：按照图片的数据结构读取pe文件格式，想怎么玩都可以。上传的附件： pe.jpg （75.23kb，153次下载） 2013-5-18 23:51 0
刘志阳雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 75 粉丝 0 关注私信	刘志阳 23 楼这个工具看起来很古老 2013-5-19 03:08 0
kanxue 雪币： 44229 活跃值： (19950) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 527 关注私信	kanxue 8 24 楼感谢开源！ 2013-6-2 21:31 0
靴子雪币： 22 活跃值： (423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 524 粉丝 1 关注私信	靴子 25 楼支持下。。。 2013-6-2 22:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复