-
-
[原创]反汇编引擎源码分享
-
发表于: 2013-8-4 12:44
-
之前一直觉得反汇编引擎挺难的,但在软件保护方面却大有用处,很多保护技术都得精确到指令级进行,所以深入学习下intel指令是非常有必要的,因此在看过egogg大和youngboz大的引擎源码后,决定自己动手写个出来,egogg大的一系列 关于intel指令的文章 写得实在是精彩,至少让我这个没读过 intel开发手册的 也理解了 intel指令 的编码规则, youngboz大的源码 也非常不错, 整个引擎框架设计的很好,扩展性强 ,使得指令解析变得 非常简单 ,这才使得他写出了仅400多行的指令解析代码,再次感谢两们大侠!! 我的这份引擎采用的是youngboz大的代码框架 ,并增加了上此特殊指令的解析.学到新知识是很高兴的一件,能与人分享更是快乐!!!!!!!
[源码下载] dasm32.rar
代码中 _dasm(...)函数解析单条指令 ,调用之前得先调用_damInit(...)函数一次, _dasmpe(...)函数解析整个pe文件指令.
sample:
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
[QUOTE=SilentGamb;1206094]感谢分享~
在vs2010下编译不过, 发现是有几个宏参数填错了. 帮您修正了一下. src-dasm32-m1.rar[/QUOTE] 哦,这是vc6.0的工程文件. 
|
|
|
嗯 用IE浏览器下载的就可以
|
|
|
|
|
|
|
|
|
简单测试发现有个小问题。经过测试发现确实存在问题。
 0x3B 这个指令 应该是cmp 吧?  修改程序,加上输出地址(方便定位),发现这些指令确实存在问题:   继续分析: 发现这里的文件跟这个帖子的差不多。 http://bbs.pediy.com/showthread.php?t=147992 但是里面的代码被改了些 原来的代码: /* 38 */{ C_MODRM | CH_MODREG, _T("cmp"), L_L_L_L_B_B_U_U }, /* 39 */{ C_MODRM | CH_MODREG, _T("cmp"), E_A_E_A_P_P_U_U( SIZ_DWORD, SIZ_WORD ) }, /* 3A */{ C_MODREG | CH_MODRM, _T("cmp"), L_L_L_L_B_B_U_U }, /* 3B */{ C_MODREG | CH_MODRM, _T("cmp"), E_A_E_A_P_P_U_U( SIZ_DWORD, SIZ_WORD ) }, /* 3C */{ C_DEFREG | CH_I8, _T("cmp"), L_L_L_L_B_B_P_U( REG_AL ) }, /* 3D */{ C_DEFREG | CH_DATA66, _T("cmp"), E_A_E_A_D_W_P_U( REG_EAX ) }, 现在的代码: /*38*/{ FG_MODRM | FG_MODREG<<FGB , _T("sub") ,SS_SS_BB_PP_P(UDF ,UDF ,UDF) }, /*39*/{ FG_MODRM | FG_MODREG<<FGB , _T("sub") ,LM_LM_DW_PP_P(UDF ,UDF ,UDF) }, /*3A*/{ FG_MODREG | FG_MODRM<<FGB , _T("sub") ,SS_SS_BB_PP_P(UDF ,UDF ,UDF) }, /*3B*/{ FG_MODREG | FG_MODRM<<FGB , _T("sub") ,LM_LM_DW_PP_P(UDF ,UDF ,UDF) }, /*3C*/{ FG_DEFRG | FG_IMDATA<<FGB , _T("sub") ,SS_SS_BB_PP_P(REG_AL ,UDF ,RMK_IM8) }, /*3D*/{ FG_DEFRG | FG_IMDATA<<FGB , _T("sub") ,LM_LM_DW_PP_P(REG_RAX ,UDF ,RMK_IM1632) }, 不知道这是出于什么原因。 当然里面还有地方更改。 之后就没有再去测试了。 问题反馈.zip |
|
|
LeoSky朋友真够细心,
这份代码我是在看过youngboz朋友的代码后写的,采用的是与他相同的引擎框架,这些我我在文章中都有提到,至于那个错误,应该是在当时录入指令表时的一个手误吧(毕竟要录入的指令太多),谢谢你的反馈!
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
