[原创]土法计算ARM BL指令机器码-Android安全-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
gtict 雪币： 268 活跃值： (3238) 能力值： ( LV3，RANK：30 ) 在线值：发帖 24 回帖 510 粉丝 6 关注私信	gtict 2 楼验证过可行没？ 2016-6-23 14:47 0
peterchen 雪币： 335 活跃值： (263) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 203 粉丝 0 关注私信	peterchen 3 楼手册上用的是尺寸法，你要先换成binary，还有BL不是一条指令是两条指令。。。详细再好看看手册！ 2016-6-23 17:02 0
yjmwxwx 雪币： 803 活跃值： (850) 能力值： ( LV4，RANK：40 ) 在线值：发帖 21 回帖 111 粉丝 38 关注私信	yjmwxwx 4 楼手册看不懂啊，请教一下手册那个算法怎么算？上传的附件：截图_2016-06-23_17-29-19.png （67.47kb，3次下载） 2016-6-23 17:30 0
yjmwxwx 雪币： 803 活跃值： (850) 能力值： ( LV4，RANK：40 ) 在线值：发帖 21 回帖 111 粉丝 38 关注私信	yjmwxwx 5 楼写几个向后跳的地址0X8000000到0X80AAAA8 机器码 0xf0aafd52 地址0X8000004到0X800AAA8 机器码 0xf00afd50 地址0X8000008到0X8000AA8 机器码 0xf000fd4e 上传的附件：截图_2016-06-23_17-36-58.png （15.91kb，1次下载） 2016-6-23 17:37 0
gemo 雪币： 257 活跃值： (44) 能力值： ( LV3，RANK：20 ) 在线值：发帖 28 回帖 99 粉丝 0 关注私信	gemo 6 楼 // 怎么样，爽吗 UINT32 ARM_BL(UINT32 src_addr, UINT32 dst_addr) { UINT32 offset = dst_addr-src_addr-8; offset &= 0x3FFFFFF; // 去掉最高6位 offset >>= 2; return 0xEB000000+offset; } 2016-6-23 18:02 0
gemo 雪币： 257 活跃值： (44) 能力值： ( LV3，RANK：20 ) 在线值：发帖 28 回帖 99 粉丝 0 关注私信	gemo 7 楼你问的是THUMB的BL吧，不是ARM的。THUMB的在这里： UINT32 ExchangeHiLo(UINT32 v) { UINT32 v1 = v >> 16; UINT32 v2 = (v & 0xFFFF) << 16; return v1 + v2; } UINT32 THUMB_BL(UINT32 src_addr, UINT32 dst_addr) { UINT32 offset = dst_addr-(src_addr+4); offset &= 0x1FFFFFF; // 去掉最高7位 UINT32 S_ = (offset & 0x1000000) >> 24; UINT32 I1 = (offset & 0x800000) >> 23; UINT32 I2 = (offset & 0x400000) >> 22; UINT32 imm10 = (offset & 0x3FF000) >> 12; UINT32 imm11 = (offset & 0xFFE) >> 1; UINT32 J1 = (!I1)^S_; UINT32 J2 = (!I2)^S_; S_ <<= 26; imm10 <<= 16; J1 <<= 13; J2 <<= 11; UINT32 code = 0xF000D000+S_+imm10+J1+J2+imm11; return ExchangeHiLo(code); } 2016-6-23 18:21 0
yjmwxwx 雪币： 803 活跃值： (850) 能力值： ( LV4，RANK：40 ) 在线值：发帖 21 回帖 111 粉丝 38 关注私信	yjmwxwx 8 楼学习啦，CORTEX A8用的也是这种吧，网上搜到过类似代码，但是我不会C语言看不懂。。。我是自学派初中毕业证都没有，所以只能自己研究上土法啦。 2016-6-23 19:12 0
peterchen 雪币： 335 活跃值： (263) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 203 粉丝 0 关注私信	peterchen 9 楼大神果然吊，我都是自己手动计算转换画图。。。代码拿走多谢了！ 2016-6-24 09:29 0
yjmwxwx 雪币： 803 活跃值： (850) 能力值： ( LV4，RANK：40 ) 在线值：发帖 21 回帖 111 粉丝 38 关注私信	yjmwxwx 10 楼 C语言实在看不懂，第一个函数不知道什么意思，模仿大神算法写了个汇编的向后跳 bljisuan: push {r2-r7,lr} add r0, r0, # 0x04 sub r1, r1, r0 bic r1, r1, # 0xfe000000 ldr r7, = 0x1000000 and r2, r1, r7 lsr r2, r2, # 24 ldr r7, = 0x800000 and r3, r1, r7 lsr r3, r3, # 23 and r4, r1, # 0x400000 lsr r4, r4, # 22 ldr r7, = 0x3ff000 and r5, r1, r7 lsr r5, r5, # 12 movw r7, # 0xffe and r6, r1, r7 lsr r6, r6, # 1 mvn r3, r3 and r3, r3, # 0x01 mvn r4, r4 and r4, r4, # 0x01 eor r3, r3, r2 eor r4, r4, r2 lsl r2, r2, # 24 lsl r5, r5, # 16 lsl r3, r3, # 13 lsl r4, r4, # 11 ldr r0, = 0xf000d000 add r0, r0, r6 add r0, r0, r5 add r0, r0, r3 add r0, r0, r4 add r0, r0, r2 pop {r2-r7,pc} 去掉J1 J2 S这三个的计算，向前跳的 bljisuan1: push {r2-r7,lr} sub r1, r1, r0 add r1, r1, # 0x04 ldr r7, = 0xffe and r2, r1, r7 lsr r2, r2, # 1 movw r7, # 0x1000 sub r2, r7, r2 ldr r7, = 0x3ff000 and r3, r1, r7 lsr r3, r3, # 12 mov r7, # 0xff sub r3, r7, r3 lsl r3, r3, # 16 ldr r0, = 0xf700f000 add r0, r0, r2 add r0, r0, r3 pop {r2-r7,pc} 验证一下 ldr r0, = 0x830a ldr r1, = 0xcd9c bl bljisuan1 mov r11, r0 ldr r0, = 0x8bd0 ldr r1, = 0xcd82 bl bljisuan mov r12, r0 向前跳结果放在R11 向后跳结果放在R12 上传的附件：截图_2016-06-24_13-34-36.png （4.57kb，3次下载） 2016-6-24 13:36 0
magicsong 雪币： 258 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 4 粉丝 3 关注私信	magicsong 11 楼可以直接使用工具得到机器码 2023-7-13 10:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
gtict 雪币： 268 活跃值： (3238) 能力值： ( LV3，RANK：30 ) 在线值：发帖 24 回帖 510 粉丝 6 关注私信	gtict 2 楼验证过可行没？ 2016-6-23 14:47 0
peterchen 雪币： 335 活跃值： (263) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 203 粉丝 0 关注私信	peterchen 3 楼手册上用的是尺寸法，你要先换成binary，还有BL不是一条指令是两条指令。。。详细再好看看手册！ 2016-6-23 17:02 0
yjmwxwx 雪币： 803 活跃值： (850) 能力值： ( LV4，RANK：40 ) 在线值：发帖 21 回帖 111 粉丝 38 关注私信	yjmwxwx 4 楼手册看不懂啊，请教一下手册那个算法怎么算？上传的附件：截图_2016-06-23_17-29-19.png （67.47kb，3次下载） 2016-6-23 17:30 0
yjmwxwx 雪币： 803 活跃值： (850) 能力值： ( LV4，RANK：40 ) 在线值：发帖 21 回帖 111 粉丝 38 关注私信	yjmwxwx 5 楼写几个向后跳的地址0X8000000到0X80AAAA8 机器码 0xf0aafd52 地址0X8000004到0X800AAA8 机器码 0xf00afd50 地址0X8000008到0X8000AA8 机器码 0xf000fd4e 上传的附件：截图_2016-06-23_17-36-58.png （15.91kb，1次下载） 2016-6-23 17:37 0
gemo 雪币： 257 活跃值： (44) 能力值： ( LV3，RANK：20 ) 在线值：发帖 28 回帖 99 粉丝 0 关注私信	gemo 6 楼 // 怎么样，爽吗 UINT32 ARM_BL(UINT32 src_addr, UINT32 dst_addr) { UINT32 offset = dst_addr-src_addr-8; offset &= 0x3FFFFFF; // 去掉最高6位 offset >>= 2; return 0xEB000000+offset; } 2016-6-23 18:02 0
gemo 雪币： 257 活跃值： (44) 能力值： ( LV3，RANK：20 ) 在线值：发帖 28 回帖 99 粉丝 0 关注私信	gemo 7 楼你问的是THUMB的BL吧，不是ARM的。THUMB的在这里： UINT32 ExchangeHiLo(UINT32 v) { UINT32 v1 = v >> 16; UINT32 v2 = (v & 0xFFFF) << 16; return v1 + v2; } UINT32 THUMB_BL(UINT32 src_addr, UINT32 dst_addr) { UINT32 offset = dst_addr-(src_addr+4); offset &= 0x1FFFFFF; // 去掉最高7位 UINT32 S_ = (offset & 0x1000000) >> 24; UINT32 I1 = (offset & 0x800000) >> 23; UINT32 I2 = (offset & 0x400000) >> 22; UINT32 imm10 = (offset & 0x3FF000) >> 12; UINT32 imm11 = (offset & 0xFFE) >> 1; UINT32 J1 = (!I1)^S_; UINT32 J2 = (!I2)^S_; S_ <<= 26; imm10 <<= 16; J1 <<= 13; J2 <<= 11; UINT32 code = 0xF000D000+S_+imm10+J1+J2+imm11; return ExchangeHiLo(code); } 2016-6-23 18:21 0
yjmwxwx 雪币： 803 活跃值： (850) 能力值： ( LV4，RANK：40 ) 在线值：发帖 21 回帖 111 粉丝 38 关注私信	yjmwxwx 8 楼学习啦，CORTEX A8用的也是这种吧，网上搜到过类似代码，但是我不会C语言看不懂。。。我是自学派初中毕业证都没有，所以只能自己研究上土法啦。 2016-6-23 19:12 0
peterchen 雪币： 335 活跃值： (263) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 203 粉丝 0 关注私信	peterchen 9 楼大神果然吊，我都是自己手动计算转换画图。。。代码拿走多谢了！ 2016-6-24 09:29 0
yjmwxwx 雪币： 803 活跃值： (850) 能力值： ( LV4，RANK：40 ) 在线值：发帖 21 回帖 111 粉丝 38 关注私信	yjmwxwx 10 楼 C语言实在看不懂，第一个函数不知道什么意思，模仿大神算法写了个汇编的向后跳 bljisuan: push {r2-r7,lr} add r0, r0, # 0x04 sub r1, r1, r0 bic r1, r1, # 0xfe000000 ldr r7, = 0x1000000 and r2, r1, r7 lsr r2, r2, # 24 ldr r7, = 0x800000 and r3, r1, r7 lsr r3, r3, # 23 and r4, r1, # 0x400000 lsr r4, r4, # 22 ldr r7, = 0x3ff000 and r5, r1, r7 lsr r5, r5, # 12 movw r7, # 0xffe and r6, r1, r7 lsr r6, r6, # 1 mvn r3, r3 and r3, r3, # 0x01 mvn r4, r4 and r4, r4, # 0x01 eor r3, r3, r2 eor r4, r4, r2 lsl r2, r2, # 24 lsl r5, r5, # 16 lsl r3, r3, # 13 lsl r4, r4, # 11 ldr r0, = 0xf000d000 add r0, r0, r6 add r0, r0, r5 add r0, r0, r3 add r0, r0, r4 add r0, r0, r2 pop {r2-r7,pc} 去掉J1 J2 S这三个的计算，向前跳的 bljisuan1: push {r2-r7,lr} sub r1, r1, r0 add r1, r1, # 0x04 ldr r7, = 0xffe and r2, r1, r7 lsr r2, r2, # 1 movw r7, # 0x1000 sub r2, r7, r2 ldr r7, = 0x3ff000 and r3, r1, r7 lsr r3, r3, # 12 mov r7, # 0xff sub r3, r7, r3 lsl r3, r3, # 16 ldr r0, = 0xf700f000 add r0, r0, r2 add r0, r0, r3 pop {r2-r7,pc} 验证一下 ldr r0, = 0x830a ldr r1, = 0xcd9c bl bljisuan1 mov r11, r0 ldr r0, = 0x8bd0 ldr r1, = 0xcd82 bl bljisuan mov r12, r0 向前跳结果放在R11 向后跳结果放在R12 上传的附件：截图_2016-06-24_13-34-36.png （4.57kb，3次下载） 2016-6-24 13:36 0
magicsong 雪币： 258 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 4 粉丝 3 关注私信	magicsong 11 楼可以直接使用工具得到机器码 2023-7-13 10:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复