[原创] （3/2更新）abc 文件格式解析模板（010Editor）

2023-11-26 11:43 5713

[原创] （3/2更新）abc 文件格式解析模板（010Editor）

hx九七

2023-11-26 11:43

5713

照着官方文档和代码写了个 010Editor 解析模板，还不是很完善，凑合着用。放到 GitHub 了，附件里也传了一份，附带一个测试用的 abc。大部分是照着 OpenHarmony 官方文档写的，小部分文档不准确，自己扒了源码看。

这个不是方舟字节码（Ark Bytecode）的反汇编器，只是解析 abc 文件格式的模板，abc 文件里面包含方舟字节码，类比 .dex 和里面的 Dalvik 字节码的关系。
方舟字节码的反汇编器在 OpenHarmony 官方仓库有，需要自己编译源码，附件里传了个我编译的 Linux 版本和 PolyOS 模拟器里带的 Windows 版本。

已知问题

LiteralArray 可能解析不准确（还不太清楚 LiteralTag::ARRAY_* 类型的值要如何解释，以及为何源码中遇到这种类型就立即结束 LiteralArray）
MethodRegionIndex 指向的方法的解析有点问题，所以暂时注释掉了
MethodHandle 解析未实现
（11/28更新）刚发现 LineNumberProgram 的解析也是有问题的，没有处理操作码跟着的操作数，会误把操作数里的 0x0 当成结束标志
（11/28更新）这条应该是实现了（如果没在 OHOS 源代码里看错地方的话），原文：any 类型的 Value 解析未实现

更新日志

2024/3/2 更新：实现了对 module record 的解析，LiteralArray 中一些项属于这个类型，参考：https://gitee.com/openharmony/arkcompiler_runtime_core/blob/master/libark_defect_scan_aux/abc_file.cpp#L542
2023/11/28 更新：实现了 DebugInfo、Annotation 相关结构体、any 类型的 Value 的解析，附件已上传新版

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界

最后于 2024-3-2 21:28 被hx九七编辑，原因：

上传的附件：

abc.bt （42.51kb，22次下载）
modules_debug.abc （12.56kb，27次下载）
ark_disasm.exe （2.27MB，49次下载）
ark_disasm （2.74MB，31次下载）

收藏・5

点赞・3

打赏

最新回复 (16)
光刃雪币： 608 活跃值： (3609) 能力值： ( LV12，RANK：200 ) 在线值：发帖 64 回帖 200 粉丝 43 关注私信	光刃 3 2023-11-26 11:52 2 楼 0 11111111111111111111111111 最后于 2023-11-26 12:07 被光刃编辑，原因：
hx九七雪币： 40 活跃值： (604) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 4 粉丝 2 关注私信	hx九七 2023-11-26 12:01 3 楼 0 光刃这个abc有啥用，是漏洞挖掘吗？你解析这个是干啥？用了多少时间？我们对你发的样本进行了解析，用了3秒解析完毕。并输出pit脚本<?xml version=&qu ... 都不知道是干啥用你在这回复啥？贴个 Peach 的输出干什么？你爱 fuzz 自个 fuzz 去
光刃雪币： 608 活跃值： (3609) 能力值： ( LV12，RANK：200 ) 在线值：发帖 64 回帖 200 粉丝 43 关注私信	光刃 3 2023-11-26 12:01 4 楼 0
bluefish蓝鱼雪币： 9708 活跃值： (6687) 能力值： ( LV5，RANK：70 ) 在线值：发帖 19 回帖 131 粉丝 48 关注私信	bluefish蓝鱼 2023-11-26 17:55 5 楼 0 光刃 [em_13] 不要在这里阴阳怪气，一点风度都没有，仗势欺人
光刃雪币： 608 活跃值： (3609) 能力值： ( LV12，RANK：200 ) 在线值：发帖 64 回帖 200 粉丝 43 关注私信	光刃 3 2023-11-26 18:11 6 楼 0 bluefish蓝鱼不要在这里阴阳怪气，一点风度都没有，仗势欺人大哥你这就不对了吧，我欺负谁了？既然该板块不需要看到fuzz类的信息，我删除就是了。您没必要这样无中生有吧。最后于 2023-11-26 18:12 被光刃编辑，原因：
秋狝雪币： 19410 活跃值： (29069) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1577 粉丝 30 关注私信	秋狝 2023-11-26 23:20 7 楼 1 感谢分享
bluefish蓝鱼雪币： 9708 活跃值： (6687) 能力值： ( LV5，RANK：70 ) 在线值：发帖 19 回帖 131 粉丝 48 关注私信	bluefish蓝鱼 2023-11-26 23:33 8 楼 0 光刃 bluefish蓝鱼不要在这里阴阳怪气，一点风度都没有，仗势欺人大哥你这就不对了吧，我欺负谁了？既然该板块不需要看到fuzz类的信息，我删除 ... 你这样否定别人的成果，一踩一捧自己产品，这样的回复会让新人感到十分不舒服，严重打击他人的心态。你的回复已经对他人造成了影响，删除是应该的，但这并不会因为你删除影响就消失了，希望你作为圈内大佬，慎言慎行。
光刃雪币： 608 活跃值： (3609) 能力值： ( LV12，RANK：200 ) 在线值：发帖 64 回帖 200 粉丝 43 关注私信	光刃 3 2023-11-27 06:27 9 楼 0 bluefish蓝鱼你这样否定别人的成果，一踩一捧自己产品，这样的回复会让新人感到十分不舒服，严重打击他人的心态。你的回复已经对他人造成了影响，删除是应该的，但这并不会因为你删除影响就消失了，希望你作为圈内大佬，慎言 ... 1，我没有否定别人的工作。我只是说我没看懂。你的言论是你个人观念，而不是事实。 2，我也没有捧自己的产品，我发的是脚本文件，无产品信息。更没有打击别人。同样你这是诽谤。 3，我的回复是给论坛其他朋友看的，不是给您看的。同样您的回复让我心理也很不舒服。 4，我不知道您是谁，也不知道您出于什么目的，但是互联网不是法外之地。所以希望您停止无必要的言论攻击。
bluefish蓝鱼雪币： 9708 活跃值： (6687) 能力值： ( LV5，RANK：70 ) 在线值：发帖 19 回帖 131 粉丝 48 关注私信	bluefish蓝鱼 2023-11-28 01:19 10 楼 0 光刃 1，我没有否定别人的工作。我只是说我没看懂。你的言论是你个人观念，而不是事实。 2，我也没有捧自己的产品，我发的是脚本文件，无产品信息。更没有打击别人。同样你这是诽谤。 3，我的回复是给论坛其他朋 ... 那你看看贴主给你的回复，发这些招人嫌的回复，不就等着被人骂吗
光刃雪币： 608 活跃值： (3609) 能力值： ( LV12，RANK：200 ) 在线值：发帖 64 回帖 200 粉丝 43 关注私信	光刃 3 2023-11-28 07:32 11 楼 0 bluefish蓝鱼那你看看贴主给你的回复，发这些招人嫌的回复，不就等着被人骂吗为什么我删除脚本: 我个人认为pit脚本有利于了解文件格式解析，所以本着奉献精神，我贡献出了该样本的pit脚本。但是出于尔等的回复，我个人认为是不友好的，让我阅读后不适的，所以我删除了我发的pit脚本。我删除他不是义务，而是权利。而你执意的，持续的扩大争论战场，无中生有，诽谤，你到底是为了什么？是不是背后有其他的势力？我就不知道了。但是您的错误言论已经影响我方产品的商誉，可能已经对我方带来了严重的经济损失。望知晓！
UserXCh 雪币： 2028 活跃值： (1793) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 11 粉丝 0 关注私信	UserXCh 2023-11-28 11:14 12 楼 0 光刃为什么我删除脚本: 我个人认为pit脚本有利于了解文件格式解析，所以本着奉献精神，我贡献出了该样本的pit脚本。但是出于尔等的回复，我个人认为是不友好的，让我阅读后不适的，所以我删除了我发的pi ... 您好，非常抱歉打扰了，请问您的PIT脚本还愿意再分享一下吗？另外能否简短介绍一下是怎么根据样本文件快速生成脚本的，谢谢。
bluefish蓝鱼雪币： 9708 活跃值： (6687) 能力值： ( LV5，RANK：70 ) 在线值：发帖 19 回帖 131 粉丝 48 关注私信	bluefish蓝鱼 2023-11-28 16:10 13 楼 1 光刃为什么我删除脚本: 我个人认为pit脚本有利于了解文件格式解析，所以本着奉献精神，我贡献出了该样本的pit脚本。但是出于尔等的回复，我个人认为是不友好的，让我阅读后不适的，所以我删除了我发的pi ... 乐
光刃雪币： 608 活跃值： (3609) 能力值： ( LV12，RANK：200 ) 在线值：发帖 64 回帖 200 粉丝 43 关注私信	光刃 3 2023-11-28 17:30 14 楼 0 UserXCh 您好，非常抱歉打扰了，请问您的PIT脚本还愿意再分享一下吗？另外能否简短介绍一下是怎么根据样本文件快速生成脚本的，谢谢。不分享上面所述格式的pit脚本了，已经删除了。既然删除了就没必要再发了。分享一个pdf的吧。 https://bbs.kanxue.com/thread-278268.htm 生成方式:把任意格式样本投喂给我们的软件，我们软件全自动生成。如果你想自己尝试，可以尝试试用版软件。软件下载地址:www.asm64.com/new 选白皮蒜
yszwang 雪币： 352 活跃值： (661) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 1 关注私信	yszwang 2023-12-7 16:06 15 楼 0 感谢楼主的分享
mb_aryyjtar 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_aryyjtar 2024-4-7 16:05 16 楼 0 想问下，是否有修改abc代码的方式
hx九七雪币： 40 活跃值： (604) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 4 粉丝 2 关注私信	hx九七 2024-4-11 00:14 17 楼 0 mb_aryyjtar 想问下，是否有修改abc代码的方式理论上改里面字节码就行，官方仓库有反汇编器和汇编器。要装到 HarmonyOS（非 OpenHarmony）估计要重签名，这方面没了解过。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

hx九七

发帖

回帖

RANK

关注

私信

他的文章

[原创] （3/2更新）abc 文件格式解析模板（010Editor）

[原创] 开源自己写的简陋 x86-32 反汇编器 Kaleidoscope

关于我们

联系我们

企业服务

看雪公众号

最新回复 (16)
光刃雪币： 608 活跃值： (3609) 能力值： ( LV12，RANK：200 ) 在线值：发帖 64 回帖 200 粉丝 43 关注私信	光刃 3 2023-11-26 11:52 2 楼 0 11111111111111111111111111 最后于 2023-11-26 12:07 被光刃编辑，原因：
hx九七雪币： 40 活跃值： (604) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 4 粉丝 2 关注私信	hx九七 2023-11-26 12:01 3 楼 0 光刃这个abc有啥用，是漏洞挖掘吗？你解析这个是干啥？用了多少时间？我们对你发的样本进行了解析，用了3秒解析完毕。并输出pit脚本<?xml version=&qu ... 都不知道是干啥用你在这回复啥？贴个 Peach 的输出干什么？你爱 fuzz 自个 fuzz 去
光刃雪币： 608 活跃值： (3609) 能力值： ( LV12，RANK：200 ) 在线值：发帖 64 回帖 200 粉丝 43 关注私信	光刃 3 2023-11-26 12:01 4 楼 0
bluefish蓝鱼雪币： 9708 活跃值： (6687) 能力值： ( LV5，RANK：70 ) 在线值：发帖 19 回帖 131 粉丝 48 关注私信	bluefish蓝鱼 2023-11-26 17:55 5 楼 0 光刃 [em_13] 不要在这里阴阳怪气，一点风度都没有，仗势欺人
光刃雪币： 608 活跃值： (3609) 能力值： ( LV12，RANK：200 ) 在线值：发帖 64 回帖 200 粉丝 43 关注私信	光刃 3 2023-11-26 18:11 6 楼 0 bluefish蓝鱼不要在这里阴阳怪气，一点风度都没有，仗势欺人大哥你这就不对了吧，我欺负谁了？既然该板块不需要看到fuzz类的信息，我删除就是了。您没必要这样无中生有吧。最后于 2023-11-26 18:12 被光刃编辑，原因：
秋狝雪币： 19410 活跃值： (29069) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1577 粉丝 30 关注私信	秋狝 2023-11-26 23:20 7 楼 1 感谢分享
bluefish蓝鱼雪币： 9708 活跃值： (6687) 能力值： ( LV5，RANK：70 ) 在线值：发帖 19 回帖 131 粉丝 48 关注私信	bluefish蓝鱼 2023-11-26 23:33 8 楼 0 光刃 bluefish蓝鱼不要在这里阴阳怪气，一点风度都没有，仗势欺人大哥你这就不对了吧，我欺负谁了？既然该板块不需要看到fuzz类的信息，我删除 ... 你这样否定别人的成果，一踩一捧自己产品，这样的回复会让新人感到十分不舒服，严重打击他人的心态。你的回复已经对他人造成了影响，删除是应该的，但这并不会因为你删除影响就消失了，希望你作为圈内大佬，慎言慎行。
光刃雪币： 608 活跃值： (3609) 能力值： ( LV12，RANK：200 ) 在线值：发帖 64 回帖 200 粉丝 43 关注私信	光刃 3 2023-11-27 06:27 9 楼 0 bluefish蓝鱼你这样否定别人的成果，一踩一捧自己产品，这样的回复会让新人感到十分不舒服，严重打击他人的心态。你的回复已经对他人造成了影响，删除是应该的，但这并不会因为你删除影响就消失了，希望你作为圈内大佬，慎言 ... 1，我没有否定别人的工作。我只是说我没看懂。你的言论是你个人观念，而不是事实。 2，我也没有捧自己的产品，我发的是脚本文件，无产品信息。更没有打击别人。同样你这是诽谤。 3，我的回复是给论坛其他朋友看的，不是给您看的。同样您的回复让我心理也很不舒服。 4，我不知道您是谁，也不知道您出于什么目的，但是互联网不是法外之地。所以希望您停止无必要的言论攻击。
bluefish蓝鱼雪币： 9708 活跃值： (6687) 能力值： ( LV5，RANK：70 ) 在线值：发帖 19 回帖 131 粉丝 48 关注私信	bluefish蓝鱼 2023-11-28 01:19 10 楼 0 光刃 1，我没有否定别人的工作。我只是说我没看懂。你的言论是你个人观念，而不是事实。 2，我也没有捧自己的产品，我发的是脚本文件，无产品信息。更没有打击别人。同样你这是诽谤。 3，我的回复是给论坛其他朋 ... 那你看看贴主给你的回复，发这些招人嫌的回复，不就等着被人骂吗
光刃雪币： 608 活跃值： (3609) 能力值： ( LV12，RANK：200 ) 在线值：发帖 64 回帖 200 粉丝 43 关注私信	光刃 3 2023-11-28 07:32 11 楼 0 bluefish蓝鱼那你看看贴主给你的回复，发这些招人嫌的回复，不就等着被人骂吗为什么我删除脚本: 我个人认为pit脚本有利于了解文件格式解析，所以本着奉献精神，我贡献出了该样本的pit脚本。但是出于尔等的回复，我个人认为是不友好的，让我阅读后不适的，所以我删除了我发的pit脚本。我删除他不是义务，而是权利。而你执意的，持续的扩大争论战场，无中生有，诽谤，你到底是为了什么？是不是背后有其他的势力？我就不知道了。但是您的错误言论已经影响我方产品的商誉，可能已经对我方带来了严重的经济损失。望知晓！
UserXCh 雪币： 2028 活跃值： (1793) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 11 粉丝 0 关注私信	UserXCh 2023-11-28 11:14 12 楼 0 光刃为什么我删除脚本: 我个人认为pit脚本有利于了解文件格式解析，所以本着奉献精神，我贡献出了该样本的pit脚本。但是出于尔等的回复，我个人认为是不友好的，让我阅读后不适的，所以我删除了我发的pi ... 您好，非常抱歉打扰了，请问您的PIT脚本还愿意再分享一下吗？另外能否简短介绍一下是怎么根据样本文件快速生成脚本的，谢谢。
bluefish蓝鱼雪币： 9708 活跃值： (6687) 能力值： ( LV5，RANK：70 ) 在线值：发帖 19 回帖 131 粉丝 48 关注私信	bluefish蓝鱼 2023-11-28 16:10 13 楼 1 光刃为什么我删除脚本: 我个人认为pit脚本有利于了解文件格式解析，所以本着奉献精神，我贡献出了该样本的pit脚本。但是出于尔等的回复，我个人认为是不友好的，让我阅读后不适的，所以我删除了我发的pi ... 乐
光刃雪币： 608 活跃值： (3609) 能力值： ( LV12，RANK：200 ) 在线值：发帖 64 回帖 200 粉丝 43 关注私信	光刃 3 2023-11-28 17:30 14 楼 0 UserXCh 您好，非常抱歉打扰了，请问您的PIT脚本还愿意再分享一下吗？另外能否简短介绍一下是怎么根据样本文件快速生成脚本的，谢谢。不分享上面所述格式的pit脚本了，已经删除了。既然删除了就没必要再发了。分享一个pdf的吧。 https://bbs.kanxue.com/thread-278268.htm 生成方式:把任意格式样本投喂给我们的软件，我们软件全自动生成。如果你想自己尝试，可以尝试试用版软件。软件下载地址:www.asm64.com/new 选白皮蒜
yszwang 雪币： 352 活跃值： (661) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 1 关注私信	yszwang 2023-12-7 16:06 15 楼 0 感谢楼主的分享
mb_aryyjtar 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_aryyjtar 2024-4-7 16:05 16 楼 0 想问下，是否有修改abc代码的方式
hx九七雪币： 40 活跃值： (604) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 4 粉丝 2 关注私信	hx九七 2024-4-11 00:14 17 楼 0 mb_aryyjtar 想问下，是否有修改abc代码的方式理论上改里面字节码就行，官方仓库有反汇编器和汇编器。要装到 HarmonyOS（非 OpenHarmony）估计要重签名，这方面没了解过。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复