[原创]打造自己的反汇编引擎——Intel指令编码学习报告（八）-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]打造自己的反汇编引擎——Intel指令编码学习报告（八）

发表于: 2008-12-1 23:42 23079

[原创]打造自己的反汇编引擎——Intel指令编码学习报告（八）

egogg

2008-12-1 23:42

23079

switch(opcode)
{
    case 0xXX:
    {
       /* 这里相当于已经知道了指令定义（什么指令，有些什么格式的参数），调用指令格式的各个解析部分，传入相应的参数就可以很容易解决了 */

       Mnemonic = "";
       operand1 = ParseModeRM(...)
       ....

       break;
    }

   default:
   {
      Mnemonic = "undefined";
   }
}

const char *ArithmeticMnemonic[] = {"add", "or", "adc", "sbb", "and", "sub", "xor", "cmp" };

case 0x00: case 0x01: case 0x02: case 0x03: 
case 0x08: case 0x09: case 0x0A: case 0x0B: 
case 0x10: case 0x11: case 0x12: case 0x13: 
case 0x18: case 0x19: case 0x1A: case 0x1B: 
case 0x20: case 0x21: case 0x22: case 0x23: 
case 0x28: case 0x29: case 0x2A: case 0x2B: 
case 0x30: case 0x31: case 0x32: case 0x33: 
case 0x38: case 0x39: case 0x3A: case 0x3B: 
{
	Instruction->Opcode = *currentCode;
	Instruction->dFlag = (*currentCode >> 1) & 1;
	Instruction->wFlag = (*currentCode) & 1;

	sprintf(mnemonic, ArithmeticMnemonic[(*currentCode >> 3) & 0x1F]);
			
	currentCode++;
	currentCode = ParseRegModRM(currentCode, Instruction, operand1, operand2);
			
	break;
}

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

exttable.png （72.51kb，1597次下载）
1byte.png （113.32kb，1573次下载）

收藏・24

免费・7

支持

最新回复 (18)
glery 雪币： 233 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 156 粉丝 0 关注私信	glery 2 2 楼学习啊，等这一篇很久啦 2008-12-1 23:44 0
lixupeng 雪币： 563 活跃值： (101) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 3 楼学习下 2008-12-1 23:49 0
egogg 雪币： 202 活跃值： (57) 能力值： ( LV9，RANK：370 ) 在线值：发帖 11 回帖 79 粉丝 9 关注私信	egogg 9 4 楼 code的识别好象是最难的了，因为CPU中有几个个code，要对这些code进行识别的确不容易，而且CPU中的code还一直呈现出增长趋势，而且每个code对应不同的操作数个数，这些操作数的寻址方式也各异...... 如果你的"计算机体系结构"知识还没有还给老师的话，你应该知道，CPU在设计时，为了提高比特位的利用率，也为了保证一个code不是另一个code的前缀（否则CPU也无法译码），code的编码采用的是哈夫曼算法。利用这个特性，code及其后继的操作数等信息的识别，应该很容易了吧。 code的最大长度是3个字节，当然可以是1个字节，也可以是2个字节，另外,对于某些特定的code,还有3个比特的信息也会用来表示code.这3比特在ModR/M的3、4和5位。当然每个code也最多只能有三个operand哦。对code的识别一般都是采用二维表格来驱动的。二维表格中记录了给各code的详细信息。这样code的识别就变成了查表，爽吧。这个表格建的怎么样，取决于你的需求。下面举一个例子来说明表格的信息，及其code的识别过程(拿call指令为例)：查看Intel官方手册（A－M卷）,你会发现call指令有四个code，手册列出分别为： E8 cw call re/16 E8 cd call re/32 F2 /2 call re/m16 F2 /2 call re/m32 F2 /2 call re/m64 9A cd call ptr16:16 9A cp call ptr16:32 FF /3 call m16:16 FF /3 call m16:32 关于它们的详细信息请查看Intel的官方手册，上面所列表明call的code占用一个字节，并且指令只有一个操作数，在手册上详细说明了E8是后面的操作数表示相对于下条指令的偏移，F2、FF和9A后面带的操作数是要调用的绝对地址。根据code的编码规则以及Intel的手册信息，可以用如下结构体来组织数据： typedef tagCodeInfo { long lMask; //掩码 long lCode; //code int nCodeLen; //code的长度 int nBitFeature; //特殊code标识 int nArg0; //第一个operand的寻址方式，这个地方用enum来定义最好，这里只是为了说明算法，就用int来定义了 int nArg1; //第二个operand的寻址方式，用0表示没有这个operand int nArg2; //第三个operand的寻址方式 std::string strCodeName; //code的助记符 }CodeInfo, PCodeInfo; 通过上面的结构体定义，可以很容易得到4个call的code对应的结构体数据定义了，如下： { 0x0000FF, 0x0000E8, 1, 0, 1, 0, 0, "call" }, { 0x0038FF, 0x0010FF, 1, 0, 2, 0, 0, "call" }, { 0x0000FF, 0x00009A, 1, 0, 3, 0, 0, "call" }, { 0x0038FF, 0x0018FF, 1, 0, 4, 0, 0, "call" }, 上面4个{}里的第一项和第二项看晕了吧，在说明这个问题时，先说说用这个数据结构是怎么进行code的识别的，设传进来要识别的code为 opCode，那么用这个计算公式可以识别code，(opCode ^ lCode) & lMask,只要这个家伙不为zero，就是我们千辛万苦要找的东东了。这里说下上面opCode的求法，opCode并不是传进来的buffer,因为每个code最多只有三个字节，而我们定义的结构体中用long来表示mask这些信息了，所以我们的opCode也要是long型的，很简单，只要传进来的buffer够长的话，用memcpy((char )&opCode, buffer, 3),如果不够3个字节了，有几个字节就把几个字节copy到(char *)&opCode处，另外说明的是，repeat prefixes是比较讨厌的，如果有这个东西在带反汇编的机器码中，opCode的求法还要加个opCode = (opCode << 8) \| repeat prefixes。下面说那两个项是怎么计算的了。 mask的计算方法：有指令的地方用FF，如果这个code用到了ModR/M中的那3个比特位，这ModR/M对应字节用38. lCode的计算方法：它对应的code照搬，如果这个code用到了ModR/M中的那3个比特位，/2和/3应该看到了吧，这它们乘以8 放ModR/M对应字节，为什么是8，是因为它ModR/M字节中表示code信息的那3个bits后面还有3个bits. 到这里code就识别完了，通过以上的那个结构体，我们连code对应的每个operand的寻址方式的求出来了，后面那几个域的识别就方便了，没有难度了。上面的是网络上的关于od用的那个反汇编引擎指令表的构建部分的知识。本打算对已有反汇编引擎的指令表设计方式总结一下的，但是水平实在有限。目前，正在尽自己最大的努力打造一个“好”反汇编引擎，倒不是为了重新造轮子，只是觉得好玩而已，希望能弄出来。使用的话，目前的反汇编引擎已经很多了，“好”的也不少。 2008-12-1 23:49 0
mik 雪币： 723 活跃值： (81) 能力值： ( LV9，RANK：170 ) 在线值：发帖 9 回帖 162 粉丝 11 关注私信	mik 4 5 楼你图中用红圈标识的有误纵向是高4位，横向是低4位 2008-12-1 23:54 0
egogg 雪币： 202 活跃值： (57) 能力值： ( LV9，RANK：370 ) 在线值：发帖 11 回帖 79 粉丝 9 关注私信	egogg 9 6 楼呵呵，犯糊涂了，已经修改了，谢谢！ 2008-12-2 10:10 0
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 7 楼要是写完这些学习报告后，楼主能把OD的反汇编引擎搞个源代码分析就好了 2008-12-2 10:26 0
细心雪币： 200 能力值： (RANK：10 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	细心 8 楼我还看不懂先收藏！ 2008-12-2 13:19 0
wyfe 雪币： 2575 活跃值： (502) 能力值： ( LV2，RANK：85 ) 在线值：发帖 65 回帖 461 粉丝 0 关注私信	wyfe 9 楼等这一篇很久 2008-12-2 18:26 0
fperfecter 雪币： 217 活跃值： (41) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 39 粉丝 0 关注私信	fperfecter 1 10 楼顶了你我再慢慢看啊哈哈等你好久了 ^_^ 2008-12-3 16:46 0
jordanpz 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 344 粉丝 0 关注私信	jordanpz 11 楼我建了驱动开发群，群号：67181435 2008-12-4 11:04 0
霹雳狂风雪币： 190 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 92 粉丝 0 关注私信	霹雳狂风 12 楼大爷能不能总结到一个帖子？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？ 2008-12-5 22:03 0
jerrylhj 雪币： 349 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 394 粉丝 0 关注私信	jerrylhj 13 楼俺还不懂，楼主辛苦了 2008-12-6 09:32 0
爱在他乡雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 37 粉丝 0 关注私信	爱在他乡 14 楼学习了，好东西呀，谢谢楼主 2008-12-6 17:40 0
iawen 雪币： 359 活跃值： (435) 能力值： ( LV9，RANK：150 ) 在线值：发帖 11 回帖 174 粉丝 1 关注私信	iawen 3 15 楼从7到8，有一段时间了，呵呵，持续关注中………… 谢谢楼主 2008-12-6 20:46 0
zeven 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	zeven 16 楼本人想实现一个linux运行简单dos程序的模拟器，现在只是在头脑中有个大概的想法，首先要有加载模块，然后是命令解释模块，命令解释模块会参考楼主的这个反汇编引擎，不过后面还有很多问题要考虑，比如中断什么的，不知道大家有什么建议。 2008-12-8 14:41 0
fanzzbbs 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	fanzzbbs 17 楼偶然看到此帖，大有裨益，神作啊 2011-6-15 19:55 0
宝马A 雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	宝马A 18 楼拜读完毕，开始整理知识和思路，自己也构建个简单的。 2011-10-20 16:56 0
三草儿雪币： 166 活跃值： (200) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	三草儿 19 楼看完了,本来还想debug几只虫子的,算了算了... 谢谢楼主,楼主辛苦了... 2012-12-25 15:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

egogg

发帖

回帖

370

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
glery 雪币： 233 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 156 粉丝 0 关注私信	glery 2 2 楼学习啊，等这一篇很久啦 2008-12-1 23:44 0
lixupeng 雪币： 563 活跃值： (101) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 3 楼学习下 2008-12-1 23:49 0
egogg 雪币： 202 活跃值： (57) 能力值： ( LV9，RANK：370 ) 在线值：发帖 11 回帖 79 粉丝 9 关注私信	egogg 9 4 楼 code的识别好象是最难的了，因为CPU中有几个个code，要对这些code进行识别的确不容易，而且CPU中的code还一直呈现出增长趋势，而且每个code对应不同的操作数个数，这些操作数的寻址方式也各异...... 如果你的"计算机体系结构"知识还没有还给老师的话，你应该知道，CPU在设计时，为了提高比特位的利用率，也为了保证一个code不是另一个code的前缀（否则CPU也无法译码），code的编码采用的是哈夫曼算法。利用这个特性，code及其后继的操作数等信息的识别，应该很容易了吧。 code的最大长度是3个字节，当然可以是1个字节，也可以是2个字节，另外,对于某些特定的code,还有3个比特的信息也会用来表示code.这3比特在ModR/M的3、4和5位。当然每个code也最多只能有三个operand哦。对code的识别一般都是采用二维表格来驱动的。二维表格中记录了给各code的详细信息。这样code的识别就变成了查表，爽吧。这个表格建的怎么样，取决于你的需求。下面举一个例子来说明表格的信息，及其code的识别过程(拿call指令为例)：查看Intel官方手册（A－M卷）,你会发现call指令有四个code，手册列出分别为： E8 cw call re/16 E8 cd call re/32 F2 /2 call re/m16 F2 /2 call re/m32 F2 /2 call re/m64 9A cd call ptr16:16 9A cp call ptr16:32 FF /3 call m16:16 FF /3 call m16:32 关于它们的详细信息请查看Intel的官方手册，上面所列表明call的code占用一个字节，并且指令只有一个操作数，在手册上详细说明了E8是后面的操作数表示相对于下条指令的偏移，F2、FF和9A后面带的操作数是要调用的绝对地址。根据code的编码规则以及Intel的手册信息，可以用如下结构体来组织数据： typedef tagCodeInfo { long lMask; //掩码 long lCode; //code int nCodeLen; //code的长度 int nBitFeature; //特殊code标识 int nArg0; //第一个operand的寻址方式，这个地方用enum来定义最好，这里只是为了说明算法，就用int来定义了 int nArg1; //第二个operand的寻址方式，用0表示没有这个operand int nArg2; //第三个operand的寻址方式 std::string strCodeName; //code的助记符 }CodeInfo, PCodeInfo; 通过上面的结构体定义，可以很容易得到4个call的code对应的结构体数据定义了，如下： { 0x0000FF, 0x0000E8, 1, 0, 1, 0, 0, "call" }, { 0x0038FF, 0x0010FF, 1, 0, 2, 0, 0, "call" }, { 0x0000FF, 0x00009A, 1, 0, 3, 0, 0, "call" }, { 0x0038FF, 0x0018FF, 1, 0, 4, 0, 0, "call" }, 上面4个{}里的第一项和第二项看晕了吧，在说明这个问题时，先说说用这个数据结构是怎么进行code的识别的，设传进来要识别的code为 opCode，那么用这个计算公式可以识别code，(opCode ^ lCode) & lMask,只要这个家伙不为zero，就是我们千辛万苦要找的东东了。这里说下上面opCode的求法，opCode并不是传进来的buffer,因为每个code最多只有三个字节，而我们定义的结构体中用long来表示mask这些信息了，所以我们的opCode也要是long型的，很简单，只要传进来的buffer够长的话，用memcpy((char )&opCode, buffer, 3),如果不够3个字节了，有几个字节就把几个字节copy到(char *)&opCode处，另外说明的是，repeat prefixes是比较讨厌的，如果有这个东西在带反汇编的机器码中，opCode的求法还要加个opCode = (opCode << 8) \| repeat prefixes。下面说那两个项是怎么计算的了。 mask的计算方法：有指令的地方用FF，如果这个code用到了ModR/M中的那3个比特位，这ModR/M对应字节用38. lCode的计算方法：它对应的code照搬，如果这个code用到了ModR/M中的那3个比特位，/2和/3应该看到了吧，这它们乘以8 放ModR/M对应字节，为什么是8，是因为它ModR/M字节中表示code信息的那3个bits后面还有3个bits. 到这里code就识别完了，通过以上的那个结构体，我们连code对应的每个operand的寻址方式的求出来了，后面那几个域的识别就方便了，没有难度了。上面的是网络上的关于od用的那个反汇编引擎指令表的构建部分的知识。本打算对已有反汇编引擎的指令表设计方式总结一下的，但是水平实在有限。目前，正在尽自己最大的努力打造一个“好”反汇编引擎，倒不是为了重新造轮子，只是觉得好玩而已，希望能弄出来。使用的话，目前的反汇编引擎已经很多了，“好”的也不少。 2008-12-1 23:49 0
mik 雪币： 723 活跃值： (81) 能力值： ( LV9，RANK：170 ) 在线值：发帖 9 回帖 162 粉丝 11 关注私信	mik 4 5 楼你图中用红圈标识的有误纵向是高4位，横向是低4位 2008-12-1 23:54 0
egogg 雪币： 202 活跃值： (57) 能力值： ( LV9，RANK：370 ) 在线值：发帖 11 回帖 79 粉丝 9 关注私信	egogg 9 6 楼呵呵，犯糊涂了，已经修改了，谢谢！ 2008-12-2 10:10 0
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 7 楼要是写完这些学习报告后，楼主能把OD的反汇编引擎搞个源代码分析就好了 2008-12-2 10:26 0
细心雪币： 200 能力值： (RANK：10 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	细心 8 楼我还看不懂先收藏！ 2008-12-2 13:19 0
wyfe 雪币： 2575 活跃值： (502) 能力值： ( LV2，RANK：85 ) 在线值：发帖 65 回帖 461 粉丝 0 关注私信	wyfe 9 楼等这一篇很久 2008-12-2 18:26 0
fperfecter 雪币： 217 活跃值： (41) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 39 粉丝 0 关注私信	fperfecter 1 10 楼顶了你我再慢慢看啊哈哈等你好久了 ^_^ 2008-12-3 16:46 0
jordanpz 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 344 粉丝 0 关注私信	jordanpz 11 楼我建了驱动开发群，群号：67181435 2008-12-4 11:04 0
霹雳狂风雪币： 190 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 92 粉丝 0 关注私信	霹雳狂风 12 楼大爷能不能总结到一个帖子？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？ 2008-12-5 22:03 0
jerrylhj 雪币： 349 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 394 粉丝 0 关注私信	jerrylhj 13 楼俺还不懂，楼主辛苦了 2008-12-6 09:32 0
爱在他乡雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 37 粉丝 0 关注私信	爱在他乡 14 楼学习了，好东西呀，谢谢楼主 2008-12-6 17:40 0
iawen 雪币： 359 活跃值： (435) 能力值： ( LV9，RANK：150 ) 在线值：发帖 11 回帖 174 粉丝 1 关注私信	iawen 3 15 楼从7到8，有一段时间了，呵呵，持续关注中………… 谢谢楼主 2008-12-6 20:46 0
zeven 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	zeven 16 楼本人想实现一个linux运行简单dos程序的模拟器，现在只是在头脑中有个大概的想法，首先要有加载模块，然后是命令解释模块，命令解释模块会参考楼主的这个反汇编引擎，不过后面还有很多问题要考虑，比如中断什么的，不知道大家有什么建议。 2008-12-8 14:41 0
fanzzbbs 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	fanzzbbs 17 楼偶然看到此帖，大有裨益，神作啊 2011-6-15 19:55 0
宝马A 雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	宝马A 18 楼拜读完毕，开始整理知识和思路，自己也构建个简单的。 2011-10-20 16:56 0
三草儿雪币： 166 活跃值： (200) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	三草儿 19 楼看完了,本来还想debug几只虫子的,算了算了... 谢谢楼主,楼主辛苦了... 2012-12-25 15:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复