文章目录

一、反汇编二进制机器码

在创建 Capstone 实例对象 , 并设置 detail 属性为 True ;

在之前读取了 节区 二进制数据 , 这些数据就是需要反汇编的机器码数据 ;

调用 反汇编解析器 的 disasm 方法 , 向汇编解析器中传入 节区数据 对应的 二进制数据 , 这些二进制数据都是机器码数据 , 即 , 需要反汇编这些二进制数据为 汇编 代码 ;

第一个参数设置二进制数据 ;第二个参数指的是读取 raw 二进制数据的起始地址 , 一般设置 0 即可 ;

调用 反汇编解析器 的 disasm 方法 , 得到的是反汇编后的汇编代码列表 , 如果反汇编失败 , 此处为空 ;

# 读取 节区 二进制数据# 这是需要反汇编的机器码数据raw = file.read(sh_size)# 创建 Capstone 实例对象capstone = Cs(CS_ARCH_X86, CS_MODE_32)# 此处设置为 true , 表示需要显示细节 , 打开后 , 会标明每条汇编代码中对寄存器的影响# 如 : 本条汇编代码中 , 会读写哪些寄存器capstone.detail = True# 向汇编解析器中传入 节区数据 对应的 二进制数据 , 这些二进制数据都是机器码数据# 即 , 需要反汇编这些二进制数据为 汇编 代码# 第一个参数设置二进制数据# 第二个参数指的是读取 raw 二进制数据的起始地址 , 一般设置 0 即可# 得到的是反汇编后的汇编代码列表 , 如果反汇编失败 , 此处为空disasm = capstone.disasm(raw, 0)

二、打印反汇编数据

调用 反汇编解析器 的 disasm 方法 , 得到的是反汇编后的汇编代码列表 ;

遍历该汇编代码列表 , 可以得到该行汇编代码对应的 汇编代码 ;

要打印的结果如下 :

00000000: push ebx ; 读寄存器:esp. 写寄存器:esp ; 机器码 :53

在开始位置打印汇编代码地址 , 然后是 汇编指令 , 操作对象 ;

之后将汇编代码 读取的寄存器 , 写出的寄存器 打印出来 ;

最后打印出该行汇编代码对应的机器码 ;

打印汇编代码 :

# 遍历反汇编代码列表for line in disasm:# 打印每行汇编代码的 地址 , 指令 , 操作对象text = '%08X: %s %s ' % (line.address, line.mnemonic, line.op_str)# 统计汇编代码行的字符串个数 , 保证在第 55 字节处打印寄存器读写信息# 00000000: push ebx ; 读寄存器:esp 写寄存器:esp ; 机器码 :53length = len(text)if length < 55:text += ' ' * (55 - length)text += ';'# 读取操作影响到的寄存器if hasattr(line, 'regs_read') and len(line.regs_read) > 0:text += ' 读寄存器:'for j, r in enumerate(line.regs_read):if j > 0:text += ','text += '%s' % line.reg_name(r)# 写出操作影响到的寄存器if hasattr(line, 'regs_write') and len(line.regs_write) > 0:text += ' 写寄存器:'for j, r in enumerate(line.regs_write):if j > 0:text += ','text += '%s' % line.reg_name(r)text += ' ; 机器码 :'# 打印 本条汇编代码对应的 机器码for i in range(line.size):text += '%02X ' % line.bytes[i]# 打印最终数据print(text)

分析 打印结果 :

该操作是 入栈操作 , 肯定会影响到 esp 栈寄存器 ; 该汇编代码对应的机器码是 0x53 ;

00000000: push ebx ; 读寄存器:esp. 写寄存器:esp ; 机器码 :53

下面的汇编代码 , 调用0xab, 会读取 esp,eip 寄存器 , 写出 esp 寄存器 ;

00000001: call 0xab; 读寄存器:esp,eip. 写寄存器:esp ; 机器码 :E8 A5 00 00 00

【Android 逆向】使用 Python 解析 ELF 文件 ( Capstone 反汇编 ELF 文件中的机器码数据 | 反汇编二进制机器码 | 打印反汇编数据 )