选定项目启动

image.png

反汇编引擎:OPCODE->汇编指令

BeaEngine_4.1的介绍

BeaEngine_4.1.zip
image.png

BeaEngine_4.1的使用

第一步:
1.包含头文件
#include “headers/BeaEngine.h”
2.包含静态库
#pragma comment(lib,”win32/lib/BeaEngine.lib”)

第二步:
初始化反汇编引擎
DISASM objDism;

第三步:传入
objDism.EIP = (UIntPtr)bCODE; // 将EIP指向我们定义的字节数组
objDism.VirtualAddr = 0x411650; // 虚拟内存地址(反汇编引擎用于计算地址,验证时填为当前测试OD中的地址)
objDism.Archi = 0; // 平台X86
objDism.Options = MasmSyntax; // 汇编器语法
DWORD dwTmpEip = (DWORD)bCODE;

第四步:调用传出
Disasm(&objDism);
例如:DWORD dwVirtualAddr = (DWORD)objDism.VirtualAddr; // 用于输出的虚拟地址
printf(“0x%08X:\t%s\n”, dwVirtualAddr, objDism.CompleteInstr); // 用于打印测试

  2. #define BEA_ENGINE_STATIC
  3. #define BEA_USE_STDCALL
  5. #include "headers/BeaEngine.h"
  6. // 将win32文件夹和header复制到当前代码处
  7. #pragma comment(lib,"win32/lib/BeaEngine.lib")
  8. #pragma comment(linker,"/NODEFAULTLIB:\"CRT.lib\"")
  9. #include <windows.h>
  10. #include <stdio.h>
  11. int main()
  12. {
  13.     // 将字节码翻译成汇编指令
  14.     BYTE bCODE[] = {    // 测试字节码,随意从X32DBG中抠取一段字节码出来
  15.                     0x55, 0x8B, 0xEC, 0x83, 0xEC, 0x44, 0x53, 0x56, 0x57, 0xC7, 0x45, 0xFC, 0x00, 0x00, 0x00, 0x00,
  16.                     0x6A, 0x02, 0x6A, 0x01, 0xE8, 0x2B, 0xFC, 0xFF, 0xFF, 0x83, 0xC4, 0x08, 0x89, 0x45, 0xFC, 0x33,
  17.                     0xC0, 0x5F, 0x5E, 0x5B, 0x8B, 0xE5, 0x5D, 0xC3 };
  19.     // 1.初始化反汇编引擎
  20.     DISASM objDism;
  21.     objDism.EIP = (UIntPtr)bCODE;    // 将EIP指向我们定义的字节数组
  22.     objDism.VirtualAddr = 0x411650;    // 虚拟内存地址(反汇编引擎用于计算地址,验证时填为当前测试OD中的地址)
  23.     objDism.Archi = 0;                // 平台X86
  24.     objDism.Options = MasmSyntax;    // 汇编器语法
  25.     DWORD dwTmpEip = (DWORD)bCODE;
  26.     while (TRUE)
  27.     {
  28.         if ((objDism.EIP - (DWORD)bCODE) >= sizeof(bCODE))    // 此测试代码用于不要越过数组而已
  29.         {
  30.             break;
  31.         }
  32.         DWORD dwLen = Disasm(&objDism);    // 开始反汇编,返回值是汇编指令总字节数
  33.         dwTmpEip += dwLen;
  34.         DWORD dwVirtualAddr = (DWORD)objDism.VirtualAddr;    // 用于输出的虚拟地址
  35.         printf("0x%08X:\t%s\n", dwVirtualAddr, objDism.CompleteInstr);    // 用于打印测试
  36.         objDism.EIP = dwTmpEip;                        // 每次修改一下反汇编引擎的EIP和虚拟地址,否则对一些指令的解析将不准确
  37.         objDism.VirtualAddr = objDism.VirtualAddr + dwLen;
  38.     }
  40.     return 0;
  41. }

capstone的介绍

capstone-4.0.1-win32.zip
capstone-4.0.1-win64.zip
image.png

capstone的使用

第一步:
1.包含头文件
#include “capstone-4.0.1-win32/include/capstone/capstone.h”
2.显示调用
// 使用显示调用的方式
HMODULE hcs = LoadLibrary(L”capstone-4.0.1-win32/capstone.dll”);

// 定义函数指针
typedef cs_err(cdecl pFun_cs_open)(cs_arch, cs_mode, csh);
typedef size_t(cdecl pFun_cs_disasm)(csh, const uint8_t, size_t, uint64_t, size_t, cs_insn *insn);

pFun_cs_open pcs_Open = (pFun_cs_open)GetProcAddress(hcs, “cs_open”);//
pFun_cs_disasm pcs_Disasm = (pFun_cs_disasm)GetProcAddress(hcs, “cs_disasm”);
这两个函数的作用
image.png

第二步:初始化反汇编句柄
csh csHandle;
cs_err csErr;
csErr = pcs_Open(CS_ARCH_X86, CS_MODE_32, &csHandle);

第三步:传入

// 将字节码翻译成汇编指令
BYTE bCODE[] = { // 测试字节码,随意从X32DBG中抠取一段字节码出来
0x55, 0x8B, 0xEC, 0x83, 0xEC, 0x44, 0x53, 0x56, 0x57, 0xC7, 0x45, 0xFC, 0x00, 0x00, 0x00, 0x00,
0x6A, 0x02, 0x6A, 0x01, 0xE8, 0x2B, 0xFC, 0xFF, 0xFF, 0x83, 0xC4, 0x08, 0x89, 0x45, 0xFC, 0x33,
0xC0, 0x5F, 0x5E, 0x5B, 0x8B, 0xE5, 0x5D, 0xC3 };
DWORD dwVirtualAddr = 0x411650;
cs_insn* pInsn;

第四步:调用传出
dwCnt = pcs_Disasm(csHandle, (uint8_t)bCODE, sizeof(bCODE), dwVirtualAddr, NULL, &pInsn);
// 输出反汇编信息
for (int i = 0; i < dwCnt; i++)
{
printf(“0x%08X:\t%s %s\n”, (DWORD)pInsn[i].address, pInsn[i].mnemonic, pInsn[i].op_str);
}

image.png

关于#prama的用法:https://blog.csdn.net/qq_23350817/article/details/100672387

  2. #include <windows.h>
  3. #include <stdio.h>
  4. #ifdef _64
  5. #include "capstone-4.0.1-win64/include/capstone/capstone.h"
  6. #else
  7. #include "capstone-4.0.1-win32/include/capstone/capstone.h"
  8. #endif // _64
  10. // 定义函数指针
  11. typedef cs_err(__cdecl *pFun_cs_open)(cs_arch, cs_mode, csh*);
  12. typedef size_t(__cdecl *pFun_cs_disasm)(csh, const uint8_t, size_t, uint64_t, size_t, cs_insn **insn);
  14. int main()
  15. {
  16.     // 使用显示调用的方式
  17.     HMODULE hcs = LoadLibrary(L"capstone-4.0.1-win32/capstone.dll");
  18.     if (!hcs)
  19.     {
  20.         printf("没有找到反汇编模块\n");
  21.         return 0;
  22.     }
  23.     pFun_cs_open pcs_Open = (pFun_cs_open)GetProcAddress(hcs, "cs_open");
  25.     pFun_cs_disasm pcs_Disasm = (pFun_cs_disasm)GetProcAddress(hcs, "cs_disasm");
  26.     if ((pcs_Open == 0) || (pcs_Disasm == 0))
  27.     {
  28.         printf("函数获取失败\n");
  29.         return 0;
  30.     }
  31.     csh csHandle;
  32.     cs_err csErr;
  33.     cs_insn* pInsn;
  34.     DWORD dwCnt = 0;
  36.     // 初始化反汇编句柄
  38.     csErr = pcs_Open(CS_ARCH_X86, CS_MODE_32, &csHandle);
  39.     if (CS_ERR_OK != csErr)
  40.     {
  41.         printf("初始化反汇编器句柄失败\n");
  42.         return 0;
  43.     }
  44.     // 将字节码翻译成汇编指令
  45.     BYTE bCODE[] = {    // 测试字节码,随意从X32DBG中抠取一段字节码出来
  46.                     0x55, 0x8B, 0xEC, 0x83, 0xEC, 0x44, 0x53, 0x56, 0x57, 0xC7, 0x45, 0xFC, 0x00, 0x00, 0x00, 0x00,
  47.                     0x6A, 0x02, 0x6A, 0x01, 0xE8, 0x2B, 0xFC, 0xFF, 0xFF, 0x83, 0xC4, 0x08, 0x89, 0x45, 0xFC, 0x33,
  48.                     0xC0, 0x5F, 0x5E, 0x5B, 0x8B, 0xE5, 0x5D, 0xC3 };
  49.     DWORD dwVirtualAddr = 0x411650;
  50.     dwCnt = pcs_Disasm(csHandle, (uint8_t)bCODE, sizeof(bCODE), dwVirtualAddr, NULL, &pInsn);
  51.     // 输出反汇编信息
  52.     for (int i = 0; i < dwCnt; i++)
  53.     {
  54.         printf("0x%08X:\t%s %s\n", (DWORD)pInsn[i].address, pInsn[i].mnemonic, pInsn[i].op_str);
  55.     }
  56.     return 0;
  57. }

汇编引擎:汇编指令->OPCODE

keystone的介绍

keystone.zip
image.png

keystone的使用

第一步:1. 包含头文件
#include “keystone/keystone.h”
2. 包含静态库
#pragma comment (lib,”keystone/x86/keystone_x86.lib”)

第二步:初始化汇编引擎
ks_engine* pEngine = NULL;
ks_open(KS_ARCH_X86, KS_MODE_32, &pEngine)

第三步:传入
unsigned char* opcode = NULL; // 汇编得到的opcode的缓冲区首地址
unsigned int nOpcodeSize = 0; // 汇编出来的opcode的字节数
size_t stat_count = 0; // 保存成功汇编的指令的条数
CHAR szAsmCode[MAX_PATH] = { 0 };
DWORD dwVirtualAddr = 0;
printf(“输入要写入的地址:\n”);
scanf_s(“%x”, &dwVirtualAddr);

第四步:调用输出
ks_asm(pEngine,
szAsmCode,
dwVirtualAddr, /汇编指令所在的地址/
&opcode, /输出的opcode/
&nOpcodeSize, /输出的opcode的字节数/
&stat_count /输出成功汇编的指令的条数/);

  2. #include <stdio.h>
  3. //1. 包含头文件
  4. #include "keystone/keystone.h"
  6. //2. 包含静态库
  7. #pragma comment (lib,"keystone/x86/keystone_x86.lib")
  10. // 打印opcode
  11. void printOpcode(const unsigned char* pOpcode, int nSize)
  12. {
  13.     for (int i = 0; i < nSize; ++i) {
  14.         printf("%02X ", pOpcode[i]);
  15.     }
  16. }
  18. #include <windows.h>
  19. int main()
  20. {
  21.     ks_engine* pEngine = NULL;
  22.     // 初始化汇编引擎
  23.     if (KS_ERR_OK != ks_open(KS_ARCH_X86, KS_MODE_32, &pEngine))
  24.     {
  25.         printf("反汇编引擎初始化失败\n");
  26.         return 0;
  27.     }
  29.     int nRet = 0;                    // 保存函数的返回值,用于判断函数是否执行成功
  30.     unsigned char* opcode = NULL;    // 汇编得到的opcode的缓冲区首地址
  31.     unsigned int nOpcodeSize = 0;    // 汇编出来的opcode的字节数
  32.     size_t stat_count = 0;            // 保存成功汇编的指令的条数
  34. // 输入汇编指令
  35. // 可以使用分号,或者换行符将指令分隔开
  36.     CHAR szAsmCode[MAX_PATH] = { 0 };
  37.     DWORD dwVirtualAddr = 0;
  38.     printf("输入要写入的地址:\n");
  39.     scanf_s("%x", &dwVirtualAddr);
  40.     getchar();
  41.     while (TRUE)
  42.     {
  44.         gets_s(szAsmCode, MAX_PATH);
  47.         nRet = ks_asm(pEngine, szAsmCode,
  48.             dwVirtualAddr,    /*汇编指令所在的地址*/
  49.             &opcode,        /*输出的opcode*/
  50.             &nOpcodeSize,    /*输出的opcode的字节数*/
  51.             &stat_count        /*输出成功汇编的指令的条数*/);
  53.         // 返回值等于-1时 汇编错误
  54.         if (nRet == -1) {
  55.             // 输出错误信息
  56.             // ks_errno 获得错误码
  57.             // ks_strerror 将错误码转换成字符串,并返回这个字符串
  58.             printf("错误信息:%s\n", ks_strerror(ks_errno(pEngine)));
  59.             // 清空字节码
  60.             memset(szAsmCode, 0, MAX_PATH);
  61.         }
  63.         printf("一共转换了%d条指令\n", stat_count);
  65.         // 打印汇编出来的opcode
  66.         printOpcode(opcode, nOpcodeSize);
  68.     }
  69.     // 释放空间
  70.     ks_free(opcode);
  71.     // 关闭句柄
  72.     ks_close(pEngine);
  74.     return 0;
  75. }

XEDParse的介绍

XEDParse.zip
image.png

XEDParse的使用

第一步:
1.包含头文件
#include “XEDParse/XEDParse.h”
2.导入静态库
#pragma comment(lib,”XEDParse/x86/XEDParse_x86.lib”)

第二步:初始化引擎
XEDPARSE xed = { 0 };

第三步:传入
printf(“输入汇编指令:\n”);
gets_s(xed.instr, XEDPARSE_MAXBUFSIZE);

第四步:调用输出
XEDParseAssemble(&xed);

  2. #include "XEDParse/XEDParse.h"
  4. #ifdef _WIN64
  5. #pragma comment (lib,"XEDParse/x64/XEDParse_x64.lib")
  6. #else
  7. #pragma comment(lib,"XEDParse/x86/XEDParse_x86.lib")
  8. #endif // _WIN64
  10. #include <stdio.h>
  11. int main()
  12. {
  13.     XEDPARSE xed = { 0 };
  14.     do
  15.     {
  16.         printf("输入汇编指令:\n");
  18.         gets_s(xed.instr, XEDPARSE_MAXBUFSIZE);
  19.         DWORD dwRet = XEDParseAssemble(&xed);
  20.         if (XEDPARSE_OK != dwRet)
  21.         {
  22.             printf("指令错误\n", xed.error);
  23.             continue;
  24.         }
  25.         BYTE* dbAddr = xed.dest;
  26.         for (int i = 0; i < xed.dest_size; i++)
  27.         {
  28.             printf("%1X ", *dbAddr);
  29.             dbAddr++;
  30.         }
  31.         printf("\n");
  32.     } while (*xed.instr);
  33.     return 0;
  34. }