C++/ C# - как использовать дизассемблер Capstone
Я работаю над проектом, и ему нужен дизассемблер для преобразования машинного кода в инструкции по сборке... я решил использовать любой дизассемблер с открытым исходным кодом, я пробовал zydis и capstone... они не работают, я использую visual studio 15 professional... я попытался сделать примеры Capstone на GitHub, но это не сработало, я использовал привязку C++ и этот код:::
#pragma once
#include <cccapstone/cppbindings/X86Disasm.hh>
namespace CapstoneBindingsTest
{
#define RANDOM_CODE "\xed\x00\x00\x00\x00\x1a\x5a\x0f\x1f\xff\xc2\x09\x80\x00\x00\x00\x07\xf7\xeb\x2a\xff\xff\x7f\x57\xe3\x01\xff\xff\x7f\x57\xeb\x00\xf0\x00\x00\x24\xb2\x4f\x00\x78"
static
size_t
SkipDataCallback(
__in const uint8_t *buffer,
__in uint64_t offset,
__in void *p
)
{
printf("\nskip data callback ! : %x %p !", offset, buffer);
return 1;//just for test, skip 1instr *data*
}
static
void
DisasmData(
__in CCsDisasm<CX86InsClass>& dis,
__in const void* code,
__in size_t size
)
{
dis.SetSyntax(cs_opt_value::CS_OPT_SYNTAX_INTEL);
auto insn = dis.Disasm(code, size);
if (!insn.get())
return;
printf("\n\nDISASM :\n\n");
for (size_t i = 0; i < insn->Count; i++)
{
printf("-> 0x%p:\t%s\t%s\n", insn->Instructions(i)->address, insn->Instructions(i)->mnemonic, insn->Instructions(i)->op_str);
//TODO
#if 0
if (!insn->Instructions(i).IsInInsGroup(x86_insn_group::X86_GRP_JUMP))
continue;
printf("\nCONTROL FLOW CHANGE instruction detected!\n");
printf("-> 0x%p:\t%s\t%s\n", insn->Instructions(i)->address, insn->Instructions(i)->mnemonic, insn->Instructions(i)->op_str);
#endif
}
}
static
void
X64Disasm(
__in const void* code,
__in size_t size,
__in bool allInfo = false
)
{
CX86Disasm64 dis;
if (dis.GetError())
return;
DisasmData(dis, code, size);
}
static
void
X64DisasmCallback(
__in const void* code,
__in size_t size,
__in bool allInfo = false
)
{
CX86Disasm64 dis;
if (dis.GetError())
return;
if (allInfo)
dis.SetDetail(cs_opt_value::CS_OPT_ON);
dis.SetSkipDataCallback(cs_opt_skipdata{ ".UNKOWNBYTES : ", SkipDataCallback, nullptr });
DisasmData(dis, code, size);
}
};
я скопировал и вставил папку cppbinginds в папку моего проекта и попытался скомпилировать код для консольного приложения win32 и позже, консольного приложения clr, но я получаю несколько ошибок для переменной insn и некоторых других... я также пробовал этот код для Zydis:::
#include <stdio.h>
#include <Zydis/Zydis.h>
int main()
{
uint8_t data[] =
{
0x51, 0x8D, 0x45, 0xFF, 0x50, 0xFF, 0x75, 0x0C, 0xFF, 0x75,
0x08, 0xFF, 0x15, 0xA0, 0xA5, 0x48, 0x76, 0x85, 0xC0, 0x0F,
0x88, 0xFC, 0xDA, 0x02, 0x00
};
// Initialize decoder context.
ZydisDecoder decoder;
ZydisDecoderInit(
&decoder,
ZYDIS_MACHINE_MODE_LONG_64,
ZYDIS_ADDRESS_WIDTH_64);
// Initialize formatter. Only required when you actually plan to
// do instruction formatting ("disassembling"), like we do here.
ZydisFormatter formatter;
ZydisFormatterInit(&formatter, ZYDIS_FORMATTER_STYLE_INTEL);
// Loop over the instructions in our buffer.
uint64_t instructionPointer = 0x007FFFFFFF400000;
uint8_t* readPointer = data;
size_t length = sizeof(data);
ZydisDecodedInstruction instruction;
while (ZYDIS_SUCCESS(ZydisDecoderDecodeBuffer(
&decoder, readPointer, length, instructionPointer, &instruction)))
{
// Print current instruction pointer.
printf("%016" PRIX64 " ", instructionPointer);
// Format & print the binary instruction
// structure to human readable format.
char buffer[256];
ZydisFormatterFormatInstruction(
&formatter, &instruction, buffer, sizeof(buffer));
puts(buffer);
readPointer += instruction.length;
length -= instruction.length;
instructionPointer += instruction.length;
}
}
я ожидал, что результат будет:::
007FFFFFFF400000 push rcx
007FFFFFFF400001 lea eax, [rbp-0x01]
007FFFFFFF400004 push rax
007FFFFFFF400005 push qword ptr [rbp+0x0C]
007FFFFFFF400008 push qword ptr [rbp+0x08]
007FFFFFFF40000B call [0x008000007588A5B1]
007FFFFFFF400011 test eax, eax
007FFFFFFF400013 js 0x007FFFFFFF42DB15
но я получил ошибки компиляции, я не могу вспомнить ошибки, но я буду обновлять этот пост, как только я доберусь до своего компьютера...
так что я просто хотел узнать, что я делаю неправильно, или, если есть лучший пример, который я мог бы попробовать, я не хочу, чтобы кто-то создавал весь код для меня... я только хочу иметь возможность преобразовывать байты по адресу в сборку Инструкции для Windows, любая помощь будет признательна. Любой пример ответа в C++/ C#/ Python будет принята с благодарностью... Спасибо заранее
ps, плз, не понижайте рейтинг в этом посте, потому что он вам не нравится / вы думаете, что это такой нубский вопрос, я просто хочу узнать, и я провел исследование настолько, насколько мог
также примеры кода были получены с GitHub
1 ответ
Простой ответ, используйте C#, установите пакет https://www.nuget.org/packages/Gee.External.Capstone
Затем посмотрите "Быстрый пример" со страницы GitHub.
Если вам нужно разобрать реальные модули Win32, а не только байтовые массивы, используйте библиотеку PeNet для анализа файла и найдите .text раздел, и мой служебный класс, чтобы разобрать.