快捷導(dǎo)航

Python利用capstone實現(xiàn)反匯編

更新時間：2022年04月06日 08:39:54 作者：lyshark

Capstone是一個輕量級的多平臺、多架構(gòu)的反匯編框架，該模塊支持目前所有通用操作系統(tǒng)，反匯編架構(gòu)幾乎全部支持。本文就將利用他實現(xiàn)反匯編，感興趣的可以了解下

Capstone是Kali Linux自帶的一款輕量級反匯編引擎。它可以支持多種硬件構(gòu)架，如ARM、ARM64、MIPS、X86。該框架使用C語言實現(xiàn)，但支持C++、Python、Ruby、OCaml、C#、Java和Go語言，具有很好的擴展性。因此，該框架被256種工具所集成，如Cuckoo、Binwalk、IntelliJ IDEA。滲透測試人員一額可以通過Python、Ruby語言編寫腳本，引入Capstone引擎，從而構(gòu)建自己的反匯編工具。

Capstone作為一個輕量級的多平臺、多架構(gòu)的反匯編框架，該模塊支持目前所有通用操作系統(tǒng)，反匯編架構(gòu)幾乎全部支持。

capstone使用起來非常簡單，如果只需要靜態(tài)反匯編，則幾行代碼即可完成該功能了。

from capstone import *

# powerby LyShark
def Disassembly(path,BaseAddr,FileOffset,ReadByte):
    with open(path,"rb") as fp:
        fp.seek(int(FileOffset))
        opcode = fp.read(int(ReadByte))

    md = Cs(CS_ARCH_X86, CS_MODE_32)
    for item in md.disasm(opcode, 0):
        addr = int(BaseAddr) + item.address
        dic = {"Addr": str(addr) , "OpCode": item.mnemonic + " " + item.op_str}
        print(dic)

if __name__ == "__main__":
    # 文件名 內(nèi)存地址 開始位置 長度
    Disassembly("d://Win32Project.exe",401000,0,1024)

如果需要針對.text節(jié)進行反匯編，則需要通過pefile模塊找到該節(jié)所對應(yīng)到文件中的位置，并從該位置開始向下反編譯即可，代碼如下：

from capstone import *
import pefile

# 遍歷整個可執(zhí)行文件并返回匯編代碼,有一個小Bug
# powerby LyShark
def FOA_Disassembly(FilePath):
    opcode_list = []
    pe = pefile.PE(FilePath)
    ImageBase = pe.OPTIONAL_HEADER.ImageBase

    for item in pe.sections:
        if str(item.Name.decode('UTF-8').strip(b'\x00'.decode())) == ".text":
            # print("虛擬地址: 0x%.8X 虛擬大小: 0x%.8X" %(item.VirtualAddress,item.Misc_VirtualSize))
            VirtualAddress = item.VirtualAddress
            VirtualSize = item.Misc_VirtualSize
            ActualOffset = item.PointerToRawData
    StartVA = ImageBase + VirtualAddress
    StopVA = ImageBase + VirtualAddress + VirtualSize
    with open(FilePath,"rb") as fp:
        fp.seek(ActualOffset)
        HexCode = fp.read(VirtualSize)

    md = Cs(CS_ARCH_X86, CS_MODE_32)
    for item in md.disasm(HexCode, 0):
        addr = hex(int(StartVA) + item.address)
        dic = {"Addr": str(addr) , "OpCode": item.mnemonic + " " + item.op_str}
        print("[+] 反匯編地址: {} 參數(shù): {}".format(addr,dic))
        opcode_list.append(dic)
    return opcode_list

if __name__ == "__main__":
    ref = FOA_Disassembly("d://Win32Project.exe")
    print(ref)