运行简单示例时 Capstone 反汇编程序的奇怪行为
问题描述 投票:0回答:1
我玩了 Capstone 反汇编程序,发现了奇怪的行为。
我创建了一个简单的程序,它采用
notepad.exe.text问题:看起来反汇编在
0x1c00.text0x400注1:Capstone版本:5.0.1.
注2:文件未损坏。
注3:pefile正确加载文件。
注 4:在 Windows 上运行示例时的行为相同。
注 5:其他文件上的行为相同。
这是一个错误还是我做错了什么?
代码:
import pefile
from capstone import *
exe_file = '/home/user/TEST/notepad.exe'
pe = pefile.PE(exe_file)
# find .text section
offset = False
for section in pe.sections:
if section.Name == b'.text\x00\x00\x00':
offset = section.VirtualAddress
code_ptr = section.PointerToRawData
code_end_ptr = code_ptr + section.SizeOfRawData
print("@@@ offset=0x{:0x} code_ptr=0x{:0x} code_end_ptr=0x{:0x}".format(offset, code_ptr, code_end_ptr))
break
code = pe.get_memory_mapped_image()[code_ptr : code_end_ptr]
# start disassembling text section
md = Cs(CS_ARCH_X86, CS_MODE_64)
md.detail = True
if offset:
for i in md.disasm(code, offset):
print(i)
print("end")
输出:
@@@ offset=0x1000 code_ptr=0x400 code_end_ptr=0x24a00
<CsInsn 0x1000 [cc]: int3 >
<CsInsn 0x1001 [cc]: int3 >
<CsInsn 0x1002 [cc]: int3 >
<CsInsn 0x1003 [cc]: int3 >
<CsInsn 0x1004 [cc]: int3 >
<CsInsn 0x1005 [cc]: int3 >
<CsInsn 0x1006 [cc]: int3 >
<CsInsn 0x1007 [cc]: int3 >
<CsInsn 0x1008 [4c8bdc]: mov r11, rsp>
<CsInsn 0x100b [4881ec88000000]: sub rsp, 0x88>
...
<CsInsn 0x1bf4 [e847fdffff]: call 0x1940>
<CsInsn 0x1bf9 [eb0c]: jmp 0x1c07>
<CsInsn 0x1bfb [4c8d05d659cccc]: lea r8, [rip - 0x3333a62a]> <-- disassembly interrups immediately after 0x1c00,
<CsInsn 0x1c02 [cc]: int3 > <-- starts from the beginning of .text,
<CsInsn 0x1c03 [cc]: int3 >
<CsInsn 0x1c04 [cc]: int3 >
<CsInsn 0x1c05 [cc]: int3 >
<CsInsn 0x1c06 [cc]: int3 >
<CsInsn 0x1c07 [cc]: int3 >
<CsInsn 0x1c08 [4c8bdc]: mov r11, rsp>
<CsInsn 0x1c0b [4881ec88000000]: sub rsp, 0x88>
...
<CsInsn 0x255ee [cc]: int3 >
<CsInsn 0x255ef [cc]: int3 >
<CsInsn 0x255f0 [4883790800]: cmp qword ptr [rcx + 8], 0>
<CsInsn 0x255f5 [488d05d4290000]: lea rax, [rip + 0x29d4]> <-- and ends 0x400 bytes before it should
end
IDA Pro拆解(供参考):
1个回答
0
投票
投票
“默认情况下,Capstone 在遇到损坏的指令时会停止反汇编。”
尝试打开 SKIPDATA 模式
import pefile
from capstone import *
exe_file = '/home/user/TEST/notepad.exe'
pe = pefile.PE(exe_file)
# find .text section
offset = False
for section in pe.sections:
if section.Name == b'.text\x00\x00\x00':
offset = section.VirtualAddress
code_ptr = section.PointerToRawData
code_end_ptr = code_ptr + section.SizeOfRawData
print("@@@ offset=0x{:0x} code_ptr=0x{:0x} code_end_ptr=0x{:0x}".format(offset, code_ptr, code_end_ptr))
break
code = pe.get_memory_mapped_image()[code_ptr : code_end_ptr]
# start disassembling text section
md = Cs(CS_ARCH_X86, CS_MODE_64)
md.detail = True
md.skipdata = True # turn on skipdata mode
if offset:
for i in md.disasm(code, offset):
print(i)
print("end")
最新问题
- 在 ngx-charts-pie-chart 中添加图例项的链接?
- 签名 cookie 不存在时 Cloudfront 重定向
- 在 flutter 中每 x 小时显示一条通知
- django asgi 引发 django.core.exceptions.AppRegistryNotReady:应用程序尚未加载
- 滚动在 Angular ionic 中消失了
- Gitlab maven部署到包registry
- Laravel 11 模型中的数组到字符串转换
- 尝试安装opencve时遇到错误
- `ConversationSummaryBufferMemory` 未完全定义;你应该定义`BaseCache`,然后调用`ConversationSummaryBufferMemory.model_rebuild()`
- 如何在Gitlab中部署maven库依赖?
- Azure Blob 上传无法在 ASP .Net Core 应用程序中工作
- AWS EventBridge 规则中是否有通配符?
- WebStorm TypeScript 类型可视化在类型悬停时不显示初始类型
- 在多个 Larapex 图表上显示多个数据
- 构建轮子并根据操作系统安装软件包版本
- Matter js - 带孔的 svg 路径无法正确显示
- 找不到模块“firebase_analytics”(Flutter/iOS)
- 在摩纳哥编辑器的上下文菜单中禁用剪切和复制
- 如何修复此错误错误:无法找到路径为“tituloQueHacer -> 6 -> descripcion”的控件
- @Async 和 @Transaction 方面顺序
© www.soinside.com 2019 - 2024. All rights reserved.