如何通过指令读取二进制可执行文件？

debugcn 发表于 Dev

礼帽哈雷

有没有办法以编程方式从 x86 架构上的二进制可执行文件中读取给定数量的指令？

如果我有一个简单的 C 程序的二进制文件hello.c：

#include <stdio.h>

int main(){
    printf("Hello world\n");
    return 0;
}

使用编译后gcc，反汇编的函数main如下所示：

000000000000063a <main>:
 63a:   55                      push   %rbp
 63b:   48 89 e5                mov    %rsp,%rbp
 63e:   48 8d 3d 9f 00 00 00    lea    0x9f(%rip),%rdi        # 6e4 <_IO_stdin_used+0x4>
 645:   e8 c6 fe ff ff          callq  510 <puts@plt>
 64a:   b8 00 00 00 00          mov    $0x0,%eax
 64f:   5d                      pop    %rbp
 650:   c3                      retq   
 651:   66 2e 0f 1f 84 00 00    nopw   %cs:0x0(%rax,%rax,1)
 658:   00 00 00 
 65b:   0f 1f 44 00 00          nopl   0x0(%rax,%rax,1)

在 C 中有没有一种简单的方法来读取例如前三个指令（意思是字节55, 48, 89, e5, 48, 8d, 3d, 9f, 00, 00, 00）main？不能保证函数看起来像这样 - 第一条指令可能具有所有不同的操作码和大小。

让-弗朗索瓦·法布尔

这main通过获取函数的地址并转换为unsigned char, 以十六进制打印的指针来打印函数的前 10 个字节。

这个小片段不计算指令。为此，您需要一个指令大小表（不是很困难，只是很乏味，除非您发现该表已经完成，每条 asm 指令的大小是多少？）才能在给定第一个字节的情况下预测每条指令的大小。

（当然，除非您所针对的处理器具有固定的指令大小，这使得解决问题变得微不足道）

调试器也必须解码操作数，但在某些情况下，例如 step 或 trace，我怀疑他们有一个方便的表来计算下一个断点地址。

#include <stdio.h>

int main(){
    printf("Hello world\n");
    const unsigned char *start = (const char *)&main;
    int i;
    for (i=0;i<10;i++)
    {
       printf("%x\n",start[i]);
    }    
    return 0;
}

输出：

Hello world
55
89
e5
83
e4
f0
83
ec
20
e8

似乎与拆卸相匹配:)

00401630 <_main>:
  401630:   55                      push   %ebp
  401631:   89 e5                   mov    %esp,%ebp
  401633:   83 e4 f0                and    $0xfffffff0,%esp
  401636:   83 ec 20                sub    $0x20,%esp
  401639:   e8 a2 01 00 00          call   4017e0 <___main>

本文收集自互联网，转载请注明来源。

如有侵权，请联系[email protected] 删除。