LyScript 插件提供的反匯編系列函數(shù)雖然能夠?qū)崿F(xiàn)基本的反匯編功能，但在實(shí)際使用中，可能會(huì)遇到一些更為復(fù)雜的需求，此時(shí)就需要根據(jù)自身需要進(jìn)行二次開發(fā)，以實(shí)現(xiàn)更加高級(jí)的功能。本章將繼續(xù)深入探索反匯編功能，并將介紹如何實(shí)現(xiàn)反匯編代碼的檢索、獲取上下一條代碼等功能。這些功能對(duì)于分析和調(diào)試代碼都非常有用，因此是書中重要的內(nèi)容之一。在本章的學(xué)習(xí)過程中，讀者不僅可以掌握反匯編的基礎(chǔ)知識(shí)和技巧，還能夠了解如何進(jìn)行插件的開發(fā)和調(diào)試，這對(duì)于提高讀者的技能和能力也非常有幫助。

4.10.1 搜索內(nèi)存機(jī)器碼特征

首先我們來實(shí)現(xiàn)第一種需求，通過LyScript插件實(shí)現(xiàn)搜索內(nèi)存中的特定機(jī)器碼，此功能當(dāng)然可通過scan_memory_all()系列函數(shù)實(shí)現(xiàn)，但讀者希望你能通過自己的理解調(diào)用原生API接口實(shí)現(xiàn)這個(gè)需求，要實(shí)現(xiàn)該功能第一步則是需要封裝一個(gè)GetCode()函數(shù)，該函數(shù)的作用是讀取進(jìn)程數(shù)據(jù)到內(nèi)存中。

其中dbg.get_local_base()用于獲取當(dāng)前進(jìn)程內(nèi)的首地址，而通過start_address + dbg.get_local_size()的方式則可獲取到該程序的結(jié)束地址，當(dāng)確定了讀取范圍后再通過dbg.read_memory_byte(index)循環(huán)即可將程序的內(nèi)存數(shù)據(jù)讀入，而ReadHexCode()僅僅只是一個(gè)格式化函數(shù)，這段程序的核心代碼可以總結(jié)為如下樣子；

# 將可執(zhí)行文件中的單數(shù)轉(zhuǎn)換為 0x00 格式
def ReadHexCode(code):
    hex_code = []

    for index in code:
        if index >= 0 and index <= 15:
            #print("0" + str(hex(index).replace("0x","")))
            hex_code.append("0" + str(hex(index).replace("0x","")))
        else:
            hex_code.append(hex(index).replace("0x",""))
            #print(hex(index).replace("0x",""))

    return hex_code

# 獲取到內(nèi)存中的機(jī)器碼
def GetCode():
    try:
        ref_code = []
        dbg = MyDebug()
        connect_flag = dbg.connect()
        if connect_flag != 1:
            return None

        start_address = dbg.get_local_base()
        end_address = start_address + dbg.get_local_size()

        # 循環(huán)得到機(jī)器碼
        for index in range(start_address,end_address):
            read_bytes = dbg.read_memory_byte(index)
            ref_code.append(read_bytes)

        dbg.close()
        return ref_code
    except Exception:
        return False

接著則需要讀者封裝實(shí)現(xiàn)一個(gè)SearchHexCode()搜索函數(shù)，如下這段代碼實(shí)現(xiàn)了在給定的字節(jié)數(shù)組中搜索特定的十六進(jìn)制特征碼的功能。

具體而言，函數(shù)接受三個(gè)參數(shù)：Code表示要搜索的字節(jié)數(shù)組，SearchCode表示要匹配的特征碼，ReadByte表示要搜索的字節(jié)數(shù)。

函數(shù)首先獲取特征碼的長(zhǎng)度，并通過一個(gè)for循環(huán)遍歷給定字節(jié)數(shù)組中的所有可能匹配的位置。對(duì)于每個(gè)位置，函數(shù)獲取該位置及其后面SearchCount個(gè)字節(jié)的十六進(jìn)制表示形式，并將其與給定的特征碼進(jìn)行比較。如果有一位不匹配，則計(jì)數(shù)器重置為0，否則計(jì)數(shù)器加1。如果計(jì)數(shù)器最終等于特征碼長(zhǎng)度，則說明已找到完全匹配的特征碼，函數(shù)返回True。如果遍歷完整個(gè)數(shù)組都沒有找到匹配的特征碼，則函數(shù)返回False。

# 在字節(jié)數(shù)組中匹配是否與特征碼一致
def SearchHexCode(Code,SearchCode,ReadByte):
    SearchCount = len(SearchCode)
    #print("特征碼總長(zhǎng)度: {}".format(SearchCount))
    for item in range(0,ReadByte):
        count = 0
        # 對(duì)十六進(jìn)制數(shù)切片,每次向后遍歷SearchCount
        OpCode = Code[ 0+item :SearchCount+item ]
        #print("切割數(shù)組: {} --> 對(duì)比: {}".format(OpCode,SearchCode))
        try:
            for x in range(0,SearchCount):
                if OpCode[x] == SearchCode[x]:
                    count = count + 1
                    #print("尋找特征碼計(jì)數(shù): {} {} {}".format(count,OpCode[x],SearchCode[x]))
                    if count == SearchCount:
                        # 如果找到了,就返回True,否則返回False
                        return True
                        exit(0)
        except Exception:
            pass
    return False

有了這兩段程序的實(shí)現(xiàn)流程，那么完成特征碼搜索功能將變得很容易實(shí)現(xiàn)，如下主函數(shù)中運(yùn)行后則可搜索進(jìn)程內(nèi)search中所涉及到的機(jī)器碼，當(dāng)搜索到后則返回一個(gè)狀態(tài)。

if __name__ == "__main__":
    # 讀取到內(nèi)存機(jī)器碼
    ref_code = GetCode()
    if ref_code != False:
        # 轉(zhuǎn)為十六進(jìn)制
        hex_code = ReadHexCode(ref_code)
        code_size = len(hex_code)

        # 指定要搜索的特征碼序列
        search = ['c0', '74', '0d', '66', '3b', 'c6', '77', '08']

        # 搜索特征: hex_code = exe的字節(jié)碼,search=搜索特征碼,code_size = 搜索大小
        ret = SearchHexCode(hex_code, search, code_size)
        if ret == True:
            print("特征碼 {} 存在".format(search))
        else:
            print("特征碼 {} 不存在".format(search))
    else:
        print("讀入失敗")

由于此類搜索屬于枚舉類，所以搜索效率會(huì)明顯變低，搜索結(jié)束后則會(huì)返回該特征值是否存在的一個(gè)標(biāo)志；

4.10.2 搜索內(nèi)存反匯編特征

而與之對(duì)應(yīng)的，當(dāng)讀者搜索反匯編代碼時(shí)則無需自行實(shí)現(xiàn)內(nèi)存讀入功能，LyScript插件內(nèi)提供了dbg.get_disasm_code(eip,1000)函數(shù)，可以讓我們很容易的實(shí)現(xiàn)讀取內(nèi)存的功能，如下案例中，搜索特定反匯編指令集，當(dāng)找到后返回其內(nèi)存地址；

from LyScript32 import MyDebug

# 檢索指定序列中是否存在一段特定的指令集
def SearchOpCode(OpCodeList,SearchCode,ReadByte):
    SearchCount = len(SearchCode)
    for item in range(0,ReadByte):
        count = 0
        OpCode_Dic = OpCodeList[ 0 + item : SearchCount + item ]
        # print("切割字典: {}".format(OpCode_Dic))
        try:
            for x in range(0,SearchCount):
                if OpCode_Dic[x].get("opcode") == SearchCode[x]:
                    #print(OpCode_Dic[x].get("addr"),OpCode_Dic[x].get("opcode"))
                    count = count + 1
                    if count == SearchCount:
                        #print(OpCode_Dic[0].get("addr"))
                        return OpCode_Dic[0].get("addr")
                        exit(0)
        except Exception:
            pass

if __name__ == "__main__":
    dbg = MyDebug()
    connect_flag = dbg.connect()
    print("連接狀態(tài): {}".format(connect_flag))

    # 得到EIP位置
    eip = dbg.get_register("eip")

    # 反匯編前1000行
    disasm_dict = dbg.get_disasm_code(eip,1000)

    # 搜索一個(gè)指令序列,用于快速查找構(gòu)建漏洞利用代碼
    SearchCode = [
        ["ret", "push ebp", "mov ebp,esp"],
        ["push ecx", "push ebx"]
    ]

    # 檢索內(nèi)存指令集
    for item in range(0,len(SearchCode)):
        Search = SearchCode[item]
        # disasm_dict = 返回匯編指令 Search = 尋找指令集 1000 = 向下檢索長(zhǎng)度
        ret = SearchOpCode(disasm_dict,Search,1000)
        if ret != None:
            print("指令集: {} --> 首次出現(xiàn)地址: {}".format(SearchCode[item],hex(ret)))

    dbg.close()

如上代碼當(dāng)搜尋到SearchCode內(nèi)的指令序列時(shí)則自動(dòng)輸出內(nèi)存地址，輸出效果圖如下所示；

4.10.3 獲取上下一條匯編指令

LyScript 插件默認(rèn)并沒有提供上一條與下一條匯編指令的獲取功能，筆者認(rèn)為通過親自動(dòng)手封裝實(shí)現(xiàn)功能能夠讓讀者更好的理解內(nèi)存斷點(diǎn)的工作原理，則本次我們將親自動(dòng)手實(shí)現(xiàn)這兩個(gè)功能。

在x64dbg中，軟件斷點(diǎn)的實(shí)現(xiàn)原理與通用的軟件斷點(diǎn)實(shí)現(xiàn)原理類似。具體來說，x64dbg會(huì)在程序的指令地址處插入一個(gè)中斷指令，一般是int3指令。這個(gè)指令會(huì)觸發(fā)一個(gè)軟件中斷，從而讓程序停止執(zhí)行，等待調(diào)試器處理。在插入中斷指令之前，x64dbg會(huì)先將這個(gè)地址處的原始指令保存下來。這樣，當(dāng)程序被調(diào)試器停止時(shí)，調(diào)試器就可以將中斷指令替換成原始指令，讓程序恢復(fù)執(zhí)行。

為了實(shí)現(xiàn)軟件斷點(diǎn)，x64dbg需要修改程序的可執(zhí)行代碼。具體來說，它會(huì)將指令的第一個(gè)字節(jié)替換成中斷指令的操作碼，這樣當(dāng)程序執(zhí)行到這個(gè)指令時(shí)就會(huì)觸發(fā)中斷。如果指令長(zhǎng)度不足一個(gè)字節(jié)，x64dbg會(huì)將這個(gè)指令轉(zhuǎn)換成跳轉(zhuǎn)指令，跳轉(zhuǎn)到另一個(gè)地址，然后在這個(gè)地址處插入中斷指令。

此外在調(diào)試器中設(shè)置軟件斷點(diǎn)時(shí)，x64dbg會(huì)根據(jù)指令地址的特性來判斷是否可以設(shè)置斷點(diǎn)。如果指令地址不可執(zhí)行，x64dbg就無法在這個(gè)地址處設(shè)置斷點(diǎn)。另外，由于軟件斷點(diǎn)會(huì)修改程序的可執(zhí)行代碼，因此在某些情況下，設(shè)置過多的軟件斷點(diǎn)可能會(huì)影響程序的性能。

讀者注意：實(shí)現(xiàn)獲取下一條匯編指令的獲取，需要注意如果是被命中的指令，則此處應(yīng)該是CC斷點(diǎn)占用一個(gè)字節(jié)，如果不是則正常獲取到當(dāng)前指令即可。

• 1.我們需要檢查當(dāng)前內(nèi)存斷點(diǎn)是否被命中，如果沒有命中則說明，此處需要獲取到原始的匯編指令長(zhǎng)度，然后與當(dāng)前eip地址相加獲得。
• 2.如果命中了斷點(diǎn)，則此處又會(huì)兩種情況，如果是用戶下的斷點(diǎn)，則此處調(diào)試器會(huì)在指令位置替換為CC斷點(diǎn)，也就是匯編中的init停機(jī)指令，該指令占用1個(gè)字節(jié)，需要eip+1得到。而如果是系統(tǒng)斷點(diǎn)，EIP所停留的位置，則我們需要正常獲取當(dāng)前指令地址，此處調(diào)試器沒有改動(dòng)匯編指令，僅僅只下了異常斷點(diǎn)。

from LyScript32 import MyDebug

# 獲取當(dāng)前EIP指令的下一條指令
def get_disasm_next(dbg,eip):
    next = 0

    # 檢查當(dāng)前內(nèi)存地址是否被下了絆子
    check_breakpoint = dbg.check_breakpoint(eip)

    # 說明存在斷點(diǎn)，如果存在則這里就是一個(gè)字節(jié)了
    if check_breakpoint == True:

        # 接著判斷當(dāng)前是否是EIP，如果是EIP則需要使用原來的字節(jié)
        local_eip = dbg.get_register("eip")

        # 說明是EIP并且命中了斷點(diǎn)
        if local_eip == eip:
            dis_size = dbg.get_disasm_operand_size(eip)
            next = eip + dis_size
            next_asm = dbg.get_disasm_one_code(next)
            return next_asm
        else:
            next = eip + 1
            next_asm = dbg.get_disasm_one_code(next)
            return next_asm
        return None

    # 不是則需要獲取到原始匯編代碼的長(zhǎng)度
    elif check_breakpoint == False:
        # 得到當(dāng)前指令長(zhǎng)度
        dis_size = dbg.get_disasm_operand_size(eip)
        next = eip + dis_size
        next_asm = dbg.get_disasm_one_code(next)
        return next_asm
    else:
        return None

if __name__ == "__main__":
    dbg = MyDebug()
    dbg.connect()

    eip = dbg.get_register("eip")

    next = get_disasm_next(dbg,eip)
    print("下一條指令: {}".format(next))

    prev = get_disasm_next(dbg,4584103)
    print("下一條指令: {}".format(prev))

    dbg.close()

如上代碼則是顯現(xiàn)設(shè)置斷點(diǎn)的核心指令集，讀者可自行測(cè)試是否可讀取到當(dāng)前指令的下一條指令，其輸出效果如下圖所示；

讀者注意：獲取上一條匯編指令時(shí)，由于上一條指令的獲取難點(diǎn)就在于，我們無法確定當(dāng)前指令的上一條指令到底有多長(zhǎng)，所以只能用笨辦法，逐行掃描對(duì)比匯編指令，如果找到則取出其上一條指令即可。

from LyScript32 import MyDebug

# 獲取當(dāng)前EIP指令的上一條指令
def get_disasm_prev(dbg,eip):
    prev_dasm = None
    # 得到當(dāng)前匯編指令
    local_disasm = dbg.get_disasm_one_code(eip)

    # 只能向上掃描10行
    eip = eip - 10
    disasm = dbg.get_disasm_code(eip,10)

    # 循環(huán)掃描匯編代碼
    for index in range(0,len(disasm)):
        # 如果找到了,就取出他的上一個(gè)匯編代碼
        if disasm[index].get("opcode") == local_disasm:
            prev_dasm = disasm[index-1].get("opcode")
            break

    return prev_dasm

if __name__ == "__main__":
    dbg = MyDebug()
    dbg.connect()

    eip = dbg.get_register("eip")

    next = get_disasm_prev(dbg,eip)
    print("上一條指令: {}".format(next))

    dbg.close()

運(yùn)行后即可讀入當(dāng)前EIP的上一條指令位置處的反匯編指令，輸出效果如下圖所示；

文章來源地址http://www.zghlxwxcb.cn/news/detail-544156.html

到了這里，關(guān)于4.10 x64dbg 反匯編功能的封裝的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！