Python利用capstone实现反汇编

更新时间：2022年04月06日 08:39:54 作者：lyshark

Capstone是一个轻量级的多平台、多架构的反汇编框架，该模块支持目前所有通用操作系统，反汇编架构几乎全部支持。本文就将利用他实现反汇编，感兴趣的可以了解下

Capstone是Kali Linux自带的一款轻量级反汇编引擎。它可以支持多种硬件构架，如ARM、ARM64、MIPS、X86。该框架使用C语言实现，但支持C++、Python、Ruby、OCaml、C#、Java和Go语言，具有很好的扩展性。因此，该框架被256种工具所集成，如Cuckoo、Binwalk、IntelliJ IDEA。渗透测试人员一额可以通过Python、Ruby语言编写脚本，引入Capstone引擎，从而构建自己的反汇编工具。

Capstone作为一个轻量级的多平台、多架构的反汇编框架，该模块支持目前所有通用操作系统，反汇编架构几乎全部支持。

capstone使用起来非常简单，如果只需要静态反汇编，则几行代码即可完成该功能了。

from capstone import *

# powerby LyShark
def Disassembly(path,BaseAddr,FileOffset,ReadByte):
    with open(path,"rb") as fp:
        fp.seek(int(FileOffset))
        opcode = fp.read(int(ReadByte))

    md = Cs(CS_ARCH_X86, CS_MODE_32)
    for item in md.disasm(opcode, 0):
        addr = int(BaseAddr) + item.address
        dic = {"Addr": str(addr) , "OpCode": item.mnemonic + " " + item.op_str}
        print(dic)

if __name__ == "__main__":
    # 文件名 内存地址 开始位置 长度
    Disassembly("d://Win32Project.exe",401000,0,1024)

如果需要针对.text节进行反汇编，则需要通过pefile模块找到该节所对应到文件中的位置，并从该位置开始向下反编译即可，代码如下：

from capstone import *
import pefile

# 遍历整个可执行文件并返回汇编代码,有一个小Bug
# powerby LyShark
def FOA_Disassembly(FilePath):
    opcode_list = []
    pe = pefile.PE(FilePath)
    ImageBase = pe.OPTIONAL_HEADER.ImageBase

    for item in pe.sections:
        if str(item.Name.decode('UTF-8').strip(b'\x00'.decode())) == ".text":
            # print("虚拟地址: 0x%.8X 虚拟大小: 0x%.8X" %(item.VirtualAddress,item.Misc_VirtualSize))
            VirtualAddress = item.VirtualAddress
            VirtualSize = item.Misc_VirtualSize
            ActualOffset = item.PointerToRawData
    StartVA = ImageBase + VirtualAddress
    StopVA = ImageBase + VirtualAddress + VirtualSize
    with open(FilePath,"rb") as fp:
        fp.seek(ActualOffset)
        HexCode = fp.read(VirtualSize)

    md = Cs(CS_ARCH_X86, CS_MODE_32)
    for item in md.disasm(HexCode, 0):
        addr = hex(int(StartVA) + item.address)
        dic = {"Addr": str(addr) , "OpCode": item.mnemonic + " " + item.op_str}
        print("[+] 反汇编地址: {} 参数: {}".format(addr,dic))
        opcode_list.append(dic)
    return opcode_list

if __name__ == "__main__":
    ref = FOA_Disassembly("d://Win32Project.exe")
    print(ref)

到此这篇关于Python利用capstone实现反汇编的文章就介绍到这了,更多相关Python capstone反汇编内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！

您可能感兴趣的文章:

python基础之递归函数
这篇文章主要介绍了python递归函数,实例分析了Python中返回一个返回值与多个返回值的方法,需要的朋友可以参考下
2021-10-10
python的launcher用法知识点总结
在本篇文章里小编给大家整理的是一篇关于python的launcher用法知识点总结内容，有兴趣的朋友们可以学习下。
2020-08-08
结合Python的SimpleHTTPServer源码来解析socket通信
SimpleHTTPServer是Python中一个现成的HTTP服务器例子,本文我们将结合Python的SimpleHTTPServer源码来解析socket通信,我们先来看一下socket的基本概念:
2016-06-06
用Python实现一个模仿UP主弹幕控制的直播间功能
up主通过代码实现了实时读取直播间里的弹幕内容，进而控制自己的电脑，把弹幕翻译成指令操控《赛博朋克2077》游戏，这篇文章主要介绍了用Python实现一个模仿UP主弹幕控制的直播间功能,需要的朋友可以参考下
2021-12-12
Python+selenium实现浏览器基本操作详解
这篇文章主要为大家详细介绍了如何通过python脚本实现浏览器的一些基本操作，如：浏览器的前进后退、页面刷新等，感兴趣的可以学习一下
2022-06-06
Django使用 Bootstrap 样式修改书籍列表过程解析
这篇文章主要介绍了Django使用 Bootstrap 样式修改书籍列表过程解析,文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
2019-08-08
Python3如何实现Win10桌面自动切换
这篇文章主要介绍了Python3如何实现Win10桌面自动切换,文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
2020-08-08
python实现二分查找算法
这篇文章主要介绍了python如何实现二分查找算法，帮助大家更好的理解和使用python，感兴趣的朋友可以了解下。
2020-09-09
python制作抖音代码舞
这篇文章主要为大家详细介绍了python制作抖音代码舞的方法，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2019-04-04
Django Web开发中django-debug-toolbar的配置以及使用
正在发愁怎么调试Django，就遇到了Django Debug Toolbar这个利器。下面这篇文章主要给大家介绍了关于django web开发中django-debug-toolbar的配置以及使用的相关资料，文中通过图文及示例代码介绍的非常详细，需要的朋友可以参考下
2018-05-05