當(dāng)前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

PE文件反汇编

發(fā)布時(shí)間：2023/12/29 编程问答 34 豆豆

生活随笔收集整理的這篇文章主要介紹了 PE文件反汇编小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.

PE文件反匯編

1.PE文件
- 1.1 Dos頭
- - 1.1.1 使用python pefile 庫讀取PE文件，查看DOS頭
  - 1.1.2 使用16進(jìn)制文本編輯器 UltraEdit 打開PE文件
- 1.2 NI頭
- - 1.2.1 使用python pefile 庫讀取PE文件，查看IN頭
- 1.3 節(jié)表頭
- - 1.3.1 使用16進(jìn)制文本編輯器 UltraEdit 查看各節(jié)表頭
  - 1.3.2 使用python pefile 庫讀取PE文件，查看.text節(jié)表頭
- 1.4 節(jié)表內(nèi)容（.text）
2.反匯編
- 2.1 使用python capstone進(jìn)行反匯編

1.PE文件

PE文件結(jié)構(gòu)主要分為4部分:DOS頭、NI頭、節(jié)表頭、各節(jié)表的內(nèi)容。

1.1 Dos頭

1.1.1 使用python pefile 庫讀取PE文件，查看DOS頭

1.1.2 使用16進(jìn)制文本編輯器 UltraEdit 打開PE文件

可通過DOS夠識別一個(gè)文件是否為PE文件;文件的前兩個(gè)字節(jié)為4D 5A（MZ）以及在0x3c位置有一個(gè)地址值，該方式可以判定該文件為PE文件;

1.2 NI頭

1.2.1 使用python pefile 庫讀取PE文件，查看IN頭

NI頭中保存著，PE文件的一些基本信息

1.3 節(jié)表頭

1.3.1 使用16進(jìn)制文本編輯器 UltraEdit 查看各節(jié)表頭

上圖中有：.text、.rdate、.edata等字節(jié)頭

1.3.2 使用python pefile 庫讀取PE文件，查看.text節(jié)表頭

1.4 節(jié)表內(nèi)容（.text）

由.text節(jié)表頭可知:VirtualAddress：0x1000 (起始地址)Misc_VirtualSize:0x6ff6a8 (大小)

2.反匯編

2.1 使用python capstone進(jìn)行反匯編

思路：1.解析PE文件，得到PE文件中.text的起始地址和大小；2.將文件中對應(yīng)地址和大小的.text節(jié)表內(nèi)容取出，然后使用python capstone進(jìn)行反匯編；

import pefile from capstone import *def main(path):global ActualOffset, VirtualSize, VirtualAddressopcode_list = []pe = pefile.PE(path)print(pe.DOS_HEADER) #DOS頭信息print(pe.NT_HEADERS) #NT頭信息print(pe.FILE_HEADER)print(pe.OPTIONAL_HEADER)ImageBase = pe.OPTIONAL_HEADER.ImageBasefor section in pe.sections:print(section) #節(jié)表信息for section in pe.sections:if section.Name == b'.text\x00\x00\x00':VirtualAddress = section.VirtualAddress #獲取.text起始地址VirtualSize = section.Misc_VirtualSize #獲取.text大小StartVA = ImageBase + VirtualAddressStoptVA = ImageBase + VirtualAddress + VirtualSize# 打開 elf 文件fp = open(path, 'rb')fp.seek(VirtualAddress) #偏移至.text字節(jié)起始位置HexCode = fp.read(VirtualSize)md = Cs(CS_ARCH_X86, CS_MODE_64)for item in md.disasm(HexCode, 0):addr = hex(int(StartVA) + item.address)dic = {"Addr": str(addr) , "OpCode": item.mnemonic + " " + item.op_str}print("[+] 反匯編地址: {} 參數(shù): {}".format(addr,dic))opcode_list.append(dic)if __name__ == '__main__':path = "D:\avcodec.dll"main(path)

總結(jié)

以上是生活随笔為你收集整理的PE文件反汇编的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。

上一篇： CF1027B Numbers on t
下一篇：计算机英语教案模板,英语教案模板全英文精