• 几种ARM反汇编器


    http://blog.claudxiao.net/2011/12/arm-disassemblers/

    最近在为androguard实现ARM反汇编和ARM漏洞利用代码检测的功能。Anthony告诉我三种方案:smiasm、radare、IDAPython。前段时间尝试了这些方法,各有优劣。归纳如下:

    方案 开源 支持Thumb 递归反汇编 提供指令详情
    smiasm
    radare
    IDAPython

    下面是详细情况:

    smiasm

    smiasm是一个纯Python的反汇编框架。它由三个子项目构成,其中elfesteem实现ELF和PE格式解析,miasm实现反汇编。

    smiasm的代码使用了Python的很多特性,比如elfesteem/elf_init.py中的这一段代码:

    class StructWrapper(object):
    class __metaclass__(type):
    def __new__(cls, name, bases, dct):
    wrapped = dct["wrapped"]
    if wrapped is not None: # XXX: make dct lookup look into base classes
    for fname,v in wrapped._fields:
    dct[fname] = property(dct.pop("get_"+fname,
    lambda self,fname=fname: getattr(self.cstr,fname)),
    dct.pop("set_"+fname,
    lambda self,v,fname=fname: setattr(self.cstr,fname,v)),
    dct.pop("del_"+fname, None))
    return type.__new__(cls, name, bases, dct)
    wrapped = None

    让我这样的python初学者学到很多新的知识。

    此外,smiasm使用递归下降反汇编,反汇编结果质量非常好。

    但它不能很好地满足我的需求。ARM架构下有三种指令集:ARM、Thumb、Thumb-2。在Android的NDK中,默认使用Thumb;在其他代码中,ARM与Thumb的混合使用也是经常出现的。但smiasm目前仍不支持Thumb指令集。

    另外,smiasm的代码还是有些臃肿,比如反汇编接口定义如下:

    def dis_bloc(mnemo, pool_bin, cur_bloc, offset, job_done, symbol_pool,
    dont_dis = [], follow_call = False, patch_instr_symb = True,
    dontdis_retcall = False, lines_wd = None,
    dis_bloc_callback = None, dont_dis_nulstart_bloc = False,
    **kargs):

    但大部分参数最后都没有真正使用,或者用了一个硬编码默认值。这种情况应该是作者希望写一个通用的反汇编框架导致的。但整个项目的代码都没有足够的文档或注释,可用性大打折扣。

    radare

    radare应该是最好的开源逆向框架了。它使用C语言书写,支持多种指令集和文件格式,例如支持ARM和Thumb。另外,它提供了对多种动态语言的绑定。radare对逆向的抽象非常到位,可以说是框架设计的一个典型。

    但是在使用radare时,遇到不少问题。

    一、它的python绑定使用SWIG实现,在unsigned char *型参数的传递上至今仍存在bug没有被补上(而且在近期不大可能解决这个问题了),就连自己用ctypes定义一个该类型都无法搞定。虽然能够把 binary data转成hex string,以字符串的形式传给本地库,但效率上无疑打了折扣。

    二、其对ARM的反汇编是线性扫描反汇编,需要自行判断一个函数是否返回,否则不断地反汇编下去。

    三、从Python中得到的反汇编结果仅仅是可以给人读的字符串而已,不包含任何其他信息,例如指令类型、是否分支跳转、寄存器列表、注释等等。也 就是说,如果要给人读,radare勉强足够,但如果要进一步处理,例如对代码序列做检测、画出CFG等,就需要再去解析字符串了。这样还不如从头开始解 析binary code。

    我们来看一个输出的片段,可以更直观地了解到这两个问题:

    mov ip, sp
    push {fp, ip, lr, pc}
    sub fp, ip, #4 ; 0x4
    sub sp, sp, #16 ; 0x10
    ldr r2, [pc, #164] ; 0x000000bc
    str r2, [fp, #-28]
    ......
    mov r0, r3
    mov r1, #0 ; 0x0
    bl 0xfffffffffffff9f4
    mov r3, r0
    ......
    sub sp, fp, #12 ; 0xc
    ldm sp, {fp, sp, pc}
    andeq r2, r0, r0, lsr sp
    undefined instruction 0xfffff678
    undefined instruction 0xfffff690

    四、对ELF文件格式的解析同样能力不足,太多信息被封装起来而无法获得。

    IDAPython

    IDAPython是对IDA Pro的一个功能扩展接口,封装了IDC的几乎所有API。

    在ARM反汇编和反编译上,IDA Pro的功能无疑是最强大的。无论是其递归下降反汇编、多指令集支持、混合指令识别,还是交叉引用、CFG、自动注释、反编译等等。IDAPython的接口也非常丰富,完全可以获得需要的每个细节信息。

    IDA Pro的主要问题在于,首先,它是一个商业软件(目前6.2的demo版包括了arm反汇编,但无法保存数据库);其次,它不适合于自动化处理。

    结语

    所以我说这三个方案是各有优劣,都无法完美地满足我的需求。

    目前来看,自己写一个ARM/Thumb的反汇编器并不会特别困难,这个指令集本来就很简单。关键是选择好要实现的特性。

      
      

      


      

  • 相关阅读:
    Android-调用优酷SDK上传视频
    新浪微博客户端(16)-获得并显示用户昵称
    新浪微博客户端(15)-保存用户名和密码
    转:Java NIO系列教程(九) Pipe
    新浪微博客户端(14)-截取回调地址中的授权成功的请求标记,换取access_token
    iOS-AFN "Request failed: unacceptable content-type: text/plain"
    新浪微博客户端(13)-使用UIWebView加载OAuth授权界面
    iOS-(kCFStreamErrorDomainSSL, -9802)
    转:Java NIO系列教程(八) DatagramChannel
    转:Java NIO系列教程(七) Socket Channel
  • 原文地址:https://www.cnblogs.com/androidme/p/2389675.html
Copyright © 2020-2023  润新知