我如何访问可执行文件的机器代码(二进制文件)?
细节
- 我正在使用Ubuntu(Linux)系统
- 我想访问.exe文件的机器代码(二进制文件),这些文件遵循PE格式
- 我使用C语言进行实现
我如何访问可执行文件的机器代码(二进制文件)?
细节
使用带有选项-d
的objdump
进行反汇编。另一个有用的选项是-s
,可获得文件转储。如果由于某种原因-d
无法工作,您还可以尝试-D
,这会强制objdump
对文件进行反汇编,即使它看起来不包含机器代码。请参阅objdump
的手册以获取更多详细信息。例如,要对PE可执行文件foo.exe
进行反汇编和转储,请键入:
objdump -sd foo.exe
Contents of section .text:
401000 33c03905 28944200 0f9fc0c3 558bec51 3.9.(.B.....U..Q
401010 568bf16a 01684410 4000c706 30024200 V..j.hD.@...0.B.
401020 ff15b000 420085c0 75158d45 fc68c00e ....B...u..E.h..
401030 420050c7 45fc9070 4200e8cd bc01008b B.P.E..pB.......
401040 c65ec9c3 837c2404 0575056a 0158eb12 .^...|$..u.j.X..
401050 ff052894 420033c0 833d2894 4200020f ..(.B.3..=(.B...
401060 9cc0c204 00568bf1 e8140000 00f64424 .....V........D$
401070 08017407 56e88b6f 0000598b c65ec204 ..t.V..o..Y..^..
401080 00558bec 516a0068 44104000 c7013002 .U..Qj.hD.@...0.
401090 4200ff15 b0004200 85c07515 8d45fc68 B.....B...u..E.h
4010a0 c00e4200 50c745fc 90704200 e85bbc01 ..B.P.E..pB..[..
4010b0 00c9c3e8 48ffffff f6d81bc0 25044000 ....H.......%.@.
4010c0 80c20c00 e837ffff fff6d81b c0250440 .....7.......%.@
4010d0 0080c208 00558bec 568b7508 68c58240 .....U..V.u.h..@
4010e0 00682072 4200ff75 0c8b4e40 68187242 .h rB..u..N@h.rB
4010f0 00e8d771 00008bc8 e8e87100 008bc8e8 ...q......q.....
.
代替不可打印字符。00401000 <.text>:
401000: 33 c0 xor %eax,%eax
401002: 39 05 28 94 42 00 cmp %eax,0x429428
401008: 0f 9f c0 setg %al
40100b: c3 ret
40100c: 55 push %ebp
40100d: 8b ec mov %esp,%ebp
40100f: 51 push %ecx
401010: 56 push %esi
401011: 8b f1 mov %ecx,%esi
401013: 6a 01 push $0x1
401015: 68 44 10 40 00 push $0x401044
40101a: c7 06 30 02 42 00 movl $0x420230,(%esi)
401020: ff 15 b0 00 42 00 call *0x4200b0
-Mintel
以获得Intel语法输出:00401000 <.text>:
401000: 33 c0 xor eax,eax
401002: 39 05 28 94 42 00 cmp DWORD PTR ds:0x429428,eax
401008: 0f 9f c0 setg al
40100b: c3 ret
40100c: 55 push ebp
40100d: 8b ec mov ebp,esp
40100f: 51 push ecx
401010: 56 push esi
401011: 8b f1 mov esi,ecx
401013: 6a 01 push 0x1
401015: 68 44 10 40 00 push 0x401044
40101a: c7 06 30 02 42 00 mov DWORD PTR [esi],0x420230
401020: ff 15 b0 00 42 00 call DWORD PTR ds:0x4200b0
objdump
相比提供更详细的反汇编信息。源代码和机器码并不相同。
如果您已经安装了"binutils",您可以使用objdump
:
$ objdump --disassemble my-fantastic-program > my-fantastic-program.asm
这将会输出my-fantastic-program
的汇编代码,无论这个程序是用什么语言编写的,都可以使用此方法。
>
所在部分使用了shell命令的输出重定向,将结果保存到一个新文件中。
objdump
的输出以删除不需要的内容。 - fuz
objdump -s foo.exe
命令即可以十六进制格式转储程序。你遇到了什么错误?你尝试了什么? - fuz40dbe0 696c6567 65733e0d 0a20203c 72657175 ileges>.. <requ 40dbf0 65737465 64457865 63757469 6f6e4c65 estedExecutionLe 40dc00 76656c20 6c657665 6c3d2272 65717569 vel level="requi
- Arulx Zobjdump
的 man 手册以获取有关如何使用它的更多详细信息(man objdump
)。 - fuz