x86机器码识别及其反汇编算法

x86机器码识别及其反汇编算法 x86体系结构CPU的每条指令都可能由以下六个域组成，并且它们在指令中的排列顺序是不能改变的。 这六个域分别是： prefixes code ModR/M SIB displacement immediate 在任何一条指令中code域是必须出现的，其他的域都是可选的。 由于这六个域在指令中的排列顺序是固定的，所以反汇编机器码，就是一个对它们的依次识别过程。 1.对prefixes的识别 Intel的官方手册上说有4类prefixes,为了便于编程和后面的描述，本人将prefixes分成了5类。 x86体系结构CPU的5类prefixes，它们分别为： lock prefix :F0 repeat prefixes :F2,F3 segment override prefixes :2E,36,3E,26,64,65 operand-size override prefix :66 address-size override prefix :67 指令的prefixes可以由这5类prefixes组成，但是每类prefixes只能在指令中出现一次，至于每类prefixes在指令的出项顺序是没有要求的，这点和指令的六个域是不同的。当某类prefixes在同一指令中出现多次的时候，CPU在执行过程中，可能会出现不可预料的结果，至于会不会出现异常，Intel的官方手册中只用了这句话来说明：such use may cause unpredictable behavior.鬼知道会出项什么情况，因此算法必须对这类机器码具有识别能力。但是也可能异常情况不会发生，在反汇编过程，遇到同一类prefixes出现多次的情况,以最后出现的prefix为准，进行机器码识别。 prefixes识别的核心代码： for( ; nSizeOfCode > 0; nSizeOfCode--, pCode++) { IsPrefix = 1; //这个是用来判断当前机器码是不是prefixes switch(*pCode) { case 0xF0: if(lockPrefix == 0) lockPrefix = 0xF0; else isPrefixRepeat = 1; //同一类重复出现 break; ... //这里的代码略了，但是这个地方要注意的是，对一类prefixes中有几个prefix的情况， //这几个prefix共用一个是不是重复出现的标识（lockPrefix是lock prefix的重复出现标识） default: IsPrefix ＝ 0； //不是prefixes机器码了 break; } if(IsPrefix == 0) break; //表示prefixes识别结束 } if(isPrefixRepeat == 1) //说明指令的执行可能会发生异常 说明：lock prefix是用来在多处理器机器上保证对共享内存的互斥访问的，在反汇编的过程中，可以忽略这个前缀。 2.对code的识别 code的识别好象是最难的了，因为CPU中有几个个code，要对这些code进行识别的确不容易，而且CPU中的code还一直呈现出增长趋势，而且每个code对应不同的操作数个数，这些操作数的寻址方式也各异...... 如果你的"计算机体系结构"知识还没有还给老师的话，你应该知道，CPU在设计时，为了提高比特位的利用率，也为了保证一个code不是另一个code的前缀（否则CPU也无法译码），code的编码采用的是哈夫曼算法。利用这个特性，code及其后继的操作数等信息的识别，应该很容易了吧。 code的最大长度是3个字节，当然可以是1个字节，也可以是2个字节，另外,对于某些特定的code,还有3个比特的信息也会用来表示code.这3比特在ModR/M的3、4和5位。当然每个code也最多只能有三个operand哦。 对code的识别一般都是采用二维表格来驱动的。二维表格中记录了给各code的详细信息。这样code的识别就变成了查表，爽吧。这个表格建的怎么样，取决于你的需求。 下面举一个例子来说明表格的信息，及其code的识别过程(拿call指令为例)： 查看Intel官方手册（A－M卷）,你会发现call指令有四个code，手册列出分别为： E8 cw call re/16 E8 cd call re/32 F2 /2 call re/m16 F2 /2 call re/m32 F2 /2 call re/m64 9A cd call ptr16:16 9A cp call ptr16:32 FF /3 call m16:16 FF /3 call m16:32 关于它们的详细信息请查看Intel的官方手册，上面所列表明call的code占用一个字节，并且指令只有一个操作数，在手册上详细说明了E8是后面的操作数表示相对于下条指令的偏移，F2、FF和9A后面带的操作数是要调用的绝对地址。 根据code的编码规则以及Intel的手册信息，可以用如下结构体来组织数据： typedef tagCodeInfo { long lMask; //掩码 long lCode; //code int nCodeLen; //code的长度 int nBitFeature; //特殊code标识 int nArg0; //第一个operand的寻址方式，这个地方用enum来定义最好，这里只是为了说明算法，就用int来定义了 int nArg1; //第二个operand的寻址方式，用0表示没有这个operand int nArg2; //第三个operand的寻址方式 std::string strCodeName; //code的助记符 }CodeInfo, *PCodeInfo; 通过上面的结构体定义，可以很容易得到4个call的code对应的结构体数据定义了，如下： { 0x0000FF, 0x0000E8, 1, 0, 1, 0, 0, "call" }, { 0x0038FF, 0x0010FF, 1, 0, 2, 0, 0, "call" }, { 0x0000FF, 0x00009A, 1, 0, 3, 0, 0, "call" }, { 0x0038FF, 0x0018FF, 1, 0, 4, 0, 0, "call" }, 上面4个{ }里的第一项和第二项看晕了吧，在说明这个问题时，先说说用这个数据结构是怎么进行code的识别的，设传进来要识别的code为opCode，那么用这个计算公式可以识别code，(opCode ^ lCode) & lMask,只要这个家伙不为zero，就是我们千辛万苦要找的东东了。这里说下上面opCode的求法，opCode并不是传进来的buffer,因为每个code最多只有三个字节，而我们定义的结构体中用long来表示mask这些信息了，所以我们的opCode也要是long型的，很简单，只要传进来的buffer够长的话，用memcpy((char *)&opCode, buffer, 3),如果不够3个字节了，有几个字节就把几个字节copy到(char *)&opCode处，另外说明的是，repeat prefixes是比较讨厌的，如果有这个东西在带反汇编的机器码中，opCode的求法还要加个opCode = (opCode << 8) | repeat prefixes。 下面说那两个项是怎么计算的了。 mask的计算方法：有指令的地方用FF，如果这个code用到了ModR/M中的那3个比特位，这ModR/M对应字节用38. lCode的计算方法：它对应的code照搬，如果这个code用到了ModR/M中的那3个比特位，/2和/3应该看到了吧，这它们乘以8放ModR/M对应字节，为什么是8，是因为它ModR/M字节中表示code信息的那3个bits后面还有3个bits. 到这里code就识别完了，通过以上的那个结构体，我们连code对应的每个operand的寻址方式的求出来了，后面那几个域的识别就方便了，没有难度了。 当然当我们用这个没有识别到有用的code的，那就说明待反汇编的字符串是有错误的。 余下的4个域的识别全部是对operands的识别了，所以把它们放在一起识别。 到这里知道，上篇文章中的FF1578604000为什么是call [406078]了吧。 3.对operands的识别 前面已经把code的operand的个数和每个operand的寻址方式都搞定了，唉，不想说了。就是对每个寻址方式专门写个解析函数的问题了。这里不想讨论编码的问题。 这里说下ModR/M字节，在code的识别过程中我们已经搞定它的第二个域了（它有三个域），由于ModR/M和SIB经常一起来表示寻址信息，这里一块说。还是说个例子把，如果MoRM/M是F8，它的三个域分别是： Mod : 11 Reg/Opcode : 111 R/M : 000 对它的识别解析还是用一个二维表格来驱动的，查看Intel官方手册（A－M卷）第36页，可以查出是在表示用EAX/AX/AL/MM0/XMM0来表示operand,至于这几个寄存器里应该选用那个，在code识别中已经知道了。 这里给出一个普通寄存器的驱动表格的定义： char *regName[3][8] = { { "al", "cl", "dl", "bl", "ah", "ch", "dh", "bh" }, { "ax", "cx", "dx", "bx", "sp", "bp", "si", "di" }, { "eax","ecx","edx","ebx","esp","ebp","esi","edi" } }; 这个表格的查法是，Mod = 11, R/M = 000决定了我们必须查这个表，那查第几行呢，前面code的识别中已经知道了operand的大小了，因此这个信息由code给出。 立即数和[BX+DI]这种寻址就不讲了，同样的道理，可以搞定。 到这里为止就已经把一个指令给识别出来了。 4.对堆栈操作的说明 在Windows的32位程序设计中，堆栈是要双字对齐的了，即不容许下列这些指令的出现了： inc esp; //code是44 dec esp; //code是4c add esp , 小于4的正数; //code是81 sub esp , 小于4的正数; //code是83 反汇编中要注意这些指令。 5.效率问题 由于code的驱动表格没有办法优化（至少是现在还不知道怎么优化），所以导致每次code识别都是用线性查找算法，这个应该对性能影响很大，可以考虑对这个表格进行改造，用code的大小做索引来识别code,这个是以后的事了。 现在这个东西终于近尾声了，爽，回家过年也过的没有压力了，哈哈。 (转自:http://linxer.bokee.com/4277473.html)