最近在看《Q版缓冲区》这本书准备入门二进制,在这本书中为了老师先带领学生们手写漏洞利用的汇编代码然后通过VC++的调试模式获得这些汇编代码对应的机器码然后让学生们手抄下来!对,没错!是手抄下来!像我这种懒人肯定要找个方便的路子啊,那么多怎么抄!就算抄也容易抄错啊!我就想大学时不是学过计算机组成原理,里面不是有指令结构,是不是可以通过一张机器指令与汇编代码的对应指令表然后将汇编指令解析成机器码!主意是不错,但是时间太少,没那么多时间完成这个!那就找线程工具吧,为此本文的主句AsmToE这款工具出现了,使用了以后感觉不错,于是对这款工具的实现原理起了兴趣。了解得这这款工具美夜赤月大佬拿易语言写的,于是就加了作者QQ向作者讨要源码,大佬说非开源,于是就有了这篇文章。

首先工具界面就是下图这个样子,提供了默认MASMNASM三种引擎
接下来就拿出我们的火绒剑将AsmToE进程添加到监控中,如下图所示:

这里选择NASM引擎,然后输入一段汇编代码并点击转机器码,如下图所示:
然后回到火绒剑,看看它做了哪些工作:
可以看到AsmToE创建了asm.tmp及evbDF18.tmp两个临时文件,在这篇文章中我提到过WIndows是根据文件头部对文件进行的识别而不是后缀名,所以说别看这两个文件时tmp后缀但是有可能是可执行文件,所以这里清除火绒建中的过滤然后并开始监控看看有什么新的发现。把无关进程排除后我发现了下面两个有意思的监控记录:

好吧!evb开头的临时文件果然是个可执行文件,接下来看下这个进程的命令行参数如下(为什么命令行里是nsam.exe??没准和他前面的一些注册表操作有关):

根据这个命令行是推断出使用的nasm.exe,使用了-f和-o两个指令,参数中包含了asm.tmp及bin.tmp两个文件,其中-o指定的是输出文件这个我知道,我需要看下asm.tmp,但是如下图所示AsmToE在在转换完后将上面这两个文件都删除了:

火绒剑无能为力了,还是写几行Python脚本竞争下asm.tmp文件吧,代码如下:

while 1:try:with open(r"C:\Users\myalie\Desktop\tools\AsmToE\asm.tmp","rb") as f:print f.read()except:pass

执行结果如下:

bits 32
push ebx

其中push ebx正是刚才的汇编代码!到此使用NASM引擎将汇编代码转换为机器码的思路大概理清楚了,步骤如下:

  1. 将待转换的汇编代码写入文件并在文件最开始的地方写入bits 32
  2. 执行nasm.exe -f bin asm.tmp -o bin.tmp
  3. 读取bin.tmp中的字节码即为最终结果

至于其他的两个引擎,得通过分析调用栈的方式或者通过逆向(AsmToE加壳保护并且脱壳后没能正常运行)的手段进行分析,奈何自己目前太菜还是留到以后再说吧!

Fun之使用火绒剑对AsmToE工具行为分析相关推荐

  1. 使用火绒后连接FTP服务器失败

    本来电脑使用FTP一切正常的,但是在安装了火绒之后,其它设备就无法连接ftp了,即使设置了放行tcp的规则也不行,只要装上就连不通,而且火绒软件也没有提示拦截,直接静默阻止了,卸载火绒之后又立马可以连 ...

  2. 误操作导致引导区崩溃的补救办法(需要使用火绒预备份引导区)

    分辨故障类型 屏幕点的亮?非硬件问题下一步: 开机就卡在加载界面连安全模式都进不了或者是直接进了BIOS,是本文讨论的问题,继续观看: 能进入Windows加载界面,但是一直转圈圈,不是本文讨论的内容 ...

  3. 火绒剑 HRSword 5.0.1.1

    文章目录[隐藏] 软件介绍 软件截图 版本特点 软件介绍 火绒剑-互联网安全分析软件(HRSword),它是火绒安全软件里的高级工具,适用Windows系统的安全分析辅助工具,具有系统动作监控.文件管 ...

  4. 火绒剑,监控功能的使用

    转载自:https://bbs.kafan.cn/thread-1356773-1-1.html 火绒剑和火绒盾是两款完全不同的产品..盾是提供给广大用户的防御类产品 大家现在主要用它补充现有杀毒软件 ...

  5. 利用火绒强行删除文件

    1.选中你所需要删除的文件夹或者文件 2.右键使用火绒粉碎文件 3.若无法粉碎,右键使用火绒解除占用 4.右键使用火绒粉碎文件就行了

  6. 利用火绒安全软件修改host文件,加速访问GitHub网站

    利用火绒安全软件修改host文件,加速访问GitHub网站 有时候我们需要设置一下host文件,来针对访问一些特定网站的速度,例如GitHub网站,在国内的网友来说,是一个痛点,本次介绍的是修改本地系 ...

  7. 不用火绒,从源头去除 WinRAR 的弹窗广告

    [WinRAR6.21]不用火绒,如何除 WinRAR 的弹窗广告 介绍 WinRAR 作为知名的老牌压缩软件,二十余年来风靡全球,经久不衰.但对于中国用户,其简体中文的个人免费版安装后会有" ...

  8. 火绒剑Mac版在哪里下载

    听说火绒出了Mac版的火绒剑,但在官网首页并没有找到,于是去官方论坛搜索相关词条,找到了官方发布的帖子,点击链接跳转,可在左上角找到黄色的下载链接

  9. 火绒剑(专业人员使用的系统进程分析工具)

    在火绒杀毒软件中有一个非常专业的进程分析工具,可以详细分析自已电脑上进程的异常情况. 安全工具中的火绒剑

最新文章

  1. python config配置文件的读写--configparser
  2. Linux 基础命令——比较两个文件内容的不同
  3. mysql数据库连接jar_mysql数据库连接包
  4. Cannot resolve bean 'xxx' less... (Ctrl+F1) Inspection info:Checks autowir
  5. SCRUM 12.03
  6. 数据库-MySQL-搭建服务器
  7. 自主芯片+国产系统!天河三号原型机研制完成,中国超算有望重回No.1
  8. 势高,则围广:TiDB 的架构演进哲学
  9. 阿里云服务器如何快速搭建Docker环境
  10. 35. systemtap
  11. 2019人工智能写作软件
  12. Python+Django实现智慧校园考试比赛系统
  13. 2007年个人站长/SEOer必上网站
  14. 通俗讲解光线追踪原理,一文理清各类光线追踪
  15. c语言 常量表达式,常量表达式(什么叫常量表达式)
  16. 我是屌丝——彪悍的人生不需要代言
  17. 在macOS上用supervisor构建稳定的SSH转发
  18. 74HC138三八译码器的应用
  19. 从「降维打击」谈「降维」
  20. java构建器出错nullpoint_空指针错误 java.lang.NullPointerException 浅谈

热门文章

  1. flash chart(amCharts的破解)
  2. 表面散射 | Vol.5 基于图像的偏振反射率的采集与建模
  3. 齿轮建模 图片及链接
  4. 【地铁网络售票系统】之 后知后觉
  5. 书上得来终觉浅,绝知此事要躬行-以太坊平台实战篇
  6. 蓝桥杯参赛总结(Java B组)
  7. Elementui+Vue 后台主页面布局
  8. Tomcat、Servlet
  9. 每次访问某个界面,展示欢迎回来,并展示上次访问时间
  10. 局域网安全防护技术(内网)