关于python:LyScript-插件实现自定义反汇编

LyScript 插件默认提供了一个get_disasm_code()办法能够间接获取到指定行数的反汇编代码，但如果须要自定义获取或者是须要本人封装一个反汇编办法，则你能够用如下两种形式来失去。

• 插件地址：https://github.com/lyshark/Ly...

第一步间接获取到指定EIP地位的反汇编代码，这段代码能够这样来写。

from LyScript32 import MyDebugif __name__ == "__main__":    dbg = MyDebug()    conn = dbg.connect()    # 获取以后EIP地址    eip = dbg.get_register("eip")    print("eip = {}".format(hex(eip)))    # 向下反汇编字节数    count = eip + 15    while True:        # 每次失去一条反汇编指令        dissasm = dbg.get_disasm_one_code(eip)        print("0x{:08x} | {}".format(eip, dissasm))        # 判断是否满足退出条件        if eip >= count:            break        else:            # 失去本条反汇编代码的长度            dis_size = dbg.assemble_code_size(dissasm)            eip = eip + dis_size    dbg.close()    pass

输入成果如下。

第二步失去以后EIP机器码，获取到以后EIP指针所在位置的机器码，你能够灵活运用反汇编代码的组合实现。

from LyScript32 import MyDebug# 失去机器码def GetHexCode(dbg,address):    ref_bytes = []    # 首先失去反汇编指令,而后失去该指令的长度    asm_len = dbg.assemble_code_size( dbg.get_disasm_one_code(address) )    # 循环失去每个机器码    for index in range(0,asm_len):        ref_bytes.append(dbg.read_memory_byte(address))        address = address + 1    return ref_bytesif __name__ == "__main__":    dbg = MyDebug()    conn = dbg.connect()    # 获取以后EIP地址    eip = dbg.get_register("eip")    print("eip = {}".format(hex(eip)))    # 失去机器码    ref = GetHexCode(dbg,eip)    for i in range(0,len(ref)):        print("0x{:02x} ".format(ref[i]),end="")    dbg.close()    pass

输入成果如下所示：

如果将如上两种办法联合在一起，那么你就能够获取到x64dbg反汇编窗口中的三个主要参数区中的内容了。

from LyScript32 import MyDebug# 失去机器码def GetHexCode(dbg,address):    ref_bytes = []    # 首先失去反汇编指令,而后失去该指令的长度    asm_len = dbg.assemble_code_size( dbg.get_disasm_one_code(address) )    # 循环失去每个机器码    for index in range(0,asm_len):        ref_bytes.append(dbg.read_memory_byte(address))        address = address + 1    return ref_bytesif __name__ == "__main__":    dbg = MyDebug()    conn = dbg.connect()    # 获取以后EIP地址    eip = dbg.get_register("eip")    print("eip = {}".format(hex(eip)))    # 向下反汇编字节数    count = eip + 20    while True:        # 每次失去一条反汇编指令        dissasm = dbg.get_disasm_one_code(eip)        print("0x{:08x} | {:50} | ".format(eip, dissasm),end="")        # 失去机器码        ref = GetHexCode(dbg, eip)        for i in range(0, len(ref)):            print("0x{:02x} ".format(ref[i]), end="")        print()        # 判断是否满足退出条件        if eip >= count:            break        else:            # 失去本条反汇编代码的长度            dis_size = dbg.assemble_code_size(dissasm)            eip = eip + dis_size    dbg.close()    pass

获取效果图如下：