我在python中找到以下代码:
def ExtractShellcodeArm(_arg_name):
ObjDumpOutput(_arg_name)
print("\033[101m\033[1mExtracted Shellcode:\033[0m\n")
proc = subprocess.Popen(['objdump','-d',_arg_name], stdin=subprocess.PIPE, stdout=subprocess.PIPE, stderr=subprocess.PIPE)
while True:
line = proc.stdout.readline()
if line != b'':
array = line.decode().rstrip().split(':')
if len(array) > 1:
if array[1]:
array2 = array[1].split(' ')
array2 = array2[0].lstrip().rstrip()
if array2:
sc_part = '\t"'
sc_part += '\\x'
sc_part += '\\x'.join(a+b for a,b in zip(array2[::2], array2[1::2]))
sc_part += '"+'
print(sc_part)
else:
break
在python3中运行此代码之后,它给出了objdump工具的结果,如下所示:
"\xe2\x8f\x60\x01"+
"\xe1\x2f\xff\x16"+
"\x22\x0c"+
"\x46\x79"+
"\x31\x0e"+
"\x20\x01"+
"\x27\x04"+
"\xdf\x01"+
"\x1b\x24"+
"\x1c\x20"+
"\x27\x01"+
"\xdf\x01"+
"\x6c\x6c\x65\x48"+
"\x6f\x57\x20\x6f"+
"\x0a\x64\x6c\x72"+
但我希望它以大端格式显示结果。如何在python函数中更改此represantion。例如,我希望此代码显示如下结果:
"\x01\x60\x8f\xe2"+
"\x16\xff\x2f\xe1"+
"\x0c\x22"+
"\x79\x46"+
...
答案 0 :(得分:0)
这不是最漂亮的代码,但这有效:
''.join(a+b for a, b in zip(s[::-2], s[-2::-2]))
答案 1 :(得分:0)
解析它们时,应将每个完整的操作码(字节集)存储为列表中的元素,然后迭代列表,一次翻转操作码中的字节。例如,而不是opcodes "\xcd\x80" + "\xeb\xfe"使用opcodes = ["\xcd\x80", "\xeb\xfe"。迭代列表并反转每个操作码应该没有问题。
另一种选择是使用shell实用程序在Python接收之前通过将objdump命令传递给sed和awk之类的工具来反转字节,方法是将每行上的字节拆分成列,然后向后打印列。