PIN从指令地址获取汇编操作码

时间:2017-10-06 23:14:11

标签: c++ c assembly x86 intel-pin

我正在使用PIN来分析C程序的指令并执行必要的操作。我在Ubuntu上使用GCC编译了我的C程序,然后将生成的可执行文件作为输入传递给pintool。我有一个pintool,它调用一个指令检测例程,然后每次调用一个分析例程。这是我在C ++中的Pintool -

#include "pin.H"
#include <fstream>
#include <cstdint>

UINT64 icount = 0;

using namespace std;

KNOB<string> KnobOutputFile(KNOB_MODE_WRITEONCE, "pintool", "o", "test.out","A pin tool");

FILE * trace;

//====================================================================
// Analysis Routines
//====================================================================

VOID dump(VOID *ip, UINT32 size) { 
    unsigned int i;
    UINT8 opcodeBytes[15];

    UINT32 fetched = PIN_SafeCopy(&opcodeBytes[0], ip, size);

    if (fetched != size) {
        fprintf(trace, "*** error fetching instruction at address 0x%lx",(unsigned long)ip);
        return;
    }

    fprintf(trace, "\n");
    fprintf(trace, "\n%d\n",size);

    for (i=0; i<size; i++)
        fprintf(trace, " %02x", opcodeBytes[i]); //print the opcode bytes
    fflush(trace);
}

//====================================================================
// Instrumentation Routines
//====================================================================

VOID Instruction(INS ins, void *v) {
      INS_InsertCall( ins, IPOINT_BEFORE, (AFUNPTR)dump, IARG_INST_PTR, IARG_UINT32, INS_Size(ins) , IARG_END);
}

VOID Fini(INT32 code, VOID *v) {
    printf("count = %ld\n",(long)icount);
}

INT32 Usage(VOID) {
    PIN_ERROR("This Pintool failed\n"
          + KNOB_BASE::StringKnobSummary() + "\n");
    return -1;
}

int main(int argc, char *argv[])
{
    trace = fopen("test.out", "w");

    if (PIN_Init(argc, argv)) return Usage();

    PIN_InitSymbols();
    PIN_AddInternalExceptionHandler(ExceptionHandler,NULL);
    INS_AddInstrumentFunction(Instruction, 0);
    PIN_AddFiniFunction(Fini, 0);

    // Never returns
    PIN_StartProgram();

    return 0;
}

当我检查输出轨迹时,我看到我得到了这样的输出 -

3
 48 89 e7

5
 e8 78 0d 00 00

1
 55

第一行是指令的字节大小,第二行是存储在每个字节中的操作码。

我看到这个特定的论坛 - https://groups.yahoo.com/neo/groups/pinheads/conversations/topics/4405#

他们提到Linux输出不一致,并且是由于64位指令的32位反汇编程序。我获得的输出与此处提到的Linux输出相同,而Windows的输出是我期望的正确的x86_64操作码。

我知道如何获得正确的操作码,如果我的反汇编错误,我该如何纠正它。我使用的是64位PC,所以不知道我是否在进行32位反汇编。

2 个答案:

答案 0 :(得分:1)

在32位模式下,48是1字节incdec(我忘记了)。

在64位模式下,它是一个REX前缀(W = 1,其他位未设置,选择64位操作数大小)。 (AMD 64将整个0x40-f范围的inc / dec短编码重新用作REX前缀。)

48 89 e7解码为3字节指令而不是4889 e7,这绝对证明了它在64位模式下的反汇编。

  

那么我该怎么解释这里的指令呢?

显然是x86-64指令。

对于您的情况,我将这些十六进制字节提供给反汇编程序:

db 0x48, 0x89, 0xe7
db 0xe8, 0x78, 0x0d, 0x00, 0x00
db 0x55

nasm -f elf64 foo.asm && objdump -drwC -Mintel foo.o

  400080:       48 89 e7                mov    rdi,rsp
  400083:       e8 78 0d 00 00          call rel32
  400088:       55                      push   rbp

objdump -d找到相同的指令中断,因为PIN正确解码它。

push可能是在被调用函数的开头。将它们粘在一起有点使曲线变平,并且不是制作可运行版本的方法,只是为了让字节被反汇编。

  

我应该简单地忽略第一个字节然后使用剩下的?

不,当然不是。 REX前缀是指令的一部分。如果没有0x48,第一条指令将解码为mov edi,esp,这是一条不同的指令。

尝试查看某些现有代码的反汇编输出,以熟悉x86-64指令的外观。有关特定的编码详细信息,请参阅英特尔的vol.2手册。它有一些关于指令编码细节的介绍和附录部分。 (本手册的主体是指令集引用,详细说明了每条指令的工作原理及其操作码。)请参阅https://software.intel.com/en-us/articles/intel-sdm#three-volume标记wiki中的和其他链接。

答案 1 :(得分:1)

Pin有一个用于反汇编的API,你应该使用它。请参阅此问题以了解应如何完成:

https://reverseengineering.stackexchange.com/questions/12404/intel-pin-how-to-access-the-ins-object-from-inside-an-analysis-function