linux - 拆卸和重新组装，如何在终端中正确地进行管道传输？

Question

我正在使用 eicar.com 文件并尝试使用逆向工程工具。我希望能够反汇编和重新组合这个文件。我接近了，但仍有一些问题我无法弄清楚。

这是原文eicar.com ascii 文件。

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

使用 udcli udcli -noff -nohex eicar.com > stage1.asm我最终得到了这个 x86 程序集

pop eax                 
xor eax, 0x2550214f     
inc eax                 
inc ecx                 
push eax                
pop ebx                 
xor al, 0x5c            
push eax                
pop edx                 
pop eax                 
xor eax, 0x5e502834     
sub [edi], esi          
inc ebx                 
inc ebx                 
sub [edi], esi          
jge 0x40                
inc ebp                 
dec ecx                 
inc ebx                 
inc ecx                 
push edx                
sub eax, 0x4e415453     
inc esp                 
inc ecx                 
push edx                
inc esp                 
sub eax, 0x49544e41     
push esi                
dec ecx                 
push edx                
push ebp                
push ebx                
sub eax, 0x54534554     
sub eax, 0x454c4946     
and [eax+ecx*2], esp    
sub ecx, [eax+0x2a]

最后，用nasm把它放回去使用此命令，nasm stage1.asm -o stage2我最终得到...

fXf5O!P%f@fAfPf[4\fPfZfXf54(P^fg)7fCfCfg)7^O<8d>^R^@fEfIfCfAfRf-  STANfDfAfRfDf-ANTIfVfIfRfUfSf-TESTf-FILEfg!$Hfg+H*

在这种情况下，我从一个 ASCII 文件开始，以一个包含大量额外垃圾的 bin 文件结束。

我在这里错过了什么？如何以原始 ASCII 字符串结束并具有正确的文件类型？

编辑: 根据@Ross Ridge 的建议，他注意到我正在将一个 16 位文件反汇编为一个 32 位文件，这已经成功清理了字符串，但是他的文件类型仍然错误地输出为二进制文件。

第一次修复:udcli -16 -noff -nohex eicar.com > stage1.asm以获得正确的输出字符串。

结果 X5O!P%@AP[4\PZX54(P^)7CC)7^O<8d>"^@EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

仍然有一些垃圾数据在原始数据中不存在，但非常接近。

Answer 1

一般来说，您无法将反汇编器的输出重新组装回与原始文件完全相同的二进制文件。通常有不止一种方法可以将给定的汇编指令汇编成机器代码。就你理解代码的最终目标而言，你试图用它来做到这一点也不是很有帮助。即使您确实获得了可以组装回原始代码的东西，您也极不可能获得可以修改并组装成有效代码的东西。

为了说明这一点，我提供了我自己对 eicar.com 文件的“反汇编”，允许对其进行有限程度的修改。您可以修改它打印的字符串，只要消息不是太长并且不包含任何美元符号 $ 字符。假设您只在字符串中放入可打印的 ASCII 字符，您应该能够修改字符串，同时仍然保持仅由可打印的 ASCII 字符组成的输出。

    BITS    16
    ORG     0x100

ascii_shift EQU 0x097b

start:
    pop     ax
    xor     ax, 0x2000 | (skip - start + 0x100) | 0x000f
    push    ax
    and     ax, 0x4000 | (skip - start + 0x100)
    push    ax
    pop     bx
    xor     al, (msg - start) ^ (skip - start)
    push    ax
    pop     dx
    pop     ax
    xor     ax, (0x2000 | (skip - start + 0x100) | 0x000f) ^ ascii_shift
    push    ax
    pop     si
    sub     [bx], si
    inc     bx
    inc     bx
    sub     [bx], si
    jnl     skip

msg:
    DB      'EICAR-STANDARD-ANTIVIRUS-TEST-FILE!'
    DB      '$'

%if ($ - msg) < 0x21
    TIMES   0x21 - ($ - msg) DB '$'
%endif

skip:
    DW      0x21cd + ascii_shift
    DW      0x20cd + ascii_shift

%if skip - msg > 0x7e
%error  'msg too long'
%endif

我不会解释代码是如何工作的，但我会给你一个提示:MS-DOS 在开始执行 .COM 格式的可执行文件时将一个 16 位 0 值压入堆栈。