請問hex檔案可以反彙編為C語言程式呢。謝謝

1樓：匿名使用者

bin 或 hex檔案可以反彙編為組合語言程式，

bin 或 hex檔案不能反彙編為c語言程式。

可以將.hex檔案反編譯成c語言嗎,如何實現呢?有熟悉的朋友可以回答一下嗎，非常感謝

2樓：受司大人

回答可能讓你失望，就是沒有可能。不給個原因你是不會罷休的：

一般hex都是二進位制檔案用十六進位制顯示，也就是說是編譯後的**。編譯後的**是不可能做逆向工程的，否則源**就不重要了。

3樓：物理公司的

只能反彙編成組合語言，而且可讀性較差

誰能幫我把一個hex檔案反編譯為c語言檔案？ 100

4樓：兄弟連教育北京總校

檔案有兩種，一種是文字檔案，一種是程式二進位制檔案，不管哪種檔案都可以用十六進位制編碼來顯示，稱為hex檔案。

1、文字hex檔案一般不需要轉成c語言，更多的是程式二進位制檔案，用十六進位制顯示，可以轉換成c語言，一般使用相應的反彙編程式來實現，這方面的工具很多，不同的平臺略有不同。windows平臺一般常用的ollydbg、windbg、ida，linux平臺使用最多的是gdb和linux版的ida。

ollydbg，簡稱od,一般是軟體逆向工程愛好者，最先使用的一個工具，但是因為當下不在更新，所以一般用一般用於學習使用，下圖中左上角的區域即為反彙編區域，使用者可以根據彙編指令，分析程式演算法，然後自己編寫**。

在windows平臺，特別是x64平臺，最好用的反彙編工具除還得是windbg。將程式載入windbg後，可以輸入u命令來檢視程式的反彙編**。

拿到這樣的十六進位制**，一般來說，先將其生成二進位制檔案，然後再分析其指令，通過反彙編指令再寫出原始碼。只需要將上面的十六進位制**，儲存到c語言的字串陣列中，寫入到一個exe的檔案空段中，再修改指令將其跳轉到程式入口處即可，這個過程類似於軟體安全領域的殼。

將十六進位制**寫入一個exe檔案後，就可以將exe檔案載入動態偵錯程式進行動態分析或者使用靜態反彙編程式進行靜態分析，兩者的不同在於動態偵錯程式是要執行程式的，而靜態反彙編分析不需要執行程式，所以一般惡意程式，都採用靜態分析。反彙編開頭的一段十六進位制**註釋如下：

4ad75021 5a pop edx ; 函式返回的地址儲存到edx中

4ad75022 64:a1 30000000 mov eax, dword ptr fs:[30] ; 取peb

4ad75028 8b40 0c mov eax, dword ptr [eax+c] ; peb_link

4ad7502b 8b70 1c mov esi, dword ptr [eax+1c] ; 初始化列表到esi

4ad7502e ad lods dword ptr [esi] ; [esi]->eax + 8的位置即kernel32.dll的地址

4ad7502f 8b40 08 mov eax, dword ptr [eax+8] ; eax=kernel32.dll的地址

4ad75032 8bd8 mov ebx, eax ; ebx=kernel32.dll的基址

4ad75034 8b73 3c mov esi, dword ptr [ebx+3c] ; esi = pe頭偏移

4ad75037 8b741e 78 mov esi, dword ptr [esi+ebx+78] ; esi為kernel32.dll匯出表的偏移

4ad7503b 03f3 add esi, ebx ; esi = kernel32.dll匯出表的虛擬地址

4ad7503d 8b7e 20 mov edi, dword ptr [esi+20] ; edi=ent的偏移地址

4ad75040 03fb add edi, ebx ; edi = ent的虛擬地址

4ad75042 8b4e 14 mov ecx, dword ptr [esi+14] ; ecx = kernel32.dll匯出地址的個數

4ad75045 33ed xor ebp, ebp ; ebp=0

4ad75047 56 push esi ; 儲存匯出表虛擬地址

4ad75048 57 push edi ; 儲存ent虛擬地址

4ad75049 51 push ecx ; 儲存計數

4ad7504a 8b3f mov edi, dword ptr [edi]

4ad7504c 03fb add edi, ebx ; 定位ent中的函式名

4ad7504e 8bf2 mov esi, edx ; esi為要查詢的函式getprocaddress即該call的下一個地址是資料

4ad75050 6a 0e push 0e ; 0xe0是getprocaddress函式的字元個數

4ad75052 59 pop ecx ; 設定迴圈次數為 0xe

4ad75053 f3:a6 repe cmps byte ptr es:[edi], byte ptr [esi] ; ecx!

=0&&zf=1 ecx=ecx-1 cmps判斷 getprocaddress

4ad75055 74 08 je short 4ad7505f ; 如果ent中的函式名為getprocaddress跳走

4ad75057 59 pop ecx ; 不相等則將匯出地址數出棧

4ad75058 5f pop edi ; ent虛擬地址出棧

4ad75059 83c7 04 add edi, 4 ; edi地址遞增4位元組因為ent的元素大小為4位元組

4ad7505c 45 inc ebp ; ebp用於儲存ent中定位到getprocaddress函式時的計數

4ad7505d ^ e2 e9 loopd short 4ad75048 ; 迴圈查詢

4ad7505f 59 pop ecx

4ad75060 5f pop edi

4ad75061 5e pop esi

4ad75062 8bcd mov ecx, ebp ; 計數儲存於ecx

4ad75064 8b46 24 mov eax, dword ptr [esi+24] ; esi+0x24 ordinal序號表偏移地址

4ad75067 03c3 add eax, ebx ; ordinal序號表的虛擬地址

4ad75069 d1e1 shl ecx, 1 ; ecx邏輯增加2倍因為ordinal序號是wor型別下面是通過add 來求ordinal所以這裡必須擴大2倍

4ad7506b 03c1 add eax, ecx

4ad7506d 33c9 xor ecx, ecx ; ecx=0

4ad7506f 66:8b08 mov cx, word ptr [eax] ; 儲存取出的ordinal序號

4ad75072 8b46 1c mov eax, dword ptr [esi+1c] ; eax 為kenrnel32.dll的eat的偏移地址

4ad75075 > 03c3 add eax, ebx ; eax = kernel32.dll的eat虛擬地址

4ad75077 c1e1 02 shl ecx, 2 ; 同上，擴大4倍因為eat中元素為dword值

4ad7507a 03c1 add eax, ecx

4ad7507c 8b00 mov eax, dword ptr [eax] ; eax即為getprocaddress函式的地址相對虛擬地址，eat中儲存的rva

4ad7507e 03c3 add eax, ebx ; 與基址相加求得getprocaddress函式的虛擬地址

4ad75080 8bfa mov edi, edx ; getprocaddress字元到edi

4ad75082 8bf7 mov esi, edi ; esi儲存getprocaddress地址

4ad75084 83c6 0e add esi, 0e ; esi指向getprocaddress字串的末地址

4ad75087 8bd0 mov edx, eax ; edx為getprocaddress的地址

4ad75089 6a 04 push 4

4ad7508b 59 pop ecx ; ecx=4

有經驗的程式設計師，通過分析即明白上面反彙編**的主要目的就是獲取getprocaddress函式的地址。繼續看反彙編**：

接下來的操作便是通過已獲得地址的getprocaddress()來分別得到getsystemdirectory()、urldownloadtofile()、winexec()及exitprocess()函式的地址，並依次執行。到這裡實際上有經驗的程式設計師，馬上就能寫出c語言**來。後面的資料區不在分析了，主要是介紹如何操作。

使用c語言，雖然知道了hex檔案的大致流程，但是一般來說，對於彙編指令，更傾向於直接使用a**關鍵字來使用內聯彙編。如下圖所示：

通過這個例項，相信應該能理解一個大致的流程啦。

請問hex檔案可以反彙編為C語言程式呢。謝謝

keil編譯生成hex檔案大小與微控制器內的flash空間大小有什麼關係啊

請問電腦刪除後的檔案或檔案可以找回來的嗎

請問反沙芋是怎麼做的，反沙芋頭如何製作

請問hex檔案可以反彙編為C語言程式呢。謝謝

keil編譯生成hex檔案大小與微控制器內的flash空間大小有什麼關係啊

請問電腦刪除後的檔案或檔案可以找回來的嗎

請問反沙芋是怎麼做的，反沙芋頭如何製作

相關推薦