dispe

dispeとは

Windows の実行ファイル及び DLL を解析することを目的に作成しているプログラムです．

単なるバイナリ単位の１ライン逆アセンブルではなく，人間が解析するように命令の流れを追ってコード領域やデータ領域を判別します．
他にも機械的に解析できる部分は解析して，人間が理解し易いように出力します．

PEのヘッダからExportやImportテーブルまで，出来るだけEXEのファイルイメージに忠実に出力するようにしているため，異常なエントリーポイントを持つような規格外の(普通の逆アセンブラでは展開することが出来ない)ファイルにも対応．
出力はNASM準拠．

最終的には C のソースを出力するのが目標です．
無謀？

ダウンロード

dispe20040225.zip 83.31KB
某ソフトを逆アセしたくなった記念．

* 圧縮/暗号化されているコード領域を検出し，自動的に展開する機能を追加．(-dオプション)
+ entrypointからは強制的に命令コードとして解析するように変更．(-Eオプションで従来の方法で解析)
+ 終端セクションのvsizeが0(vsizeはsizeと同じと見做す)の場合，そのセクションの逆アセンブルコードが欠ける場合があったのを修正．
+ resource tblのidが異常な場合，そのtblの解析を中断するように変更．
+ export tableが異常な時落ちるのを修正．(Thanx nikqさん)
+ 文字列領域の検出をSJISに限定して厳密に行うように変更．
+ jmp/jcc near rel32で異常な領域へ飛ぶ場合，命令コードとして認識しないように修正．
+ コード領域の解析速度の向上．(オペコードの情報をキャッシュするようにした,線形探索している部分を二分探索に変更)
+ prefix付のジャンプ命令に関するネスト化の失敗を修正．
+ ジャンプ・ネスト解析を無効にするオプションを追加．
+ ネストが深すぎる時，文字化けが発生するのを修正．

スナップショット

; subroutine ---------------------------------
; using      F0040aa5c() F00401340()
; referrer   F00401570()

F00402a80:      call    near F00401340
                mov     cl,[L0041b120]
                test    cl,cl
                jz      C00402ac7
; if {
                 test    eax,eax
                 jl      C00402ab6
;   if {
                  push    eax
                  mov     eax,[L0041afa8]
                  push    dword S00415e10
                  push    eax
C00402a9f:        call    near F0040aa5c
                  mov     ecx,dword [L0041afa8]
                  add     esp,byte +00ch
                  add     ecx,eax
                  mov     dword [L0041afa8],ecx
                  ret
;   }
C00402ab6:       mov     ecx,dword [L0041afa8]
                 neg     eax
                 push    eax
                 push    dword S00415e00
                 push    ecx
                 jmp     short C00402a9f
; }
C00402ac7:      test    eax,eax
                jl      C00402ada
; if {
                 mov     edx,dword [L0041afa4]
                 push    eax
                 push    dword S00415e10
                 push    edx
                 jmp     short C00402ae8
; }
; else {
C00402ada:       neg     eax
                 push    eax
                 mov     eax,[L0041afa4]
                 push    dword S00415e00
                 push    eax
; }
C00402ae8:      call    near F0040aa5c
                mov     ecx,dword [L0041afa4]
                add     esp,byte +00ch
                add     ecx,eax
                mov     dword [L0041afa4],ecx
                ret

                align 16,nop

dispe.exeをdispeによって逆アセンブルしたdispe.exe.asm結果の一部．
msblast.exeも逆アセンブルしてみた．両方とも再アセンブルして正常動作する模様．

旧版ダウンロード

dispe20030818.zip 74.18KB
msblaster大流行記念．

* -eオプションで出力したasmをnasmで再アセンブル可能な形になるように修正．
+ xadd命令の第2オペランドのデコードが間違っていたのを修正．(Thanx YAMAMOTO Akishigeさん)
+ opcodeが32bitであるにも関わらずmovsdではなくmovswを出力していたのを修正．
+ fldcw等のオペランドがdword扱いなっていたのを修正．
+ データ領域からのコード探索のリトライ回数を増やした(以前は1回のみだったが可能性がなくなるまで繰り返すようにした)．
+ resbで出力したものをtimes+dbに変更(アセンブル時のwarning対策)．
dispe20011205r1.zip 72.04KB - さむい～
超どうでも良さそうなエンバグの修正．

+ インポートするDLLが存在しないとき落ちるのを修正
dispe20011205.zip 72.04KB - 師走
大きな変更点はないですが，その分動作チェックを非常に限られたコードに対してしか行っていないので，
テストリリースとします．

[email protected]を解析するために幾つか機能を追加．

* PEのメモリイメージを読み込みに対応(-iオプション)
+ 未解析領域からコードを探すとき，検索範囲がセクション0のみだったので，ヘッダを除く全域に変更
+ 一部命令(push [disp32]等)でラベル生成を行っていなかったのを修正
+ 00hのバイトデータが8個以上続くとき，resbで出力するようにした
dispe20010921.zip 71.37KB - 前期期末試験
TAMURA Kent 氏からDLLの解析で無限ループに陥ることがあると指摘されたので
それらしきところを修正．

+ Entry PointがNULLのとき，Entry Pointからの解析を止めるように修正．
+ ネスト処理関係で無限ループ，無限メモリ消費に陥ることがあったのを修正．

今まで，ブロックごとに分割→ブロックごとに構文木作成，でなんとかなると考えていたけどよくよく考えたらそれじゃ全然ダメかも．
つーか，事前にブロック分割する必要性ってない気がしてきた．ああ作り直しの予感．しかし考えただけでその作業量にぞっとする．
dispe20010917.zip 71.24KB - ＠前期期末試験
+ アルゴリズムの見直しによるブロック認識率の向上
+ 関数なのにF～が割り当てられないことがあったのを修正
+ 途中経過とリソース解析の記録をfilename.infoに保存するようにした
* リソースのstring,dialogを解析
+ nopコード未到達領域に2^n(n<=4)バイト境界を埋めるようにnop,int3がある場合，align命令で表示
+ byte表示を1行8byteから1行16byteに変更
+ 文字列長が一定以上だとハングすることがあったのを修正
+ exportしているアドレスを関数として認識していなかったのを修正
+ 解釈できない分岐命令にgotoのコメントを付加するようにした
+ 関数外へ飛んでいる分岐命令にoverfuncのコメントを付加するようにした
~~20010801~~ - 夏だねぇ

* if,else,do,loopブロックを認識するようにした．
+ ジャンプテーブルなどで生じるラベル割り当ての失敗を修正
+ 文字列の認識率アップ
+ ラベル名を，関数ならF～，それ以外の命令ならC～，文字列ならS～，他はL～にした．
~~20010508~~
* hexdump
* サブルーチンの認識
+ コードとデータの識別率の向上
+ cmove等の命令に対応
+ movsx,movzxのデータサイズの表記の修正
+ 不要なラベルの除去
~~20010407~~
* 初代

使用法

Windows 用で拡張子が EXE,DLL のファイルをコマンドラインで渡してやるだけです．
一切パラメータを渡す必要はありません．
例えば，

>dispe c:/winnt/explorer.exe

とやれば explorer の解析結果が explorer.exe.asm というファイルに出力されます．
解析の途中記録とリソースの情報は explorer.exe.info というファイルに記録されます．

>dispe -p1024

というように実行中のプロセスIDを10進数で指定することもできます (NT/2000専用) ．
プロセス ID はタスクマネージャのプロセスの PID を見てください．

-eオプションでhexdumpを無効に出来ます．
この形で出力したasmはnasmで再アセンブルが可能です(いい加減なので出来ない方が多いです)．

>dispe -e foo.exe
foo.exe.asmが出力される．
>nasmw -f bin foo.exe.asm -o foo.asm.exe
foo.exe.asmをfoo.asm.exeにアセンブル．

オプション一覧

-p[PID]	実行中のプロセスIDを指定することにより，そのプロセスをダンプします．ファイル名の代わりに指定してください．
-P[PNAME]	実行中のプロセス名を指定することにより，そのプロセスをダンプします．ファイル名の代わりに指定してください．
-i	メモリに展開されたPEイメージを指定します．
-e	16進ダンプを無効にします． nasmで再アセンブルしたい時に指定してください．
-E	エントリーポイントから到達可能な部分は全てコードとして解釈します．コード領域のはずが，データ領域として認識される場合に指定してください．
-d	圧縮/暗号化されたコードを発見したら，自己展開します．
-j	ジャンプ・ネスト解析を無効にします
--memdump	メモリイメージをダンプします．
--debug	解析した後，dispeのデバッグ用モードに入ります．

dispeとは

実装している処理

ダウンロード

スナップショット

旧版ダウンロード

使用法

オプション一覧

連絡

関連リンク

逆アセンブラ

他

SCENE RESEARCH STATION
	with my everyday thinking-and-doctrine