assembly - 如何确定可执行文件中反汇编代码的位置？

Question

我有一个包含错误的可执行文件（C++，i386，在 MacOS/X Tiger 下编译，如果重要的话）。该错误的修复很简单——代码中有一个地方调用了 fork() 而它不应该调用。因为修复很简单，并且因为此时从头开始重新编译可执行文件很困难（不要问），所以我想直接修补可执行文件/二进制文件。

作为迈出的第一步，我在我的可执行文件上运行了“otool -tV MyExecutableName”，瞧，我在反汇编输出中找到了这个：

./MyExecutableName:
(__TEXT,__text) section
[... many lines omitted ...]
0002ce0d        subl    $0x10,%esp
0002ce10        calll   0x0051adac
0002ce15        movzbl  0x14(%ebp),%esi
0002ce19        calll   0x00850ac9      ; symbol stub for: _fork
0002ce1e        cmpl    $0x00,%eax
0002ce21        jll     0x0002cf02
0002ce27        jle     0x0002ce34
[... many more lines omitted ...]

所以我想做的是替换第 0002ce19 行的操作码，而不是调用 _fork，它只是无条件地跳转到失败的情况（即它应该像 fork() 返回 -1 一样）

不幸的是，我是反汇编/二进制补丁的新手，所以我不确定如何去做。特别是，我的问题是：

1) 我应该将哪些字节写入位置 0002ce19 到 0002xe1d 以获得我想要的？我假设它是“jmp 0x0002cf02”的组装等价物，但我如何弄清楚这些字节是什么？

2）“otool -tV”打印的偏移量似乎是可执行文件的__TEXT段的偏移量。如何找出打印的偏移量和文件顶部之间的字节增量，以便我可以编辑/修补文件中的正确字节？

感谢您提供的任何建议！

score 3 · Accepted Answer

我对 MacOS/X 不熟悉，但我可以给你一些提示。

修复它的正确方法是使用反汇编程序来修补您的文件。

0002ce19        calll   0x00850ac9

可以替换为

0002ce19        movl   eax, -1 ; mov eax, 0xFFFFFFFF

您看到的偏移量是相对的，因此您无法在文件中找到它们。
例如，jll 0x0002cf02实际上是jll 0x000000DF

如果我是正确的，下面的代码块

0002ce19        calll   0x00850ac9      ; symbol stub for: _fork
0002ce1e        cmpl    $0x00,%eax
0002ce21        jll     0x0002cf02
0002ce27        jle     0x0002ce34

将具有这种组装形式（20 个字节）：

0x  E8   AB3C8200
    83F8 00
    0F8C DF000000
    0F84 0B000000

如果该序列在文件中是唯一的，那么您可以尝试将更改E8AB3C8200为B8FFFFFFFF，如果您不能使用反汇编程序。

score 2 · Accepted Answer

Probably the easiest would be to put mov $-1, %eax in place of the call. You can find out what bytes that corresponds to by putting it in a .s file, compiling it, and dumping the result, padding with nops if it is shorter than the patch location. I get "b8 ff ff ff ff", which just fits.

You can find the start of __TEXT by running otool -l and looking for the offset.

score 1 · Accepted Answer

otx和Hex Fiend将成为您的朋友。otx 会给你一个带有文件相对偏移量的反汇编，而 Hex Fiend 会让你修补跳转。请记住，0x90 是 NOP 的 (x86) 操作码，因此 9090909090 是 fork() 调用的合适替代品。（请记住，它不会生成返回值，因此 eax 中可能会出现一些奇怪的东西。）

assembly - 如何确定可执行文件中反汇编代码的位置？

3 回答 3

Related

Reference