2 марта 2017 года, была выпущена версия 3.0.5-rc2 дизассемблера Capstone.

Предыдущий релиз был в 2015 году.

Скачать:
www.capstone-engine.org/download.html

Компактный пример на питоне:

Запуск и выхлоп:


Описание изменений:
www.capstone-engine.org/changelog.html

Version 3.0.5-rc2

March 2, 2017
Release 3.0.5-RC2 is a release candidate version, with important fixes in the core & several bindings.

Library

Fix build for Visual Studio 2012
Fix X86_REL_ADDR macro
Add CS_VERSION_MAJOR, CS_VERSION_MINOR, CS_VERSION_EXTRA
Better support for embedding Capstone into Windows kernel drivers
Support to embedded Capstone into MacOS kernel
Support MacOS 10.11 and up
Better support for Cygwin
Support build packages for FreeBSD & DragonflyBSD
Add a command-line tool "cstool"
Properly handle switching to Endian mode at run-time for Arm, Arm64, Mips & Sparc

X86

Some random 16-bit code can be handled wrongly.
Remove abundant operand type X86_OP_FP
Fix instructions MOVQ, LOOP, LOOPE, LOOPNE, CALL/JMP rel16, REPNE LODSD, MOV *AX, MOFFS, FAR JMP/CALL
Add X86_REG_EFLAGS for STC and STD
Fix instruction attributes for SYSEXIT, MOVW, ROL, LGS, SLDT
Rename registers ST0-ST7 to be consistent with asm output

Arm

Properly handle IT instruction
Fix LDRSB
Fix writeback for LDR
Fix Thumb BigEndian setup
Fix arith extender
Fix writeback for LDR
Rename enum arm64_mrs_reg to arm64_sysreg

PowerPC

Print 0 offset for memory operand

Sparc

Fix POPC instruction

Python binding

Better PyPy support
Add __version__
Better support for Python 3
Fix CS_SKIPDATA_CALLBACK prototype
Cast skipdata function inside binding to simplify the API

Java binding

Better handle input with invalid code

PowerShell binding

New binding

-----
EnJoy!

| Сообщение посчитали полезным: Abraham, plutos, oldman, nice, DenCoder

Jupiter пишет:
Сегодня, 2 марта 2017 года,
ага... теперь понятно под какое событие, тебя ждать в следующий раз.
с возвращением кстати...

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Спасибо, Jupiter!
Очень, на мой взгляд, полезная тема!
Хотелось бы, чтобы участники форума, имеющие опыт использования этого инструмента, поделились им (опытом): теория, практика, примеры использования, выводы и заключения, ну и т.д. в этом роде.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos
Ну как быстрый ответ на твой вопрос: есть твик использования движка на конкретной платформе.
Если двиг будет использоваться только для x86 (например), то имеет смысл собрать специальную "diet" версию, которая будет содержать только то, что необходимо на конкретной платформе. Это позволяет значительно сократить размер библиотеки.

Пример сборки:

Пример проверки поддержки архитектуры:

Подробнее:
capstone-engine.org/compile.html

-----
EnJoy!

| Сообщение посчитали полезным:

Хорошая библиотека, всё работает быстро и без ошибок. Использую её в нескольких проектах.

Единственный минус - большой размер всей библиотеки(примерно 3 мб).

Есть еще интересные вещи от той же группы координаторов:

--> Link <-- Эмулятор на основе QEMU. Работает, но нестабильно и с костылями(версия 0.9). Написал на нём анализатор-распаковщик.
Последнее обновление библиотеки(1.0), было настолько радикальным, что старые костыли перестали работать. Нужно всё переписывать.

--> Link <-- Ассемблерный фреймворк. Описание интересное, но пока тесно с ним не общался.

-----
http://ntinfo.biz

| Сообщение посчитали полезным:

hors пишет:
Написал на нём анализатор-распаковщик.

как интегрируются capstone и unicorn? Я простейщий пример на уникорне написал, ну выполняет код, да,
а чтобы получить дизасм текущей выполняемой инструкции, получалось что надо было ещё капстоновский
cs_disasm вызывать, что видимо добавляет тормозов.

| Сообщение посчитали полезным:

hors

> всё работает быстро и без ошибок.

Задачи дизасма две - раскодировка инструкций или выхлоп текста(мнемоник). Профайл важен для первой задачи, тогда чем это лучше кседа, проводили тесты ?

На стабильность тесты проводятся не на системном коде, а на спец конструкциях не корректных или на рандом буфере.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
На стабильность тесты проводятся не на системном коде

ну да, так то авторы капстоуна конечно об этом не знали, на calc.exe быстро пару раз прогнали и в паблик
выдали.

| Сообщение посчитали полезным:

oldman пишет:
на calc.exe быстро пару раз
ну как это быстро, 2 года гоняли, и на блокноте так же...

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Интересно потестить, но нечем собрать. Я не помню, но вроде я прошлую версию тестил, можно тут поискать где то моя тема была.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
но нечем собрать

Windows - Core engine
* The Capstone header files (*.h) for C programming.
* 32-bit/64-bit DLLs & static libraries for Microsoft Windows 32-bit/64-bit.
* A test file (test.exe)

Win32
capstone-3.0.5-rc2-win32.zip

Win64
capstone-3.0.5-rc2-win64.zip

-----
EnJoy!

| Сообщение посчитали полезным: difexacaw

difexacaw пишет: а на спец конструкциях не корректных или на рандом буфере

Как и xed проверялся процессором, на данный момент один из самых стабильных и удобных движков, xed слишком громоздкий, а остальное либо сырое или же вообще школьное творчество.
собрал но без кернел варианта, нет инклудов на этой машине.

| Сообщение посчитали полезным: difexacaw

Jupiter

File not found

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
File not found

Заменил ссылкой на GitHub, проверь

-----
EnJoy!

| Сообщение посчитали полезным:

Спасибо.

.lib файл там кривой, не содержит прототипов.
В хидерах описание кривое, какой прототип у cs_disasm ?



4-й аргумент:
> @address: address of the first instruction in given raw code buffer.

Это виртуальный адрес или это относительно начала буфера смещение, не понятно. Если смещение, то зачем 64-битное.. тогда вероятно что это всё же адрес(VA).

Куда статус возвращается, size_t это не cs_err судя по дефейну, вероятно какой то размер.

Передаю адрес rdtsc/ret. Возвращает Eax = 1, в буфер ссылку на выделенный буфер в хипе, в котором число 0x254.
Если предположить что возвращается cs_err, то это CS_ERR_MEM - страничного нарушения нет, это бага.

Как это заюзать ?

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет: Как это заюзать ?

собранный пример и исходный код примера.
Судя по соседней теме, для вашей задачи нужно немного переписать код движка, это значительно ускорить работу и уменьшит размер.

| Сообщение посчитали полезным:

shellstorm

У вас в импорте 8 либ типо api-ms-win-crt-heap-l1-1-0, я их гуглом нашёл, но всё равно не запускается - видимо это сишное дерьмо меняется в версиях. Зачем такой компиль нужен не понятно..

> нужно немного переписать код движка

Ксед для той задачи заюзать не получилось, так как он винапишный, а тот прожект нэйтивный.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
У вас в импорте 8 либ типо api-ms-win-crt-heap-l1-1-0, я их гуглом нашёл,
инде, семпл выше не воркает на хп
на 7 норм

| Сообщение посчитали полезным:

difexacaw пишет:
4-й аргумент:
> @address: address of the first instruction in given raw code buffer.

Это виртуальный адрес или это относительно начала буфера смещение, не понятно. Если смещение, то зачем 64-битное.. тогда вероятно что это всё же адрес(VA).

Это виртуальный адрес (я в первом посте привёл сорс на питоне, там по выхлопу понятно):

Запуск и выхлоп:


На сях вызов:


По сути этот параметр задаёт базовое абсолютное смещение для использования движком при расчёте абсолютных адресов

-----
EnJoy!

| Сообщение посчитали полезным:

oldman пишет:
как интегрируются capstone и unicorn? Я простейщий пример на уникорне написал, ну выполняет код, да,
а чтобы получить дизасм текущей выполняемой инструкции, получалось что надо было ещё капстоновский
cs_disasm вызывать, что видимо добавляет тормозов.

Полный дизасм текущей инструкции или только длины? Если полный, то да, нужно Capstone подключать.
Подключается стандартно, никаких проблем не было замечено.

Если нужна только длина и адрес, то можно без Capstone.

Ставится хук на область памяти:



Теперь на каждой инструкции в этой области памяти вызывается функция:



address адрес текущей инструкции
size длина текущей инструкции.

Но останавливаться на каждой инструкции долго(с Capstone или без).
Поэтому намного быстрее сканировать текущую память на предмет нужных сигнатур и ставить в нужных местах брейкпойнты.
То есть по сути тоже самое что мы делаем при трассировке/распаковке в обычном отладчике.

Добавлено спустя -50 минут
difexacaw пишет:

Задачи дизасма две - раскодировка инструкций или выхлоп текста(мнемоник). Профайл важен для первой задачи, тогда чем это лучше кседа, проводили тесты ?

Лучше Кседа тем, что больше поддерживаемых архитектур.

-----
http://ntinfo.biz

| Сообщение посчитали полезным: oldman, DenCoder

difexacaw пишет: Зачем такой компиль нужен не понятно

Я собрал "как есть", без настройки сборки, при необходимости подобный мусор отключается, а по хорошему там нужно переписать аллокатор и вообще выкинуть crt.

| Сообщение посчитали полезным:

shellstorm

А зачем тогда такой пример выкладывать вообще, если это невозможно запустить без установки IDE, которым вы это собрали. И я это не на XP запускал, а на x64-w8. Мне просто надоело копировать на варю скачанные либы..

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет: А зачем тогда такой пример выкладывать

Вы действительно думаете, что я после каждой сборки бегу проверять секции с импортом?
Открыл проектный файл, нажал кнопку собрать, залил результат на обменник, все.
Нужно еще компилятор обновить, последнее обновление оказалось бажным, не отключается security check.

| Сообщение посчитали полезным:

Хороша вещь. В плане анализа кода - хорошая альтернатива иде, может помочь обойти трудности в скриптах иды быстрее, есть такая теоретическая возможность.

Под "В плане анализа кода" я имел в виду автоматический анализ. Большинство конструкций кода, применяемых техник шаблонные. И можно упростить себе анализ, разгрузив мозг от рутинных операций по анализу. А двиг на кэпстоуне хорош тем, что может позволить анализировать быстрей и легче код и под x86/x64, и под мипс, и под арм. Ну это моё мнение.

-----
IZ.RU

| Сообщение посчитали полезным:

hors пишет:
addHook(&traceCode,UC_HOOK_CODE,(void *)hookCode,this,0,0x1000)
На своём любимом си так пока не попробовал. Решил ради освоения питона, заюзать unicorn на нём. Хорошее дело - хуки. Вот только по-разному себя ведёт функция reg_read() внутри хука и вне её

Например, определили функцию


Внутри функции хука:


и в конце модуля


По остановке на одной из инструкций из

будет 2 вывода основных регистров ARM.

Они должны бы быть одинаковые, но это не так:


Отличается PC

-----
IZ.RU

| Сообщение посчитали полезным:

hors пишет:
Лучше Кседа тем, что больше поддерживаемых архитектур.
+1
отличный дизасм, описание инструкций в структурах, иногда даже слишком "глубоко"
для X86_OP_IMM (__int64) не мешало бы добавить размер константы в байтах, размер операнда указывает только на макси значение.


-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco

У дизасма есть две совершенно не связанные задачи. Первая это декодер инструкций, который предоставляет базовую инфу - наличие MRM, SRC/DST операндов, флаги и регистры(IN/OUT) etc. Вторая это текстовый вывод мнемоник. Обычно нужна вторая задача, но для неё подходит вообще любой дизасм, лучше/хуже оценивается по текстовому выхлопу. Для первой задачи важен профайл и гибкость мотора, что он может раскодировать. Есно для первой задачи никакая портабельность смысла не имеет. Для второй задачи смысла не и имеет профайл.

-----
vx

| Сообщение посчитали полезным:

Пытаюсь установить CAPSTONE на FreeBSD.

./make.sh install =>

install -m0755 cstool/cstool /usr/bin
install: cannot stat 'cstool/cstool': No such file or directory

Похоже, что вот эта строчка в Makefile $(INSTALL_LIB) cstool/cstool $(BINDIR)
вызывает ошибку.

в google есть упоминание о подобной ошибке, но у них она каким-то образом исчезла сама по себе

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos
sudo же. Или ты из тех, кто до сих пор под рутом сидит?

| Сообщение посчитали полезным:

$ sudo ./make.sh install => абсолютно идентичная ошибка.

Я FreeBSD установил три дня назад и для меня это темный лес. Кое-что из Unix'a помню, но давно не пользовался. Так что, если кто может помочь, то обьясните пожалуйста подробно.

Кроме того, куда устанавливается Capstone? и как убедится, что он установлен?

пытался ./tests/test*, но валится на первом же файле: ./test_arm.c Permission denied, хотя я вроде как root.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: