2 марта 2017 года, была выпущена версия 3.0.5-rc2 дизассемблера Capstone.

Предыдущий релиз был в 2015 году.

Скачать:
www.capstone-engine.org/download.html

Компактный пример на питоне:

Запуск и выхлоп:


Описание изменений:
www.capstone-engine.org/changelog.html

Version 3.0.5-rc2

March 2, 2017
Release 3.0.5-RC2 is a release candidate version, with important fixes in the core & several bindings.

Library

Fix build for Visual Studio 2012
Fix X86_REL_ADDR macro
Add CS_VERSION_MAJOR, CS_VERSION_MINOR, CS_VERSION_EXTRA
Better support for embedding Capstone into Windows kernel drivers
Support to embedded Capstone into MacOS kernel
Support MacOS 10.11 and up
Better support for Cygwin
Support build packages for FreeBSD & DragonflyBSD
Add a command-line tool "cstool"
Properly handle switching to Endian mode at run-time for Arm, Arm64, Mips & Sparc

X86

Some random 16-bit code can be handled wrongly.
Remove abundant operand type X86_OP_FP
Fix instructions MOVQ, LOOP, LOOPE, LOOPNE, CALL/JMP rel16, REPNE LODSD, MOV *AX, MOFFS, FAR JMP/CALL
Add X86_REG_EFLAGS for STC and STD
Fix instruction attributes for SYSEXIT, MOVW, ROL, LGS, SLDT
Rename registers ST0-ST7 to be consistent with asm output

Arm

Properly handle IT instruction
Fix LDRSB
Fix writeback for LDR
Fix Thumb BigEndian setup
Fix arith extender
Fix writeback for LDR
Rename enum arm64_mrs_reg to arm64_sysreg

PowerPC

Print 0 offset for memory operand

Sparc

Fix POPC instruction

Python binding

Better PyPy support
Add __version__
Better support for Python 3
Fix CS_SKIPDATA_CALLBACK prototype
Cast skipdata function inside binding to simplify the API

Java binding

Better handle input with invalid code

PowerShell binding

New binding

-----
EnJoy!

| Сообщение посчитали полезным: Abraham, plutos, oldman, nice, DenCoder

RoKZaR
Потому что все реверсеры играют в конкурентов, которым надо заработать денех на покушоть, вместо того, чтобы спроектировать единый фреймворк и апи для реверсерских инструментов.

| Сообщение посчитали полезным:

RoKZaR пишет:
Почему нельзя выбрать Диз который хочется?
Хочется испытать и выбрать для себя подходящий.

Качай предыдущую версию x64dbg, в которой использовался Capstone, и тестируй, сколько нужно.

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter пишет:
Качай предыдущую версию
Мерси за совет

| Сообщение посчитали полезным:

Bronco пишет:
при выходе из цикла, у меня "ломается", всё детальное описание в списке.

данные в структуре самой инструкции, не изменяются, а вот подробное описание, при вкл опции переписывается след инстр, на этом экономия времени и выделенной памяти. собственно ссылки из DETAIL последней инстр, во всём списке инструкций выше по списку. Насколько понял, API можно юзать для быстрого анализа_разбора, и поиска. дублировапть капстоновские структуры, считай переписать весь модуль,+ к этому переписывать весь проект..дофуя...НЕ ХОЧУ..

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco

Кому же это нужно если есть ксед - табличный декодер. Только не здоровый разумом может использовать какие то кривые движки, но не использовать при этом и даже не тестить или сравнить другой мотор. Тема по мойму даже не про дизасмы, а про адекватность тех кто их юзает.

-----
vx

| Сообщение посчитали полезным:

difexacaw, та ты так не горячись, а то свой... разум... повредишь.
млять, и нафуй я перед тобой оправдываюсь.
для начала его надо собрать, если мы об этом
с этих сорцов на выходе статик либа, и куча доков. динамических библиотек ни разу не видел.
капстон проще на порядок, и по обычному выхлопу, без подробного описания, у меня нет к нему нареканий.
с подробным, шибко прожорлив, и об этом отписал. что опять не так?

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco

А когда сборка начала являться проблемой ?

Найдите конечный билд.

А есчо ксед давно саппортится и апдейтится, это лучший дизасм, всё остальное - уг. Да и по профайлу/стабу тоже лучший.

-----
vx

| Сообщение посчитали полезным: VanHelsing

difexacaw пишет:
А когда сборка начала являться проблемой ?
бу-бу..бу-бу... БУ... прочитай весь пост, грамотей..
или грамоты хватает только на одно предложение?
difexacaw пишет:
Найдите конечный билд.
ты же пиаришь, тебе и искать. мне пока не горит, и если не найдёшь, цена твоему посту ЗЕРО.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco

Вот тебе билд что бы не парился", линкуй и юзай. Документация там просто чудесная.

Главное мозги не еби и не будь мудаком.

От модератора: Полегче, а то бан

df24_19.04.2018_EXELAB.rU.tgz - xed.7z

-----
vx

| Сообщение посчитали полезным: DenCoder

difexacaw пишет:
и не будь мудаком.
учить читать посты, тебя уже поздно.
так что олень, ганибало свой прикрой, и со своим огрызком диза, больше не рисуйся.

От модератора: Не ведись на провокации

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Сезонное обострение шизофрении чаще встречается при приступообразном типе течения болезни. При изменении светового дня на 2 часа в ту или иную сторону часто происходят обострения шизофрении при ее длительном течении. Это как раз попадает на межсезонье, то есть весну и осень. Сбивается привычный ритм жизни и внутренние биоритмы больного человека.

Чаще всего приступы проявляются в виде аффективных расстройств. Это приводит к периодам депрессии или мании. Даже здоровый человек чувствует себя в весенне-осеннее время, испытывая меланхолию, снижение работоспособности и слабость. Но если здоровый человек вполне способен своими силами справляться с сезонным унынием, то человеку, страдающему эндогенным процессом преодолеть эмоциональную неустойчивость под силу только с помощью специалистов в области психиатрии.

Осеннее и весеннее обострение шизофрении может быть связано с настолько незначительными причинами, что предотвратить это практически не удается. Стрессы, конфликты в семье, алкоголизация, резкие звуки и яркий свет вполне способны вывести такого человека из психического равновесия. Единственно правильным решением будет профилактический прием у врача-психиатра и обязательная поддерживающая медикаментозная терапия.

| Сообщение посчитали полезным: DrVB_5_6

difexacaw пишет: А когда сборка начала являться проблемой ?

собрать не проблема, но кто будет писать бридж для голого xed'a?
движок ради движка сомнительная трата времени, к нему нужно еще пилить интерфейсы, которые +- должны соответствовать остальным движкам, есть брать родные структуры xed'a, по размеру выйдет еще больше чем у capstone, у первого выхлоп подробней чем у последнего. с дизасм длин орнул, человеку вообще то выхлоп нужно асмить. когда таргет сильно переваливает за 100 мегабайт x64 кода накрытого парой-тройкой говнопротов, внезапно мир розовых пони начинает рушиться.

| Сообщение посчитали полезным: Bronco

в этой теме несколько раз уже упоминался xed.
До недавнего времени я о нем ничего не слышал, но вдруг столкнулся с этой штукой совсем с другой стороны. Мне нужно было парсить совсем небольшие фрагменты бинарного кода, стал писать свой "лисапет", но неожиданно заметил, что у сарая нет одной стены, а именно, что имеется X86 Encoder Decoder by Intel. Вспомнил про эту тему и решил спросить:

-- про тот ли самый X86 Encoder Decoder здесь идет речь?
и
-- каковы общие впечатления у тех, кто пользовался? Плюсы, минусы...

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos пишет: про тот ли самый X86 Encoder Decoder здесь идет речь?

У intel'a он один:
https://software.intel.com/en-us/articles/xed-x86-encoder-decoder-software-library

plutos пишет:каковы общие впечатления у тех, кто пользовался? Плюсы, минусы...

Плюсы: информативность, скорость работы, точность.
Минусы: в некоторых случаях информативность избыточна, интерфейсы существенно сложней чем у сабжа, а значит кода больше писать, таблицы транслируются питоновскими скриптами которые пишут индусы, раз через раз ломаются из-за того, что они никак не определятся с кодировкой. В остальном нормальный двиг.

| Сообщение посчитали полезным: plutos

-->X86 Encoder Decoder<--

--> XED Build Guide <--

если кому вдруг надо...

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos пишет:
если кому вдруг надо...
да неплохо бы енкодер мистера обновить, а то он на avx512 спотыкается. а так если правильно подать, на остальном отлично работает, и судя по отчётам в одиночку, остальные 2 двига отдыхают.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: plutos

Bronco пишет:
остальные 2 двига отдыхают.

ну первый, это, конечно, capstone, а второй?

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos пишет:
ну первый, это, конечно, capstone, а второй?
не ..я о другой части --> кседа <--,по инклудам видно, с чего диа собирал свой парсер асма.
а диз один и сабжевый.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

shellstorm пишет:
но кто будет писать бридж для голого xed'a?
добрался таки до этого монстра.
ты прав, чуваку по ходу даже мнемоника не нужна, только длины, и он с ними носится.
такое пиарить это позорище.
диз у кседа самое простое,но после декоде напрямую из структуры для таблицы, кроме длины, толком ничего не возьмёшь.
а сам выхлоп ещё надо парсить и структурировать, хз чего там по тестам, но капстон по выхлопу на порядок приятней.
по асму полные качели, интеловский синтаксис асма ещё надо самим раскладывать на синтаксис кседа, чтобы заполнить структуру для таблицы, разложил правильно чего то отрыгнул.
мистер конечно красава, работу в своём парсере большую проделал.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет: ты прав, чуваку по ходу даже мнемоника не нужна, только длины, и он с ними носится.

Хах, да, ему длины нужны для нарезки бинарного потока, поэтому длин под задачу более чем достаточно, тестировать инструкции определенной длины, это небольшая по размеру табличка, в задачу не входит пересборка всей трассы, для этого поток можно завернуть на любой двиг. Индей как обычно, рекламирует велосипед когда нужен дорожный каток.

| Сообщение посчитали полезным: Bronco

shellstorm

Не соглашусь. Я во первых не рекламировал двиг, а указал на самый эффективный по профайлу, учитывая прошлый опыт. Интерфейсы не имеют значения.

А во вторых я не говорил ничего про динамику, ну или по крайней мере не помню про это. Пересборка, те вызов конструктора - в любом возможном случае этого следует избегать. Даже если конструктор будет столь стабильным и относительно быстрым, это не применимо в динамике. А сейчас все актуальные задачи это динамика. Ковырять код конструкторами это годится для отладки, либо для обучения.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет: Интерфейсы не имеют значения

Естественно, если решать сферические задачи, но реальный мир сложнее.

difexacaw пишет: Пересборка, те вызов конструктора - в любом возможном случае этого следует избегать

Конечно, особенно если ничего не знать о деобфускации и девиртуализации. Сама по себе снятая трасса не сильно полезна, её ещё нужно привести до удобоваримого состояния.

| Сообщение посчитали полезным:

shellstorm

Работа с кодом в данном случае делится на фазы. Первая получается маркировка линейных блоков. Вторая фаза это свёртка кода, когда выделяется маркированный код. На этом этапе резолвится задача data vs code через слежение за исполнением. Третья фаза - абстрагирование от выделенного кода, это именно через конструктор можно сделать, например деморфить. Но это столь специфические задачи, что общее решение врядле вообще возможно.

-----
vx

| Сообщение посчитали полезным:

shellstorm пишет:
Сама по себе снятая трасса не сильно полезна
+1, и ксед, в текущем состоянии, пока не подходит, для решения даже простых задач.
да и на этот не структурированный выхлоп, лочат памяти на 1 инстр, на порядок больше чем в капстоне всё вместе взятое с подробным описанием.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco

Что значит лочат память" ?

Имеется ввиду размер выходных структур ?

Какое это имеет значение, если вы берёте от туда нужную инфу и буфер затирается и используется вновь, нп стек ?

Тут где то есть соответствующая тема про диз профайлы, там я выбирал самый лучший. А есчо были железячные тесты, был реализован аппаратный декодер длин(он медленный из за механизма исключений), который определял длину инструкций аппаратным путём(страничный PF). Только через этот мотор проводились тесты всяких других дизасмов. Все тестируемые были анстаб и возникали ошибки на первых секундах диза рандомом заполненного буфера, лишь несколько моторов являются стабильными, из них это во первых очень старый декодер длин 86 Malum'a, но он медленный, dizahex(не раскодирует NPX) и ксед. Остальные не являются стабильными, это значит что для произвольного кода применяться не могут.

-----
vx

| Сообщение посчитали полезным:

взято из этого поста
0F 2F 81 88 01 00 00
zydis:

сабж:

слинковал свежий cstool:

--> Online-Disassembler<--
--> Online-Assembler <--
сейчас даже асмджит не берёт этот выхлоп капстона.
плезир, оформите исузу на гитхабе капстона --> Link <--
--------
66 0F 19 04 00 | NOP WORD PTR DS:[RAX + RAX], AX
мелочь, но сабж по своему декодирует

--------
difexacaw пишет:
Какое это имеет значение
да как то на тебя, нет больше желания время тратить. проходи просто мимо.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Version 4.0

--> Link <--

| Сообщение посчитали полезным:

RevCred

Толку от ссылки, нет самого важного - тестов.

-----
vx

| Сообщение посчитали полезным:

То ли лыжи не едут, то ли RVA в операнде нужно самому достраивать:
Инструкции с displacement операндами

делаю, как в примере (адрес инструкции корректно подается)

на выходе

соостветственно костылю сам:


| Сообщение посчитали полезным:

ELF_7719116 пишет:
соостветственно костылю сам:
в структуре дитейла выделено 32 бита
// Displacement value, or 0 when irrelevant.
int32_t disp;
мне удобней disp со знаком преобразовать в положительное, а в какую сторону смещение брать из оп_стр.
для физ адреса есть апи
// Calculate relative address for X86-64, given cs_insn structure
#define X86_REL_ADDR
но если инструкция "lea reg,mem_pointer", часто меняет расположение в листинге, лучше своё:

---------
обновленный капс стал как то тяжелее, ради AVX добавили в дитейл новые поля и структуры.
а прежние ошибки так и остались.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: plutos