IDA memory dump

已于 2023-05-26 14:41:54 修改
阅读量761 收藏 3
点赞数
分类专栏: 逆向 文章标签: ida memory dump 内存dump
于 2023-05-26 14:38:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A807296772/article/details/130886347
版权

0x00 前言

这几天有个需求,要用ida dump内存,我的是ida7.7,在吾爱破解上下载的。百度了一下,发现网上的都用不了,然后整理了一下,供大家使用

0x01 IDC脚本

ida中,按 Shift+F2,输入以下代码,记得修改路径fname

auto fname      = "e:\\dump_mem.bin";
auto address    = 0x233D0140000;
auto size       = 0x16f510;
auto file= fopen(fname, "wb");

savefile(file, 0, address, size);
fclose(file);

在这里插入图片描述

0x02 Python脚本

基于 https://github.com/qgy123/IDAMemoryDumper 修改了一个小bug

将下面的脚本拷贝到ida中的plugins目录下,然后重启ida,输入快捷键Ctrl-Alt-M

import ida_kernwin
import idaapi
import idc

act_name = "memdumper:opendump"
label = "Memory dumper"


class MemDumper_t(idaapi.plugin_t):
    flags = idaapi.PLUGIN_PROC
    comment = "MemDumper"
    help = "A plugin to dump the memory region where you wannted from the debugger"
    wanted_name = label
    wanted_hotkey = "Ctrl-Alt-M"

    def init(self):
        self.hextays_inited = False

        print("Memory Dumper (v1.0) by yueluo")
        print("Plugin has been loaded.")

        self.hexrays_inited = True
        return idaapi.PLUGIN_KEEP

    def run(self, arg):
        s = """Memory Dumper

        Enter the memory region:
        
        begin:  <:n::12::>
        
        size:   <:n::12::> (optional, fill it to ignore the end address)        
        or        
        end:    <:n::12::>
        """

        currea = idaapi.get_screen_ea()
        begin = idaapi.Form.NumericArgument('N', currea)
        size = idaapi.Form.NumericArgument('N', 0x0)
        end = idaapi.Form.NumericArgument('N', 0x0)

        ok = idaapi.ask_form(s,
                             begin.arg,
                             size.arg,
                             end.arg)
        if ok == 1:
            print("Begin dump")

            if size.value == 0:
                if end.value <= begin.value:
                    idaapi.warning("Incorrect Address!")
                    return
                else:
                    dumpsize = end.value - begin.value

            else:
                dumpsize = size.value

            print("begin: 0x%x, end: 0x%x" % (begin.value, begin.value + dumpsize))

            path = ida_kernwin.ask_file(True, "*", "Save dump to?")

            if not path:
                return

            print("path: %s" %path)

            if idc.savefile(path, 0, begin.value, dumpsize) != 0:
                idaapi.info("Save successed!")
            else:
                idaapi.warning("Failed to save dump file!")

    def term(self):
        if self.hexrays_inited:
            idaapi.term_hexrays_plugin()


def PLUGIN_ENTRY():
    return MemDumper_t()

在这里插入图片描述

江南小虫虫
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IDA动态调试技术及Dump内存
在路上-codingAndlearning
11-20 8685
最近研究SO文件调试和dump内存时,为了完整IDA调试起来,前后摸索了3天才成功,里面有很多坑和细节,稍微不注意,就一直排行,需要理解每步骤的作用意义,否则就会觉得教程不对,要详细的教程可能找不到,大部分都是简单介绍,没有提醒细节和易忽视的点动态调试步骤,顺序严格如下事先准备工作 1、要求root手机或者直接用模拟器 否则没有权限启动android_server 2、IDA在6.6以上版
IDA dump插件
11-18
在使用IDA 进行apk逆向中经常要 dump 内存, 使用这个插件方便dump
利用IDA dump文件内容
Assassin
04-17 7844
一开始需要dump文件中一段数据,但是突然发现自己没有接触过这种东西…真TM菜逼…搞到现在居然dump文件都不会…然后简单总结一下,利用得IDA。 首先从File选项中找到script command这个选项 然后我们主要可以利用两种语言实现,一种是IDC,是一种IDA强大得扩展语言,另一种是IDApython了 IDC 直接上脚本,这只是dump文件得部分,IDC还有很多厉害得功...
IDA远程调试 在内存dump Dex文件
weixin_33975951的博客
04-23 150
1. 首先使用调试JNI_OnLoad函数的方法,先将apk以调试状态挂起,使用IDA附加上去。 2.然后在libdvm.so中的dvmDexFileOpenPartial函数上下一个断点 3.然后我们点击继续运行,程序就会在dvmDexFileOpenPartial()这个函数处暂停,R0寄存器指向的地址就是dex文件在内存中的地址,R1寄存器就是dex文件的大小 ...
IDA附加调试apk程序,并修改内存,编写IDA脚本程序,把修改后的dex文件dump到本地
weixin_41508948的博客
11-26 471
我的测试环境:模拟器 Android 4.2 armeavi-v7a   1.IDA附加调试apk程序 找到IDA所在目录,在dbgsrv文件夹下找到程序android_server 在这里按住“Shift +鼠标右键”,打开控制台 把程序android_server     push到安卓设备/data/local/tmp/目录下、提权并运行 转发端口 在打开一个控制台  ...
使用IDAPython dump 内存
Denny_Chen_的博客
07-26 1953
在网上搜到的最多的 IDA dump 内存的脚本是类似以下的idc代码: static main(void) { auto fp, begin, end, dexbyte; fp = fopen("/home/t/tmpkqk.so", "wb"); begin = 0xCD96F000; end = begin + 0x2FB000; for ( dexbyte = begin; dexbyte < end; dexbyte ++ ) fputc(Byte(dexby
IDA 反编译 将MEMORY[0x20006D3D]等类似的前面带有MEMORY的数组 改成其他的变量类型
qq_36535153的博客
10-28 2138
类似于这种的MEMORY 改成我们自己想要的变量类型 让反编译更加流畅 解决办法:在IDA->VIEW->Open SubView->Segmengs 打开 程序段区 快捷键 shift-F7 然后再空白处 右键 Add segment 插入你自己的段名 选择段的起始地址和结束地址 插入segment 成功后 就可以看到如下的效果 就可以自己去修改这些地址的名称了 ...
IDA Pro 内存Dump脚本插件
Karl_Schwarzschild的小窝
08-31 1046
在调试时对动态内存进行Dump的方法。
IDA小技巧——快速重命名内存dump地址
信息安全
02-15 1337
我们在逆向的很多时候需要dump内存来进行分析,但是不可避免的是会遇到很多call内存内存地址的汇编语句,call的内存地址在调用之前就会被填充 然而当我们dump下来时候用ida打开会变成这样 我们双击内存地址后会看到里面填充了各个函数的地址 但是我们dump下来是为了更方便的使用ida进行分析,这些地址我们不可能去一个个重命名为调用的函数名,所以这时候我们需要使用更简单的方法把所有内存地...
idaida64
04-10
打开里面对应的exe文件就可以运行
mac版本的ida免费版本资源
08-16
IDA v7.6的免费软件MAC版本资源 支持arm处理器
IDA 6.1 SDK
02-09
IDA 6.1开发插件SDK,内含官方发部的SDK及其它功能。 IDA 6.1开发插件SDK,内含官方发部的SDK及其它功能。
idapro.docset
07-05
根据ida pro帮助文件制作的docset文件,dash等可以使用,根据ida pro帮助文件制作的docset文件,dash等可以使用
IDA.rar_ida
09-19
技术资料文章/文档 软件设计/软件工程 文件格式 技术管理 行业发展研究 人物传记/成功经验 通讯编程文档 系统设计方案 软件测试 [展开所有目录] [建议增加分类] ...您上传的源码为何会被站长不采用
IDA使用教程
03-16
IDA使用教程 IDA一日速成记。
IDA中文教程权威指南
最新发布
03-21
工欲善其事必先利其器,学好安全和pojie第一步就是好好利用现有的工具,这个工具写的确实不错从浅入深还扩展了很多,值得好好学一下
IDA Free8.3 For Linux
10-08
是Free 版本, 支持x86, x86_64, 不支持Arm 等 支持反编译成C 语言伪代码, 开放的功能已经非常友好了.. 供学习使用还是非常不错的. linux 下版本, 我喜欢在linux 下操作. 安装: chmod +x idafree83_linux.run ...
IDA Python
01-20
详细阐述了IDA Python使用细节,介绍了IDA Python的调用惯例,基本类和常用类的使用方法。
ida python
08-15
回答: IDA Python是IDA中一个强大的功能,可以通过编写Python脚本来扩展IDA的功能。安装IDA Python的步骤如下:首先,根据自己的IDA版本和Python版本,下载对应的IDAPython包。然后,将IDAPython解压后的Python文件夹内的所有内容覆盖掉IDA原有的Python文件夹。接下来,将IDAPython解压后的Plugins文件夹中的python.plw和python.p64拷贝到IDA原有的Plugins文件夹中。最后,将IDAPython解压后的python.cfg文件拷贝到IDA原有的cfg文件夹中。如果python2.7安装包中没有python27.dll,可以将python26.dll重命名为python27.dll,并确保python的系统位数与IDAPython的系统位数相同。安装完成后,可以通过编写IDA Python脚本来扩展IDA的功能。IDA Python文档提供了相关函数的详细说明,可以在官方网站上获取相关文档。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [IDA 配置python环境,可执行python脚本](https://blog.csdn.net/ayxh0058/article/details/101094191)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [ida使用技巧:ida python](https://blog.csdn.net/m0_52164435/article/details/124878537)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值