[系统安全] 五十五.恶意软件分析 (7)IDA Python基础用法及CFG控制流图提取详解[上]

已于 2024-04-18 17:42:17 修改
阅读量1.1k 收藏 3
点赞数 3
分类专栏: 系统安全与恶意代码分析 文章标签: 系统安全 安全 IDA 控制流图 恶意代码分析
于 2024-01-22 15:11:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Eastmount/article/details/135672275
版权

您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列。因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全、逆向分析和恶意代码检测,“系统安全”系列文章会更加聚焦,更加系统,更加深入,也是作者的慢慢成长史。换专业确实挺难的,逆向分析也是块硬骨头,但我也试试,看看自己未来四年究竟能将它学到什么程度,漫漫长征路,偏向虎山行。享受过程,一起加油~

前文介绍了软件来源分析,结合网络攻击中常见的判断方法,利用Python调用扩展包进行区域溯源。这篇文章将开启IDA Python学习,首先介绍IDA Python配置过程和基础用法,然后尝试提取恶意软件的控制流图(CFG),再为后续的恶意软件家族分类或溯源提供帮助。由于作者是初学者,因此会遇到很多问题,欢迎各位大佬和读者指导。基础性基础,且看且珍惜。

文章目录

作者的github资源:

了解本专栏 订阅专栏 解锁全文
Eastmount
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
订阅专栏
[网络安全提高篇] 一二六.恶意软件分析IDA Python基础用法CFG控制提取详解[上]
杨秀璋的专栏
03-11 642
前文介绍了软件来源分析,结合网络攻击中常见的判断方法,利用Python调用扩展包进行区域溯源。这篇文章将开启IDA Python学习,首先介绍IDA Python配置过程和基础用法,然后尝试地区恶意软件控制CFG),再为后续的恶意软件家族分类或溯源提供帮助。由于作者是初学者,因此会遇到很多问题,欢迎各位大佬和读者指导。基础基础,且看且珍惜。
恶意软件分析工具IDA7
04-05
恶意软件分析工具IDA7
IDA_Plugin:一个IDA Pro插件,用于从以Python编写的程序集文件中提取调用控制
05-01
IDA_Plugin 该脚本可以通过两种方式运行: 1-用二进制文件打开IDA,然后按“ ALT + F7”,然后选择脚本并单击“提交”,IDA还会要求输入文本文件,您可以选择一个空文本文件,但输出将不会写入那里。 2-使用IDA命令行,如下所示:idaq -A -S [scriptPath] [binaryPath] (有关IDA命令行开关的更多信息,请访问: : ) 该脚本将生成3个文件: BinayFileName.text.asm->普通的asm文件 BinaryFileName.text.info->脚本输出文件 BinaryFileName.text.asmplus->汇编代码文件+用于地址映射的段信息 第一个文件是IDA Pro生成的普通程序集文件。 第二个文件是脚本输出文件。 最后一个是具有用于地址映射的汇编指令段信息的汇编代码文件。 对于每个文件,此
IDA Pro7.0使用技巧总结
进击的龙
03-02 1354
俗话说,工欲善其事,必先利其器,在二进制安全的学习中,使用工具尤为重要,而IDA又是玩二进制的神器,以前在使用IDA的时候,只是用几个比较常用的功能,对于IDA的其他功能没有去研究,于是本着学习的精神,参考着《IDA pro权威指南》(第二版),写下这篇文章,记录自己的学习心得,下面的记录都是在Windows平台下的IDA pro7.0进行的 一些二进制工具 在...
IDA PRO的功能
eqera的专栏
11-29 3万+
从4.17版开始IDA PRO就提供了功能,它使用了VCG形库里面的WinGrah32工具。IDA PRO可以提供标准的GDL形给WinGrah32来绘制工具条如下所示。   下面我们来看一些工具的一些具体使用方法。 通过分析一个功能函数,可以清晰的看出程序的程结构,使得分析更清楚,更容易。使用FlowChart按钮,可以绘制
OllyDebug的使用方法. IDA Pro分析程序的控制,可以找到不同的函数入口点. 在汇编代码中定位特定函数可能是一个耗时且复杂的过程
最新发布
chenhao0568的专栏
01-30 2383
OllyDbg” 是一个行的Windows平台上的汇编级调试器,用于调试和分析二进制程序,尤其是用于逆向工程目的。:首先,您需要在您的计算机上安装OllyDbg。完成安装后,打开程序。:在OllyDbg中,通过点击文件菜单中的“打开”来加载您想要调试的可执行文件(.exe)。:加载文件后,OllyDbg将显示程序的汇编代码。您可以浏览代码,查看不同的部分和指令。:为了调试程序,您可能想在特定的指令处设置断点。这可以通过右击代码行并选择“设置断点”来实现。
IDAPython基础教程5.pdf
06-11
IDAPython基础教程5 给出的⽂件名为rabbithole ⾸先使⽤file命令查看⼀下 可以看到是64位的可执⾏⽂件 接下来我们切换到win,使⽤IDApro,以此⽂件为样例,学习IDAPython的⽤法。 不是所有时候我们都需要写⼀段代码...
lda.zip_ida python_ida算法 python_lda_pda_lda算法python
09-21
标题中的"lda.zip_ida python_ida算法 python_lda_pda_lda算法python"涉及到的主要技术是IDA(Iterative Dichotomiser 3)算法,以及与之相关的LDA(Linear Discriminant Analysis,线性判别分析)和PDA(Partial ...
oday安全:软件漏洞分析技术第五章堆溢出.zip
05-20
《oday安全:软件漏洞分析技术》第五章深入探讨了这一主题,通过实例帮助读者理解堆溢出的工作原理及其分析方法。在这个压缩包中,包含的资源有源C代码、源程序以及IDA(Interactive Disassembler)数据库文件,这些...
IDA 介绍和使用
mayue_web的博客
07-03 4940
IDA的新手入门指南IDA的反编译插件hexrays decompiler逆向分析工具IDA与开源工具Ghidra、Cutter对比测评IDA(Interactive DisAssembler)是一款功能强大的反汇编工具,用于分析和逆向工程二进制文件。它被广泛用于软件漏洞分析恶意代码分析、逆向工程等领域。以下是IDA的一些主要特点和功能:反汇编:IDA可以将二进制文件转换为易于阅读和理解的汇编代码。它支持多种处理器架构,包括x86、ARM、MIPS等。
IDA入门【二】IDA数据显示窗口
小旺的博客
01-02 1955
这个选项使Strings窗口仅显示IDA自动创建或用户手动创建的已命名字符串数据项。在选中这个选项的同时禁用所有其他选项,IDA将不会自动扫描其他类型的字符串。
让你IDA Pro 快速上手使用
Y_peak的博客
02-10 453
让你IDA Pro 快速上手使用 写这篇博文主要是在打pwn的时候,有时候在IDA中想要寻找信息,自己不会IDA Pro的使用。只能一个一个查找太费时间和人力,寻找相关书籍和博客做了一些适合新手的笔记。如有补充欢迎评论 (ps:主要针对打pwn的时候的一些操作) F5 作用: 反汇编 Ctrl + F 作用: 筛选函数 shift + F12 作用: 查找字符串 空格 作用: 控制和文本界面反汇编切换 ...
IDA Python 使用总结
sky123博客
08-29 5211
运行 IDA 安装目录下的,选择使用的 python 解释器。
IDA Pro基本简介
weixin_33711641的博客
11-20 2431
  IDA Pro基本简介 IDA加载完程序后,3个立即可见的窗口分别为IDA-View,Named,和消息输出窗口(output Window)。     IDA形视会有执行,Yes箭头默认为绿色,No箭头默认为红色,蓝色表示默认下一个执行块。 在寄存器窗口中显示着每个寄存器当前的值和对应在反汇编窗口中的内存地址。函数在进入时都会保存堆栈地址EBP和ESP,退出函数时恢...
控制(Control Flow Graph, CFG)
weixin_44638108的博客
11-04 3178
https://blog.csdn.net/william_munch/article/details/85258893 控制(Control Flow Graph, CFG)
4.1程序控制
热门推荐
zhuohanzhuo的博客
05-28 5万+
程序控制,简称,是对程序进行简化后得到的,它可以更加突出的表示程序控制的结构。控制中包括两种形符号:节点控制线复合条件要分解为简单条件判定节点(谓词节点)由判定节点发出的边必须终止与某一个节点由边和节点所限定的范围被称为区域当对区域计数时,形外的区域也应记为一个区域转换为:一个节点包含1个或多个连续的无分支语句节点不允许含有复合节点单入单出的可以合并成一个节点...
符号执行之angr学习-控制
water_likly的博客
03-09 3828
一 序 分析控制分析程序必不可少地过程,通过分析控制能够快速地帮助我们了解程序结构,同时利用控制实现漏洞挖掘,Bug分析等也是非常有用地。Angr提供了多种分析工具,其中就有控制分析。(转载请注明出处) 对控制CFG)的分析分为两个方面,静态控制分析和动态控制分析。 https://docs.angr.io/built-in-analyses/cfg 提供了对...
IDA详细使用教程
m0_55854679的博客
11-08 2万+
Ollydbg 仅仅是运行于 Windows 用户模式下的一种 32 位调试器,而 IDA 是运行于 32/64 位下,可用作反编译和调试的一个完整的逆向工具。使用 IDA 尽管是个更加复杂的学习过程,但它提供了 Ollydbg 无法实现的静态逆向分析 手段,并且使用户能够在 Windows、Linux 或 Macosx 本地环境以及以下环境中远程操作。
每天一个IDA小技巧(六)交叉引用
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
12-28 8107
在使用IDA进行逆向时,经常会碰到需要「定位某个变量被哪些函数访问」或者「某个函数是从什么地方被调用的」。这种跟踪变量或函数的功能在IDA中被称作交叉引用(XREF),同时IDA还提供了...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Eastmount

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值