IDA Tips
FFE4
业余病毒分析
展开
-
IDA7.0安装findcrypt-yara插件时报错
最近给新环境安装IDA7.0和插件findcrypt3.py在按照yara-python包时出现以下错误: yara/libyara/include\yara/types.h(33) : fatal error C1083: Cannot open inclue file: 'stdbool.h': No such file or directory error: command 'C:\\Users\\sam\\AppData\\Local\\Programs\\Common\\Micro原创 2020-11-23 16:04:35 · 679 阅读 · 0 评论 -
IDA F5还原伪代码的小问题
这个函数是DialogBoxParamsA函数注册的窗口回调,代码中有个红箭头标示处,EAX 的值来自GetDlgItemTextA函数获取输入框控件中用户输入字符的长度。然后cmp eax,5 判断用户输入点的字符是不是5个。下面有个jnz条件判断,此时如果按F5,IDA只显示了左边红色框框中的代码,调用MessageBoxA。上图中,F5后的结果,GetDlgItemTextA获取完长...原创 2018-09-30 17:03:28 · 11259 阅读 · 0 评论 -
IDA7.0 使用FindCrypt3报错 AttribbuteError: 'str' object has no attribute 'rule'
最开始报错是 AttribbuteError: ‘str’ object has no attribute ‘rule’ 我以为是我python环境的问题,把py重装了一下,报错变成了AttribbuteError: ‘str’ object has no attribute ‘strings’,似乎没什么改变。后来我卸载了yara-pyhton这个插件,重新安装了一下,可以正常使用了!...原创 2018-10-16 11:46:16 · 850 阅读 · 0 评论 -
IDA无法识别VirtualAlloc中的flAllocationType为0X3000
使用IDA分析时,经常会遇到一些Win32函数的参数无法正常识别,比如VirtualAlloc这个函数的flAllocationType为0x3000时,就无法正常识别MEM_RESERVE | MEM_COMMIT = 0x3000IDA添加枚举类型时,开启bitfield域的支持就行了应用bitfield的枚举类型以后,可以正常解析0x3000为MEM_RESERVE | MEM_...原创 2019-09-29 10:14:27 · 536 阅读 · 0 评论 -
IDAPython中的SegByName,返回不了段起始地址
下面代码中的code_start = SegByName(".text") 本是用来返回区段的起始地址,不过在新版本的IDA里面已经不能用了,现在只返回base的值,也就是区段的序号经过查询资料,IDA4.7之前的版本,使用这个函数返回的确是是区段起始地址在新版本中,如果想通过区段名得到区段起始地址,需要通过两个API来完成Python>get_segm_by_sel(select...原创 2019-10-10 15:12:11 · 458 阅读 · 0 评论