IDA 教程-脚本化的调试器

最新推荐文章于 2023-11-11 11:03:10 发布
最新推荐文章于 2023-11-11 11:03:10 发布
阅读量5.2k 收藏 5
点赞数 1
分类专栏: windows

从 2003 年开始,IDA PRO 开始支持调试器功能,这很好的弥补了静态分析的不足。但
在很多情况下,它的功能仍然弱于动态分析。IDA PRO 的调试器目前支持 32 位和 64 位下
MS Windows 可执行程序,它支持在 Windows,Linux,Mac OS x 下进行本地和远程调试。然
而,因为调试器的 API 需要熟悉我们的 SDK 和使用基于事件的模型,这对我们有的用户来
说有些困难和并不容易操作。
·  由于 API 使用了基于事件的模型,这使得它很难用我们常用的方法来设计一个顺序
执行(线性模型)的程序。使用者被强制设计一个事件句柄,来实现一个有限状态
机(插件的核心逻辑)。很多时候这是个强大的方式,但可能对某些简单的任务来
说又过于复杂了。
·  因为 API 只能在插件层使用,一个简单的调试器操作需要写一个插件,这比写一个
简单的 IDC 脚本需要花费更多的时间和精力。
IDA 5.2 针对这两个问题做了改进。以往的基于事件的模型依然可用,同时也可通过使
用 get_debugger_event()这个函数来支持简单的线性模型。这个函数暂停插件(或脚本)
的执行直到一个新的调试器时间发生。使用者可以指定他是只对进程挂起事件感兴趣或是对
所有事件。也可以进行定时设置,如果没有其它事件发生,超时后程序可以继续执行。
 
新功能允许我们抛弃以往的事件模型(除了在那些事件逻辑优先线性逻辑的那些情况),
通过编写 IDC 脚本来控制调试器。例如,启动调试器,运行到指定位置,输出一些数据和
两次单步运行,如下所示意:

AppBpt(some_address); 
StartDebugger("","","");         // start debugger with default params 
GetDebuggerEvent(WFNE_SUSP, -1); // ... and wait for bpt 
Message ("Stopped at %a, event code is %x\n", GetEventEA(), GetEventId()); 
StepInto();                      // request a single step 
GetDebuggerEvent(WFNE_SUSP, -1); // ... and wait for app to execute 
StepInto();                       // request a single step 
GetDebuggerEvent(WFNE_SUSP, -1); // ... and wait for app to execute

在 IDA 5.1 中这需要使用一个事件句柄来处理一个小的有限状态机自动执行,一共需要
超过 200 行的代码。请注意,在上面的例子中,为了清晰,错误处理代码被忽略。在实际
生活中,你应该需要检查一些不希望的情况例如单步 StepInto()之后的发生异常的情况。
 
为了演示使用新的方式来编写脚本是如何简单,我们重写了 UUNP 解压器插件的核心
功能。原程序需要大概 600 行代码,并有一个复杂的逻辑。新的脚本只需要 100 行的代码
(其中几乎有一半是注释和空行)。更重要的是,脚本易懂并可根据你的需要随意修改。它
展示了 IDA5.2 的新调试器功能的使用。

#include <idc.idc> 
 
//-------------------------------------------------------------------------- 
static main() 
{ 
  auto ea, bptea, tea1, tea2, code, minea, maxea; 
  auto r_esp, r_eip, caller, funcname; 
 
  // Calculate the target IP range. It is the first segment. 
  // As soon as the EIP register points to this range, we assume that 
  // the unpacker has finished its work. 
  tea1 = FirstSeg(); 
  tea2 = SegEnd(tea1); 
 
  // Calculate the current module boundaries. Any calls to GetProcAddress 
  // outside of these boundaries will be ignored. 
  minea = MinEA(); 
  maxea = MaxEA(); 
 
  // Launch the debugger and run until the entry point 
  if ( !RunTo(BeginEA()) ) 
    return Failed(-1); 
 
  // Wait for the process to stop at the entry point 
  code = GetDebuggerEvent(WFNE_SUSP, -1); 
  if ( code <= 0 ) 
    return Failed(code); 
 
  // Set a breakpoint at GetProcAddress 
  bptea = LocByName("kernel32_GetProcAddress"); 
  if ( bptea == BADADDR ) 
    return Warning("Could not locate GetProcAddress"); 
  AddBpt(bptea); 
 
  while ( 1 ) 
  { 
    // resume the execution and wait until the unpacker calls GetProcAddress 
    code = GetDebuggerEvent(WFNE_SUSP|WFNE_CONT, -1); 
    if ( code <= 0 ) 
      return Failed(code); 
 
    // check the caller, it must be from our module 
     r_esp = GetRegValue("ESP"); 
    caller = Dword(r_esp);


 

if ( caller < minea || caller >= maxea ) 
      continue; 
 
    // if the function name passed to GetProcAddress is not in the ignore-list, 
    // then switch to the trace mode 
    funcname = GetString(Dword(r_esp+8), -1, ASCSTR_C); 
    // ignore some api calls because they might be used by the unpacker 
    if ( funcname == "VirtualAlloc" ) 
      continue; 
    if ( funcname == "VirtualFree" ) 
      continue; 
 
    // A call to GetProcAddress() probably means that the program has been 
    // unpacked in the memory and now is setting up its import table 
    break; 
  } 
 
  // trace the program in the single step mode until we jump to 
  // the area with the original entry point. 
  DelBpt(bptea); 
  EnableTracing(TRACE_STEP, 1); 
  for ( code = GetDebuggerEvent(WFNE_ANY|WFNE_CONT, -1); // resume 
        code > 0; 
        code = GetDebuggerEvent(WFNE_ANY, -1) ) 
  { 
    r_eip = GetEventEa(); 
    if ( r_eip >= tea1 && r_eip < tea2 ) 
      break; 
  } 
  if ( code <= 0 ) 
    return Failed(code); 
 
  // as soon as the current ip belongs OEP area, suspend the execution and 
  // inform the user 
  PauseProcess(); 
  code = GetDebuggerEvent(WFNE_SUSP, -1); 
  if ( code <= 0 ) 
    return Failed(code); 
 
  EnableTracing(TRACE_STEP, 0); 
 
  // Clean up the disassembly so it looks nicer 
  MakeUnknown(tea1, tea2-tea1, DOUNK_EXPAND|DOUNK_DELNAMES); 
  MakeCode(r_eip);
AutoMark2(tea1, tea2, AU_USED); 
  AutoMark2(tea1, tea2, AU_FINAL); 
  TakeMemorySnapshot(1); 
  MakeName(r_eip, "real_start"); 
  Warning("Successfully traced to the completion of the unpacker code\n" 
          "Please rebuild the import table using renimp.idc\n" 
          "before stopping the debugger"); 
} 
//-------------------------------------------------------------------------- 
// Print an failure message 
static Failed(code) 
{ 
  Warning("Failed to unpack the file, sorry (code %d)", code); 
  return 0; 
}




 

eqera
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
trace_natives:一个小脚本,用于trace so中native函数的调用
03-25
trace_natives 一个IDA脚本,获取SO代码段中所有函数的替换地址,再使用frida-trace批量跟踪so函数的调用。 使用方法 1.将traceNatives.py丢进IDA插件目录中 2.IDA中,Edit-Plugins-traceNatives IDA输出窗口就会显示如下字眼: 使用方法如下:frida-trace -UF -OC:\ Users \ Lenovo \ Desktop \ 2021 \ mt \ libmtguard.txt 代码出发点 和,朋友在分析android so的时候,他感慨一句,“唉,要是能捋清整个流程就好了”。确实,搞清楚流向的件挺重要的事,只要代码复杂一些,函数多一些,分支多一些,通过函数指针还原多一些……无论哪一个多一些,静态分析SO就会变得十分恼人。 得益于Frida布道师以及看雪Android逆向课程的大力推广,近来入门And
IDA脚本笔记01
kelxLZ的博客
01-09 894
Author:ZERO-A-ONE Date:2019-10-29 0x01 读取和修改数据的函数 01 Byte long Byte(long addr) 从虚拟地址addr处读取一个字节值 02 Word long Word(long addr) 从虚拟地址addr处读取一个字(2字节)值 03 Dword long Dword(long addr) 从虚拟地址addr处读取一个双字(4字节)值 04 PatByte void PatchByte(long addr, long val) 设.
使用IDA调试器
eqera的专栏
11-28 2万+
一个小bug程序 这个小程序只是简单的计算了一下一组数据(1,2,3,4,5)的平均值。这组数据被保存在两个数组里,一个是8bit的数值,一个是32bit数值表示。 #include charchar_average(char array[],int count) { int i; char average; average = 0; for (i = 0; i ave
IDAida pro的 IDC 脚本语言教程列表
Acunetix的博客
07-15 372
该程序在 0x40 段创建一个段并注释 BIOS 数据区。您应该加载并执行此文件以查看 BIOS 数据区变量的名称。 //------------------------------------------------ ------------------------- 静态 CW(关闭,名称,cmt){ 自动 x; x = [ 0x40, 关闭 ]; MakeWord(x); MakeName(x,name); MakeRptCmt(x,cmt); } //-------------.
ollvm的ida trace操作笔记
esabeny的博客
01-26 1751
1.启动顺序操作记录 1.把android_server push到手机里 2.chmod 777 android_server 3.adbforward tcp:11678 tcp:11678 4.ida->debugger->attach->arm-androddebugger 5.再按f9把程序跑起来 6.file->script_file->选择script.py加载ida脚本,成功后会有日志 7.然后点击Debugger->breaklist里可以看到我们的断
IDA教程-脚本调试器.pdf
12-25
IDA教程-脚本调试器.pdf
IDA基础视频教程-知其所以然论坛.zip
02-09
7. IDA脚本和插件:了解Python API,学习编写脚本来自动IDA的任务,如批量分析、代码搜索等。同时,了解IDA的插件系统,如使用IDA SDK开发自定义插件来扩展其功能。 8. IDA的高级特性:探讨高级话题,如IDAPython...
idapython-cheatsheet:IDAPython的脚本和速查表
04-14
看起来像这样:可列印版本PDF格式 IDAPython 7.x(PNG) IDAPython 6.x(PNG) 提示,技巧和示例调试器挂钩使用断点 清单反汇编程序视图 源代码中的简单转换使用参数的源代码对函数进行注释 种类将类型应用于函数和...
IDA调试器的使用教程.pdf
12-09
### IDA调试器的使用教程 #### 一、IDA调试器简介 IDA调试器是一款功能强大的反汇编和调试工具,适用于多种类型的程序,包括x86、AMD64架构下的Windows PE文件以及x86架构下的Linux ELF文件。本文旨在提供一个全面...
IDA使用教程
03-16
IDA(Interactive Disassembler Pro)是一款强大的反汇编器和调试器,广泛应用于逆向工程领域,用于分析二进制代码、病毒分析、软件安全研究等。本教程将引导你了解IDA的基础操作和核心功能,助你在短时间内掌握这款...
ida trace使用
qq_26394845的博客
11-21 724
trace步骤。
ida 插件编写
lacoucou的专栏
10-22 4260
今天搜索中无意间看到ida可以用python/idc编写插件,好奇之下就试了试。    先看一个例子:    import idaapi class myplugin_t(idaapi.plugin_t): flags = idaapi.PLUGIN_UNL comment = "This is a comment" help = "This is help"
[IDA Plugin] IDA插件收集
志伟入归未有时(兴业和家)
08-31 8621
英语好的,看这里:https://github.com/onethawt/idaplugins-list随着时间的推移,我将组织插件。如果您有任何其他优秀的插件,请提交PR。我想用相应的IDA版本标记每个插件,但是我需要很长时间才能测试。如果你能帮到那里,请做。如果一个插件只是一个没有描述或文档的源代码,我不会添加它。去做 添加更多插件 分类插件 插件 3DSX Loader:用于3DSX文...
[re入门]IDA和OD的基本使用(持续更新)
网络安全知识分享
03-03 8741
工具的使用第一章 IDA使用介绍简介基本使用:1.静态分析功能显示设置代码定位:栈帧分析结构体分析:程序Patch:程序与代码的转换:IDA的动态调试:IDA安装插件IDA其他常用的一些插件IDA脚本功能第二章 OD的简介OD的窗口常用快捷键断点功能 自己的记性不太好,所以做了一个笔记,总结了一下逆向常用工具IDA和OD的使用,用来平时的翻阅,也希望可以帮助到大家。 第一章 IDA使用介绍 简介 空格:切换代码窗口的显示方式(在图形窗口与文本窗口之间切换) 窗口介绍:“View”–“open subview
IDAPython入门基础语法
OrientalGlass的博客
04-24 1019
IDAPython拥有强大的功能,在使用IDA分析程序时非常有用,可以简许多操作例如花指令的特征码匹配修改学习IDAPython需要了解一点Python语言的基本知识以及查询IDAPython文档IDAPython官方文档:直接在搜索框搜索即可匹配相关项。
【CTF-Reverse】IDA动态调试,反调试技术
WdIg-2023的博客
06-27 2917
在本专栏前两篇文章中,带领大家讲解了逆向加密算法,AES,TEA,RC4,Base64加密算法,并带领大家识别各种密码算法特征,这一篇文章来带领大家学习在逆向过程中的动态调试:IDA动态调试,反调试技术。
ida使用技巧之动态调试
热门推荐
m0_52164435的博客
05-20 2万+
一、ida动态调试 1、介绍 众所周知,ida是一款非常优秀的反编译软件,在静态逆向中是属于屠龙宝刀一般的存在,他不仅仅有着优秀的静态分析能力,同时还有着极其优秀的动态调试能力,甚至可以直接对生成的伪代码进行调试,这一点远超其他只能在汇编层进行调试的动态调试器,极大的增加了动态调试程序的可读性,能够节省很多精力。甚至可以以远程调试的方式,将程序部署在linux或安卓端上,实现elf文件和so文件等的动态调试。 2、本地调试(Windows) 首先从本地动态调试开始 加载目标文件 万年第一步,使用ida打开目
3.1 IDA Pro编写IDC脚本入门
最新发布
CSDN
11-11 5222
IDA Pro内置的IDC脚本语言是一种灵活的、C语言风格的脚本语言,旨在帮助逆向工程师更轻松地进行反汇编和静态分析。IDC脚本语言支持变量、表达式、循环、分支、函数等C语言中的常见语法结构,并且还提供了许多特定于反汇编和静态分析的函数和操作符。由于其灵活性和可扩展性,许多逆向工程师都喜欢使用IDC脚本语言来自动反汇编和静态分析过程,以提高效率和准确性。
IDA脚本一页纸(IDC+IDAPython)-示例版
可乐松子的博客
06-01 3554
IDA脚本主要有2种语法,一种类似于C语言(高版本更接近C++)的,一种支持python的 运行结果,符合预期 脚本2:枚举指令 运行结果,符合预期交叉引用实际上是有2个方向的:下面是交叉引用常使用的函数或者宏在的节选片段 test 1:向上枚举调用方 运行结果:明白了上面的示例,这个示例也很容易,就是更改一下函数 运行结果:下面是一个典型的文件的格式,《IDA Pro权威指南第二版》的13章 扩展IDA的知识有详细介绍每个函数的信息会存储在一行,基本格式: + + + + ,这些如果你看过PE
使用IDA6.4进行Pin动态二进制插桩调试
"IDA6.4中的Pin调试器介绍" 本文档详细介绍了IDA6.4版本中集成的Pin调试器功能,这是一个用于记录执行痕迹的远程调试插件。Pin调试器支持在Linux和Windows(x86和x86_64)平台上运行,并能从Windows、Linux和MacOSX...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值