IDC：函数

IDC：函数

• IDC脚本中的函数必须要有返回值。在IDC脚本中，支持两类函数：

• 1. 内建函数

  2. 用户自定义函数

• 用户自定义函数一般是像下面这样的方式写的：

  static func(arg1,arg2,arg3)
  {
    statements ...
  }
  

  需要注意的一点是，声明函数参数的时候，没必要指定函数参数的类型了，因为IDC会根据你传入的参数自动进行参数类型转换的。

• 默认情况下，函数调用的时候参数传递是按值传递的，但是以下三种情况例外（引用传递）：

• 1. 对象类型的参数总是使用引用方式传参

  2. 函数类型的参数总是使用应用方式传参

  3. 还可以强制使用 & 符号来让参数使用引用方式传参

• 如果IDC脚本中调用的函数不存在，IDA就会尝试解析并使用当前被调试的进程中的符号或者标签，如果解析成功，那么就会执行一次 AppCall（AppCall稍后会进一步解释）

IDC：AppCall

• 首先需要明确一点，AppCall是IDC脚本中的一个内建函数

• 先来看函数原型

  anyvalue Appcall(ea, type, ...);
  

• • 功能：调用被调试进程的函数

  • 参数：ea - 调用的函数地址

  • 参数：type - 调用的函数的类型或者说方式，支持三种调用形式

  • 1. 字符串形式，比如：“int func(void);”

    2. 类型对象形式，比如：GetTinfo(ea)

    3. 零：相当于让IDA自行决定，这种情况下，类型一般是从idb中进行获取的

  • 参数：...， 这个是可变参数，用来传递你要调用的函数的参数

  • 返回值：被调用函数的返回值

  • Remark：如果函数调用失败，并且失败的原因是内存访问异常或者其他异常，脚本会抛出一个runtime错误信息，可以在脚本中使用 try/catch 进行异常捕获。在实际的使用过程中，很少使用AppCall这个函数调用，只是说IDA拥有这种在IDC脚本中存在未知函数的时候尝试在被调试进程中匹配符号的能力，举个例子：_printf("hello\n") 这条语句会调用被分析程序的 _printf 函数

• AppCall函数有2个选项可以使用，我们可以在IDC脚本中使用 SetAppcallOptions宏进行设置：

• 1. #define APPCALL_MANUAL 0x0001

     • 只设置AppCall， 不执行，执行完毕之后，需要调用一次 CleanupAppcall

  2. #define APPCALL_DEBEV 0x0002

     • 返回调试详细信息， 如果设置了这个标志位，当AppCall执行过程中发生异常的时候，会生成一个包含详细异常信息的异常对象

  3. #define APPCALL_TIMEOUT 0x0004

     • AppCall调用的超时时间， 超时时间是以毫秒为单位的，并且值是放在option的高2位字节中，如果AppCall调用超时，错误信息会放到 errbuf中，并且值是字符串 timeout

  4. #define SET_APPCALL_TIMEOUT(x) ((x<<16)|0x0004)

     • 指定AppCall超时时间的时候，需要拼装option的值，这个就是一个辅助宏，用来生成option的值

• 使用AppCall这个功能，可以很随意的调用被调试进程内的函数而不需要进行任何的dll注入或者修改被调试进程的内存，如果被调用的函数名称存在的话，AppCall还可以简化成 func(args)的形式，前提是func这个符号是存在的，举个例子：

  verinfo = object();
  verinfo.dwOSVersionInfoSize = sizeof(OSVERSIONINFOA);
  GetVersionExA(&verinfo);
  

  上面这段代码将会在被调试进程内创建一个OSVERSIONINFOA结构体，并且将结构体地址传递给GetVersionExA调用，调用完毕之后，verinfo 对象就被转换成了IDC对象，内存结构如下：

  object
        __at__:        18FEB0h
        dwBuildNumber:        7600.
        dwMajorVersion:          6.
        dwMinorVersion:          1.
        dwOSVersionInfoSize:
        dwPlatformId:            2.
        szCSDVersion: "\x00\x00\x00\x00..."

  其中_at_属性表示这个结构体的内存地址，在这个例子中verinfo是一个临时变量，所以_at_的值意义不大，大家在使用使用的过程中可能会遇到这个值很有用的情况。

• AppCall会自动在IDC对象和C对象之间进行转换，转换的时候依据IDA中拥有的类型信息来进行，但是还要遵循以下几个转换规则：

• 1. 基本数据类型:

     • 如果目标数据类型也是一个基本数据类型（非指针），只需要执行简单的转换即可（附带符号处理或者截断处理），比如： IDC中的值-1转换成 _int32(0xFFFFFFFF)，IDC中的0x555转换成 _int8(0x55)

  2. 指针：

     • 如果目标类型是一个指针，并且IDC的值是一个字符串，这个字符串就转换成一个指针对象，字符串的内容直接拷贝到被调试进程，后面追加一个结束符 \0

     • 如果对应的IDC的值是一个数字，转换之后的结果是指针所指向的内存的值是这个数值，如果你想得到一个数值的地址，可以直接使用 &符号

     • 如果对应的IDC值不是字符串，那这个值将会转换成一个对象，指针指向的内存使用这个对象进行初始化

  3. 结构体

     • 如果目标类型是一个结构体，IDA会通过对应的属性来尝试一个一个的初始化结构体的成员。比如：在上面的例子中只有dwOSVersionInfoSize 属性存在，那么这个结构体字段就使用这个属性类初始化，对于不存在的字段直接初始化成0

  4. 数组

     • 数组的每个元素都是单独初始化的，当然如果对应的IDC值是字符串除外，因为字符串本身就是可以当成一个完整的数组来使用的。

• 下面针对上述的几种情况，我们来举一些例子：

• 1. 调用printf

           auto n = 5;
           auto s = "short";
           _printf("Hello world, number is %d, string is %s\n", n, s);
     

  2. 调用sscanf

     auto x;
     auto nsuccess = _sscanf(s, "%d", &x);
     

  3. 结构体使用

       verinfo = object();
       GetVersionExA(verinfo);
     

• 另外，_userCall 这个内建调用也是支持这些自动转换的

• 对于会发生异常的调用，配合APPCALL_MANUAL 标志位，可以实现单步的效果，具体方式还需要大家仔细去研究一下.