使用IDAPython解密被加密函数名

最新推荐文章于 2024-08-12 14:58:59 发布
最新推荐文章于 2024-08-12 14:58:59 发布
阅读量1.4k 收藏 1
点赞数 1
分类专栏: IDA 文章标签: IDAPython
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuhaidon1992/article/details/103386284
版权

最近分析一款病毒,输入表是空的,并且搜字符串,搜不到函数名,函数名被加密了。
就写了个脚本把函数名都解密起来,并加注释,方便在IDA中查看。
完整脚本如下:

def get_string(addr):
    out = ""
    sourceString = "amNFHufoTRn0P3vI8xBS4t6jM9CqXeibUDEpQ1ZGYywJzAg7sk2lc5WLOrKdhV.?"
    destString   = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789.?"
    while True:
        if Byte(addr) != 0:
            idx=sourceString.find(GetString(addr, 1,ASCSTR_C))
            if idx != -1:
                out += destString[idx]
        else:
            break
        addr += 1
    return out

def get_string_addr(addr):
    while True:
        addr = PrevHead(addr)
        if GetMnem(addr) == "mov" and "edx" == GetOpnd(addr,0):
            return addr
    return ""            

def decrypt_function_name():
    base_addr_arry = [0x404D44, 0x404488]
    for base_addr in base_addr_arry:
        cross_refs=CodeRefsTo(int(base_addr),0)
        for code_addr in cross_refs:
            stringStartAddr = DataRefsFrom(get_string_addr(code_addr))
            for addr in stringStartAddr:
                str = get_string(addr)
                MakeComm(code_addr, str)
decrypt_function_name()

解密前

解密后

liuhaidon1992
关注
专栏目录
[网络安全自学篇] 五.IDA反汇编工具初识及逆向工程解密实战
杨秀璋的专栏
08-08 2万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。上一篇文章分享了实验吧CFT实战的题目,涉及WEB渗透和隐写术常见题型,包括“这是什么”、“天网管理系统”、“忘记密码”、“false”、“天下武功唯快不破”和“隐写术之水果、小苹果”;这一篇文章将详细讲解IDA Pro反汇编工具的基础用法,并简单讲解一个EXE逆向工程解密实战方法。希望对入门的博友有帮助,大神请飘过,谢谢各位看官!
[系统安全] 五十五.恶意软件分析 (7)IDA Python基础用法及CFG控制流图提取详解[上]
杨秀璋的专栏
01-22 1222
前文介绍了软件来源分析,结合网络攻击中常见的判断方法,利用Python调用扩展包进行区域溯源。这篇文章将开启IDA Python学习,首先介绍IDA Python配置过程和基础用法,然后尝试地区恶意软件的控制流图(CFG),再为后续的恶意软件家族分类或溯源提供帮助。由于作者是初学者,因此会遇到很多问题,欢迎各位大佬和读者指导。基础性基础,且看且珍惜。
ida动态调试_初试IDA&FRIDA联合调试简单ollvm保护的加密函数源码
weixin_39616379的博客
12-01 705
本文为看雪论坛优秀文章看雪论坛作者ID:无造本文为看雪安卓高研3w班(5月班)优秀学员作品。下面先让我们来看看讲师对学员学习成果的点评,以及学员的学习心得吧!讲师点评ollvm混淆强度不是很强的时候,可以通过IDA静态分析参数的交叉引用和返回值的来源,定位到与参数相关的函数,然后使用frida hook这些函数,定位到处理参数或生成返回结果的关键函数。但是ollvm混淆强度比较强的时候,...
function的name属性
weixin_34126215的博客
10-18 716
name属性是函数的一个非标准的属性。 通过这个属性,我们可以访问给定函数字。属性name的值永远等于跟在function关键字后的标识符。 eg: function jenny(arg1,arg2){ //函数体 } alert(jenny.name); //输出 jenny Firefox、Safaro、Chrome、Opera都支持该属性。 注:匿...
无需编程,纯IDA逆向解密TEA加密的文件
最新发布
weixin_45616281的博客
08-12 1036
IDA逆向解密TEA加密文件
IDA脚本——输出所有函数称和地址
zhuzhuzhu22的博客
07-17 6127
本博客由闲散白帽子胖胖鹏鹏胖胖鹏潜力所写,仅仅作为个人技术交流分享,不得用做商业用途。转载请注明出处,未经许可禁止将本博客内所有内容转载、商用。       我们在使用IDA的时候,经常要对分析好的函数结果进行导出,结合其他软件比如OD或者其他二进制分析工具使用,这里我提供一个python脚本,能够将IDA中所有的函数称和地址提取出来,并且输出成sqlite3数据库,这样即使是函数数量比较多的...
IDA 显示函数称技巧
Safedebug的博客
12-01 7110
IDA中,我们可以经常看到这种   all memset push esi ; unsigned int call ??_U@YAPAXI@Z ; operator new[](uint) push esi ; Size push 0 ; Val push eax
IDA 字符串解密脚本
BpLife
11-21 5502
.text:10116143 BF 20 A1 18 10                    mov     edi, offset unk_1018A120 .text:10116148 BA 28 B1 18 10                    mov     edx, offset aKLVljqKqvyTy ; "k]L}VLJQ]KqVy[Ty" 这两个地址字符串被加密
病毒分析教程第八话--idapython使用
安全杂货铺
12-25 583
idapython使用 IDAPythonIDA的一款强大的插件,通过它可以对病毒代码做一些自动化的操作,常用于汇编码反混淆和解密。接下来我们尝试使用该工具来解密病毒代码。 本次实验的样本为:F834F898969CD65DA702F4B4E3D83DD0,先使用IDA打开它,目光聚焦到上面的导航栏,有一大段绿色的数据,位于0x40C030,直觉告诉我,这是段加密后的可执行文件。 在unk_4...
IDApython在恶意软件分析中的应用
摔不死的笨鸟的博客
11-24 487
IDA具有yara的批量识别能力,虽然速度上差了点,但是却有着强大的静态分析处理能力接口,病毒分析师可以通过逆向分析或者动态调式获取关键加解密处的代码,使用IDApython来批量分析和处理样本得到具有价值的威胁情报信息。 IDA在恶意软件分析中的主要作用是利用IDA无界面版本idat64.exe的强大自动化分析能力去批量处理家族样本,静态上解密或者去混淆,最终以得到病毒样本的URL和IP地址为主要价值信息 使用的前提是: 一、病毒家族样本的加密函数固定有规律有通性。 二、病毒样本的加密函数比较简单或者标准
Python 基于pycryptodome,实现对AES、DES、3DES、RSA等常用加密算法的使用,文末附各种加密的源码示例
serfend's blog
05-05 5154
Python 基于pycryptodome,实现对AES、DES、3DES、RSA等常用加密算法的使用,文末附各种加密的源码示例 文章目录Python 基于pycryptodome,实现对AES、DES、3DES、RSA等常用加密算法的使用,文末附各种加密的源码示例该库支持以下特性概述四种分组加密模式简介对称加密DES加密3DES加密AES加密blowfish加密非对称加密RSA加密整体测试示例代码产生密钥对加解密校验签(判断数据是否是可靠的,没有被篡改的)注意事项其他文档相关逆向CTF题 (中文:加
由base64加密解密程序的分析看IDA,OD的使用
宗泽的博客
02-27 1068
IDA 打开IDA首先会看到那标志性的笑容 打开文件,会看到这样的界面 左边是函数界面,列出程序里定义或调用的函数;右边是程序(汇编语言)界面,可以在文本视图(text view)、图表视图(graph view)、路径视图(proximity view)之间切换。 Hex View 十六进制窗口 Imports 导入函数窗口 Struceures 结构体窗口 Exports 导出函数窗口 E...
IDA怎么这么难用啊
qq_53358173的博客
04-30 533
文章目录这IDA怎么这么难IDA简介:IDA数据库文件IDA导航条IDA三个可视窗口IDA图形视图文本视图函数窗口十六进制窗口Names窗口查看程序中的所有字符串添加注释基本设置IDA桌面提示小技巧结束语 这IDA怎么这么难 IDA简介: 反汇编工具,它功能强大、操作复杂,要完全掌握它,需要很多知识。 说白了就是会用你就很了不起 IDA数据库文件 .id0文件:是一个二叉树形式的数据库。 .id1文件:包含描述每个程序字节的标记。 .nam文件:包含与IDA的Names窗口[3]中显示的给定程序位置有
IDA运行加密算法识别插件findcrypt-yara报错‘module’ object has no attribute’set_name’
siphre
10-12 2539
10月12日 findcrypt下载的是github项目, 负责人似乎没维护好,插件源码findcrypt3.py里的195行出错 idc.set_name(value[0], name + "_" + hex(self.toVirtualA...
逆向分析学习小纪——基于IDAPython应用程序逆向分析
Henryli1202的博客
01-08 2423
这是我的《逆向分析学习小纪》第三篇,这个系列主要介绍我的逆向分析学习过程,本篇涉及python编译中的保护手段、利用IDA工具完成静态分析、python解释器的解密和应用程序反编译等内容。希望和大家多多交流,共同进步!
IDA常用命令
z2664836046的博客
02-24 2491
is_dword(get_full_flags(addr))判断地址处的对象是否为四个字节(指针) is_strlit(get_full_flags(addr))判断地址处的对象是否为字符串 get_item_end(addr)得到地址对象的结束地址 Byte(addr):获取地址处的字节内容(字符),get_wide_byte(addr):地址字节内容(ASCII码),chr(ASCII码...
破解TexturePacker加密资源:使用IDA
热门推荐
夜风的BLOG
04-07 1万+
很多cocos2d开发的游戏,比如圣火英雄传、武侠Q传等,都使用TexturePacker加密资源。通过IDA debug so,可以破解出这些游戏的美术资源。
【经验】IDApython 脚本怎么使用反汇编的变量,以及获取反汇编地址上的值,附 IDA的output窗口被不小心关掉了的打开方式
qq_46106285的博客
10-04 2382
记录两个小问题:①变量:用光标或地址定位。特容易忘,但挺实用。②output窗口打开。
13.IDA-显示正确的函数称(去掉c++后缀命
hgy413的专栏
01-26 8001
随便看一段IDA的反汇编: C++编译器用于区分重载函数的机制。为了给重载函数生成唯一的称,编译器用其他字符来修饰函数称 图左就是C++的后缀命法,图右是正常的函数字 为了显示正常的函数字,使用Options▶Demangled Names 比如,我们选中Names,反汇编将显示为: 附 如果一个二进制文件使用了后缀命IDA的取消改编功能会立即展示函数的参数类型和返回
使用IDAPython加速二进制分析
IDA7版本中,IDAPython已经被集成,使得用户能够利用Python的灵活性进行复杂任务。 **Walking the functions 7** 遍历函数IDAPython的基本操作之一。可以使用`idc`模块中的`FirstFunc()`和`NextFunc()`函数来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值