ida使用技巧:ida python

最新推荐文章于 2023-12-15 20:04:21 发布
最新推荐文章于 2023-12-15 20:04:21 发布
阅读量3.4k 收藏 11
点赞数 2
分类专栏: ctf 文章标签: 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52164435/article/details/124878537
版权

一、简介

ida python是ida中一个很强大的功能,早期需要另行下载,后来在6.8版本成为了内置插件,而在7.5版本更新后又对函数的命名进行了规范修整。
ida python官方提供了函数文档:https://www.hex-rays.com/wp-content/static/products/ida/support/idapython_docs/
IDC api函数文档:https://www.hex-rays.com/products/ida/support/idadoc/162.shtml

二、使用

现在几乎没有人在使用ida 6.8及以下版本了,所以ida python的安装不再介绍,直接从使用说起。

小问题

首先先解决一个小问题,因为ida7.5更新后函数名称不同,再使用老版本脚本或函数时,会出现NameError: name ‘XXXX’ is not defined这样的报错提示,解决办法有两种
方法一:
在代码面前:
from idc_bc695 import *
方法二:
修改配置文件
进入ida的存储目录,找到cfg文件下的idapython.cfg文件,修改其中参数“AUTOIMPORT_COMPAT_IDA695”值为YES
在这里插入图片描述
当然,官方更新这些api函数的名称肯定是有道理的,所以建议遇到有问题的函数之后去官方提供的对照表中查看一下新版本的函数名,链接如下:
https://www.hex-rays.com/products/ida/support/ida74_idapython_no_bc695_porting_guide.shtml

使用方法

使用ida python有三种方法
第一种:
在菜单栏中点击“文件”->“脚本命令”即可打开脚本编写窗口,快捷键是Shift+F2在这里插入图片描述
可以看到,在下方的设置选项中有一个Scripting language,在这里可以选择python或者IDC。如果选IDC的话,就只能使用IDC函数了。
第二种:
直接引用编写好的脚本文件,在菜单栏中点击“文件”->“引用脚本”即可,快捷键是Alt+F7
第三种:
直接在下方命令行输入
在这里插入图片描述

常用函数
获取地址

  • idc.get_screen_ea() 旧版:ScreenEA()
    获取 IDA 调试窗口中此时光标指向代码的地址。

  • idc.here()
    获取当前指令位置

  • ida_ida.inf_get_min_ea()
    获取最小地址

  • ida_ida.inf_get_start_ip()

  • ida_ida.inf_get_max_ea() 旧版:idc.MaxEA()
    获取最大地址

  • idc.read_selection_start() 旧版:idc.SelStart()
    当前选择区块的起始地址

  • idc.read_selection_end() 旧版:idc.SelEnd()
    当前选择区块的结束地址

获取段
  • idc.get_first_seg() 旧版:FirstSeg()
    访问程序中的第一个段。
  • idc.get_next_seg() 旧版:NextSeg()
    访问下一个段,如果没有就返回 BADADDR。
  • idc.selector_by_name(string SegmentName) 旧版:SegByName( string SegmentName )
    通过段名字返回段基址
  • idc.get_segm_end(long Address) 旧版:SegEnd( long Address )
    获取传入地址的段尾地址
  • idc.get_segm_start( long Address )旧版:SegStart( long Address )
    获取传入地址的段首地址
  • idc.get_segm_name( long Address ) 旧版:SegName( long Address )
    获取传入地址的段名
  • Segments()
    获取所有段名
获取数值
  • idc.get_wide_byte(addr) 旧版:Byte(addr)
    以字节为单位获取地址处的值
  • idc.get_wide_word(addr) 旧版:Word(addr)
    以2字节(字)为单位获取地址处的值
  • idc.get_wide_dword(addr) 旧版:Dword(addr)
    以4字节为单位获取地址处的值
  • idc.get_qword(addr) 旧版:Qword(addr)
    以8字节为单位获取地址处的值
处理数值
  • ida_bytes.patch_byte(addr,value) 旧版:idc.PatchByte(addr,value)
    修改addr地址的值为value.每次修改一个字节
  • ida_bytes.patch_word(addr,value) 旧版:idc.PatchWord(addr,value)
    修改addr地址的值为value.每次修改两个字节
  • ida_bytes.patch_Dword(addr,value) 旧版:idc.PatchDword(addr,value)
    修改addr地址的值为value.每次修改四个字节
  • ida_bytes.patch_Qword(addr,value) 旧版:idc.PatchQword(addr,value)
    修改addr地址的值为value.每次修改八个字节
函数处理相关

  • Functions( long StartAddress, long EndAddress )
    返回一个列表,包含了从 StartAddress 到 EndAddress 之间的所有函数。

  • Chunks( long FunctionAddress )
    返回一个列表,包含了函数片段。每个列表项都是一个元组(chunk start, chunk end)

  • idc.get_name_ea_simple( string FunctionName ) 旧版:LocByName( string FunctionName )
    通过函数名返回函数的地址。

  • idc.get_func_off_str( long Address ) 旧版:GetFuncOffset( long Address )
    通过任意一个地址,然后得到这个地址所属的函数名,以及给定地址和函数的相对位移。 然后把这些信息组成字符串以"名字+位移"的形式返回。

  • idc.get_func_name( long Address ) 旧版:GetFunctionName( long Address )
    通过一个地址,返回这个地址所属的函数。

  • CodeRefsTo( long Address, bool Flow )
    返回一个列表,告诉我们 Address 处代码被什么地方引用了,Flow 告诉 IDAPython 是否要 跟踪这些代码。

  • CodeRefsFrom( long Address, bool Flow )
    返回一个列表,告诉我们 Address 地址上的代码引用何处的代码。

  • DataRefsTo( long Address )
    返回一个列表,告诉我们 Address 处数据被什么地方引用了。常用于跟踪全局变量。

  • DataRefsFrom( long Address )
    返回一个列表,告诉我们 Address 地址上的代码引用何处的数据。

parafish_0
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
解决安装PythonIDA中找不到Python模块的问题
dvlinker的技术专栏
06-11 233
解决安装PythonIDA中找不到Python模块的问题
ida7.0插件Python_editor全部安装
01-02
下载安装包覆盖指定文件 删除IDA 7.0目录\python\sip.pyd 删除IDA 7.0目录\python\PyQt5目录 比如你的python安装目录是C:\python27-x64 添加环境变量 PYTHONHOME=C:\python27-x64 QT_QPA_PLATFORM_PLUGIN_PATH=C:\python27-x64\Lib\site-packages\PyQt5\plugins\platforms 修改IDA 7.0目录\plugins\plugins.cfg ``` ;Python_editor Python_editor 0 0 ; Python_editor ```
IDA安装版没有python执行功能
、抓不住的沙、、
04-14 7117
如果没有安装python环境,则直接安装一个python,重启IDA即可。 如果安装有多个python环境,比如Anaconda之类的,那么运行一下IDA目录下的idapyswitch.exe,并按操作选择设置一个指定的环境即可。
IDAPython插件安装
热门推荐
BetaBin
03-04 1万+
1、机器上安装Python,到Python的官网(http://www.python.org/getit/)下载一个2.6或者2.7的安装包。注意对应操作系统类型及位数。 2、到googlecode上面(http://code.google.com/p/idapython/downloads/list)去下载相应版本的IDAPython。然后解压。注意IDA版本和Python版本都要和自己机器
ida脚本环境开发配置idapython&idacpp三端环境(win,mac,linux)
最新发布
jmm18363027827的博客
12-15 799
ida脚本也有一段时间了,一直有个痛点是找不到比较好的方法热重载脚本来实时改动生效,导致开发效率老慢了。固总结下比较友好的环境搭配。
IDA7.5pro IDAPython脚本整理
云舒的博客
07-11 1201
IDApro7.5 脚本整理
python常用api_IDAPython常用API整理
weixin_39959505的博客
11-23 1088
1在使用IDAPython编写插件时,常使用的三个库为idaapi、idc和idautils,下面的这些API方法均来自这三个模块。Idaapi模块中导入了所有的以“ida_*.py”格式命名新模块,相当于所有新模块的整合。需要注意的是在IDAPython中有一个模块为idc_bc695,这是作为一个兼容之前版本(IDA 6.95)的脚本化插件而存在的模块,因为在IDA7.0版本发布时,其中的某些...
ida_python_scripts:ida python脚本
04-29
ida_python_scripts[IDA_comment][ida_function_rename]
Sark:轻松实现IDAPython
04-28
IDA插件和IDAPython脚本库。 有关文档,请参见 安装Python 3和IDA 7.4) 对于最新版本(IDA7.4和Python3): pip3 install -U git+https://github.com/tmr232/Sark.git#egg=Sark 或从PyPI: pip3 install ...
ida_scripts:我在不同项目中使用Ida 脚本
06-17
只是一些 ida 脚本。
IDAPython 初学者指南
05-27
IDAPython 初学者指南 IDAPython 初学者指南 IDAPython 初学者指南
IDA_pro v6.8
07-07
逆向工具
Python-FixIDAPython修复IDA加载IDAPython时出现的错误
08-10
FixIDAPython - 修复IDA加载IDAPython时出现的错误
IDA Python 安装
hanqdi_的博客
02-08 3943
要求: IDAIDA PythonPython版本必须对应起来,具体见IDA Python下载链接,有相应对应版本。 环境及下载版本(根据自己电脑位数选择) 环境:操作系统win7 64位 1.下载IDA 6.8(64位), 链接:https://pan.baidu.com/s/1X8oeamLA5x6c5IfyqPalfw 提取码:jrb6 2.下载Python 2.7(64位),htt...
IDA命名前缀的含义
kelxLZ的博客
01-20 1905
IDA自动生成假名字,他们用于表示子函数,程序地址和数据。根据不同的类型和值假名字有不同前缀: sub_: 指令和子函数起点 locret_ :返回指令 loc_ :指令 off_ :数据,包含偏移量 seg_ :数据,包含段地址值 asc_ :数据,ASCII字符串 byte_ :数据,字节(或字节数组) word_: 数据,16位数据(或字数组) dword_ :数据,32位数据(或双字数组) qword_ :数据,64位数据(或4字数组) flt_ :浮点数据,32位(或浮点数组) dbl_: 浮点
IDA Python的介绍
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
05-14 1464
然而,IDA Python使用也需要一定的编程基础和IDA Pro的API知识,需要不断学习和实践才能掌握。通过IDA Python,用户可以访问IDA Pro的API,调用IDA Pro的功能和命令,以实现自动化分析和修改。例如,IDA Python包含一些特殊的库和函数,例如idaapi、idautils和ida_hexrays等。接着,使用idautils.Functions()函数获取程序中的所有函数地址,然后使用idaapi.get_func_name()函数获取函数名,并打印输出。
IDAPython安装
永远不要给自己找借口
02-06 7402
操作系统win7 64位 1.下载IDA 6.8(64位),https://pan.baidu.com/s/1c2IIXbU,并安装。 2.下载python 2.7(64位),并安装 3.下载idapython,https://github.com/idapython/bin,解压,解压文件idapython-1.7.2_ida6.8_py2.7_win32.zip,并进入解压后的文件夹,
IDA 配置python环境,可执行python脚本
07-22 3876
注意事项 下面几点关系到安装是否成功 IDA必须是安装版的,我以前用的是免安装版的。 python版本、IDA版本,IDAPyhton版本必须匹配。 pythonIDAIDAPython必须都是32位的或者都是64位的。 安装关键点 下面这些东西必备,缺一不可: python27.dll(我安装的是python2.7,如果安装的是pyhton2.6那就是py...
ida python
08-15
回答: IDA PythonIDA中一个强大的功能,可以通过编写Python脚本来扩展IDA的功能。安装IDA Python的步骤如下:首先,根据自己的IDA版本和Python版本,下载对应的IDAPython包。然后,将IDAPython解压后的Python文件夹内的所有内容覆盖掉IDA原有的Python文件夹。接下来,将IDAPython解压后的Plugins文件夹中的python.plw和python.p64拷贝到IDA原有的Plugins文件夹中。最后,将IDAPython解压后的python.cfg文件拷贝到IDA原有的cfg文件夹中。如果python2.7安装包中没有python27.dll,可以将python26.dll重命名为python27.dll,并确保python的系统位数与IDAPython的系统位数相同。安装完成后,可以通过编写IDA Python脚本来扩展IDA的功能。IDA Python文档提供了相关函数的详细说明,可以在官方网站上获取相关文档。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [IDA 配置python环境,可执行python脚本](https://blog.csdn.net/ayxh0058/article/details/101094191)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [ida使用技巧ida python](https://blog.csdn.net/m0_52164435/article/details/124878537)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值