IDA findcrypt3插件在yara-python 4.3.0以上版本的问题

最新推荐文章于 2024-08-08 07:14:29 发布
最新推荐文章于 2024-08-08 07:14:29 发布
阅读量720 收藏 2
点赞数 5
文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/marosri/article/details/131171634
版权

findcrypt3插件在yara-python 4.3.0版本运行时会报下面的错误

 显示 yara.StringMatch 不可下标,查看 yara-python 4.3.0发现这个版本对 yara.StringMatch 做了修改,现在 yara.StringMatch不是列表了

 而是具有如下属性

 修改的方法也很简单,一是回滚 yara-python 的版本到4.2.3,如果不想回滚的话就要把findcrypt3.py源码里对 yara.StringMatch列表的操作修改成对应属性

主要就是修改里面的 yarasearch 函数,修改成下面这样就行

    def yarasearch(self, memory, offsets, rules):
        print(">>> start yara search")
        values = list()
        matches = rules.match(data=memory)
        for match in matches:
            for stringR in match.strings:
                name = match.rule
                for string in stringR.instances:
                    if name.endswith("_API"):
                        try:
                            name = name + "_" + idc.GetString(self.toVirtualAddress(string.offset, offsets))
                        except:
                            pass
                    value = [
                        self.toVirtualAddress(string.offset, offsets),
                        match.namespace,
                        name + "_" + hex(self.toVirtualAddress(string.offset, offsets)).lstrip("0x").rstrip("L").upper(),
                        stringR.identifier,
                        repr(string.matched_data)
                    ]
                    idaapi.set_name(value[0], name
                             + "_"
                             + hex(self.toVirtualAddress(string.offset, offsets)).lstrip("0x").rstrip("L").upper()
                             , 0)
                    values.append(value)
        print("<<< end yara search")
        return values

实测成功运行

 

marosri
关注
  • 5
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Windows下给IDApro 安装yara-python 和findcrypt
szxpck的博客
07-08 1824
目标:在IDA pro7.0上安装findcrypt这个插件。 而findcrypt这个插件需要依赖pythonyara-python模块。因此先安装yara-python。 因为要用到pip安装,并且是给IDA自带的python安装模块。所以事先需要把当前python2的环境变量修改为IDA使用的python2. 修改完成后pip -V 就能查看当前使用的pip信息 然后使用pip install yara-python 报各种乱七八糟的错。 C:\Users\ygt>python -m pip
IDA 7.0版本安装查询加密算法的findcrypt3脚本插件的详细步骤
ATree的博客
05-28 9394
该脚本插件在Github上的地址:https://github.com/polymorf/findcrypt-yara用这个的原因是更新比较频繁,说明还有人在维护。安装这个脚本几乎浪费了我一天的时间,但是呢,也学到了很多,关键问题在于,在百度,谷歌等搜索引擎上没有找到解决问题的办法!为什么如此强大的Google也不行呢,可能是因为我们这个IDA 7.0版本问题(因为确实是有“问题”),暂不纠结了...
IDA7.5安装findcrypt3插件
re1wn
01-15 1万+
IDA7.5安装findcrypt3插件
恶意代码分析实战13章-IDApro插件findcrypt.plw
09-04
恶意代码分析实战13章的IDApro插件用于识别加密算法。。
findcrypt-yara 开源项目安装与使用指南
gitblog_00266的博客
08-08 493
findcrypt-yara 开源项目安装与使用指南 findcrypt-yaraIDA pro plugin to find crypto constants (and more)项目地址:https://gitcode.com/gh_mirrors/fi/findcrypt-yara 目录结构及介绍 该项目主要包含以下几个关键文件或目录: findcrypt3.py: 主程序文件,用于ID...
IDA pro使用 findcrypt3 插件
StepTp的博客
11-13 4148
IDA pro7.5 使用 findcrypt3 插件前言一、下载,导入插件二、问题 前言 记录IDA pro7.5 使用 findcrypt3 插件 ​ findcrypt3 下载路径:https://github.com/polymorf/findcrypt-yara 一、下载,导入插件 将下载的 findcrypt3.py 和 findcrypt3.rules 导入文件夹 IDA安装路径\plugins 使用工具打开文件,进入 Edit>plugins使用 Findcrypt
IDA7.0安装findcrypt插件
blog
07-01 2100
材料:建议52破解的爱盘 IDA_Pro_v7.0_Portable这个版本,免得ida跑到莫名其妙的地方找python用。。。 为方便安装先把python路径D:\xxxxxxxx\IDA_Pro_v7.0_Portable\python27添加到环境变量中,把python.exe改成idapython,重启终端看是否能呼出idapython 16953 :: C:\Windows » idapython Python 2.7.13 (v2.7.13:a06454b1afa1, Dec 17 2016,
findcrypt-yara:IDA Pro插件可查找加密常量(以及更多)
05-12
findcrypt-yara IDA Pro插件可查找加密常量(以及更多) 安装注意事项 如果是不是已经在你的系统上安装,安装yara-python包pip 。 不要安装yara pip软件包; 它与此插件不兼容。 用户定义的规则 自定义规则文件可以存储在: Linux和MacOS下的$HOME/.idapro/plugins/findcrypt-yara/*.rules 。 %APPDATA%\\Roaming\\Hex-Rays\\IDA Pro\\plugin\\findcrypt-yara\\*.rules在Windows下。
Reverse_2_HELP!me_IDA_FindCrypt3插件无法使用
Core_J的博客
03-14 208
plugins里面没有FindCrypt3。然后我把这两个文件复制到ida普通版上。这个是我的ida pro(破解版)plugins文件里面也有这个插件。还是无法使用FindCrypt3
findcrypt-yara-master
01-28
"findcrypt-yara-master" 是一个针对逆向工程和IDA工具的专业插件,它主要用于在二进制文件中搜索加密和混淆的代码或数据。这个插件基于YARA规则引擎,YARA是一种强大的恶意软件分析和签名定义工具,能够帮助安全...
【易语言反编译】(Disassemblers) IDA易语言反编译插件E-Decompilerplugins0.3
04-01
然后将E-Decompiler.dll文件放置在IDA插件目录下,重启IDA后,插件就应该可以在IDA插件菜单中找到。esig文件可能包含了E-Decompiler的签名数据或配置信息,用于验证插件的正确性或提供特定的反编译设置。 当...
findcrypt2.zip
06-18
IDA6.1 中的插件,能静态分析出二进制文件中使用的各种常用加密算法
蔡氏电路matlab仿真代码-FindCrypt3:查找加密常量IDA7.x插件
05-26
matlab仿真代码FindCrypt3 查找加密常量IDA 7.x插件插件是由HexRays的Ilfak基于findcrypt1和findcrypt2开发的。 HexRays findcryptx起源博客文章: 参考源代码,想法和const,来自: 其余的我从各种来源收集加密const(表,sparse_const,nonsparse_const,opcode_const ...): CryptoPP库 LibTomCrypt 细雨的ASM CryptoHash Delphi DCPC加密库 暂时,该插件仍不完整,仍处于修复代码和优化速度的阶段。 但是能够运行。 开始分析时,应使用以下2个插件来扫描IDA数据库: Simabus IDA Signsrch插件: Findcrypt Yara: 去做: 添加选择器显示结果加密扫描 在IDA的“搜索”菜单中添加命令菜单“ Crypto consts ...” 使用opcode_consts扫描操作码 尽可能优化速度。 然后,它很烂:D
【已解决】IDA使用findcrypt插件报错
lyy0xfff的博客
02-27 681
因为在做一个re的题,看到一个算法像是base64加密,但是又是不确定,所以从网上找了wp,有个插件可以来自动识别算法,于是正好自己试用一下,但是一用就会报错。
三步完成IDA7.0安装findcrypt3插件
a_lgorithm的博客
12-05 5486
1.下载该脚本插件:https://github.com/polymorf/findcrypt-yara 2.将findcrypt3.rules和findcrypt3.py放到IDA7.0/plugins下 3.找到IDA7.0使用的python文件夹,通常是安装IDA7.0时安装的python文件夹(python27,或python27-64x)。 需要注意的是:系统中可能有多个p...
ida findcrypt3 报错解决
JackBoy的博客
03-27 754
报这个错 yara.libyara_wrapper.YaraSyntaxError: C:\Program Files\IDA7.5\plugins\findcrypt3.rules:1542: syntax error, unexpected STRINGS, expecting $end or RULE or PRIVATE or GLOBAL yarayara-python 冲突 卸掉yara pip uninstall yara
findcrypt-yara 项目使用教程
最新发布
gitblog_00285的博客
08-08 871
findcrypt-yara 项目使用教程 findcrypt-yaraIDA pro plugin to find crypto constants (and more)项目地址:https://gitcode.com/gh_mirrors/fi/findcrypt-yara 项目介绍 findcrypt-yara 是一个用于 IDA Pro 的插件,旨在帮助用户在二进制文件中查找加密常量。该...
完美解决TypeError: ‘method‘ object is not subscriptable
05-05 7万+
这个错误通常出现在尝试对一个方法进行索引操作时。
Python 报错 TypeError: 'type' object is not subscriptable
热门推荐
给我一点温度
09-25 9万+
输入代码,结果出现以下报错: TypeError: 'type' object is not subscriptable 翻译成中文就是“类型”对象不可下标。 检查报错时的代码: def decapitalize(string): return str[:1].lower() + str[1:] 问题产生原因分析: 在定义函数的时候,使用的名称是string;而后面调用...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值