ida 插件学习(3) 获取指令和操作数信息

最新推荐文章于 2022-11-08 17:03:57 发布
最新推荐文章于 2022-11-08 17:03:57 发布
阅读量845 收藏 1
点赞数
分类专栏: ida 文章标签: ida
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_16812035/article/details/100735672
版权 

#include <ida.hpp>
#include <idp.hpp>
#include <loader.hpp>
#include <ua.hpp>
#include <allins.hpp>

int idaapi IDAP_init(void)
{
    msg("init %s\n",inf.procname);  //获取处理器架构 inf为loader.hpp中的全局变量
    return PLUGIN_KEEP;
}

bool idaapi run(size_t arg)
{
    insn_t out;
    ea_t ea = get_screen_ea(); //获取当前光标所在地址
    decode_insn(&out, ea);  //获取完整指令信息
    
    if(out.itype == ARM_sub)    //.itype表示指令
    {
        msg("arm_sub\n");
        msg("n = %d type = %d reg = %d value = %lld addr = %lld\n",
            out.ops[0].n,
            out.ops[0].type,
            out.ops[0].reg,
            out.ops[0].value,
            out.ops[0].addr);   //ops 表示操作数,ops[0]表示第一个操作数。
    }
    return true;
}

void idaapi term(void){}

char IDAP_comment[] = "This is my test plugin-in";
char IDAP_help[] = "My plugin";

char IDAP_name[] = "My plugin";
char IDAP_hotkey[] = "";

plugin_t PLUGIN =
{
    IDP_INTERFACE_VERSION,
    PLUGIN_PROC,
    IDAP_init,
    NULL,
    run,
    IDAP_comment,
    IDAP_help,
    IDAP_name,
    IDAP_hotkey
};

 

qq_16812035
关注
专栏目录
[系统安全] 五十五.恶意软件分析 (7)IDA Python基础用法及CFG控制流图提取详解[上]
杨秀璋的专栏
01-22 1247
前文介绍了软件来源分析,结合网络攻击中常见的判断方法,利用Python调用扩展包进行区域溯源。这篇文章将开启IDA Python学习,首先介绍IDA Python配置过程和基础用法,然后尝试地区恶意软件的控制流图(CFG),再为后续的恶意软件家族分类或溯源提供帮助。由于作者是初学者,因此会遇到很多问题,欢迎各位大佬和读者指导。基础性基础,且看且珍惜。
IDA Python提取数据
XFox_的博客
10-02 1774
IDA Python提取数据 提取good和data 先找到他们的地址,然后看每个字符占据几个自己 data:
LLVM_pass应用3 获取对应操作符上下文即CFG和DFG
406156440的博客
07-10 3322
文章目录1. 跳转指令br的cfg和dfg2 . 加法add和比较cmp指令的cfg和dfg3. 框架依然按照应用1中的使用,见下面链接4. FirstPass.cpp主代码5. 测试代码跟前两应用一样实验结果总结: 本文介绍通过llvm的pass分析源码对应IR指令集中的操作符的上下文流程 这样就方便我们通过遍历得到整个代码的cfg和dfg, 对于NLP转图处理有很大的帮助 1. 跳转指令br的cfg和dfg 2 . 加法add和比较cmp指令的cfg和dfg 3. 框架依然按照应用1中的使用,见下面
ida 插件学习(4) 交叉引用
qq_16812035的博客
09-12 936
#include <ida.hpp> #include <idp.hpp> #include <loader.hpp> #include <kernwin.hpp> #include <xref.hpp> int idaapi IDAP_init(void) { msg("init %s\n",inf.procname); ...
[IDA Plugin] IDA插件收集
志伟入归未有时(兴业和家)
08-31 8763
英语好的,看这里:https://github.com/onethawt/idaplugins-list随着时间的推移,我将组织插件。如果您有任何其他优秀的插件,请提交PR。我想用相应的IDA版本标记每个插件,但是我需要很长时间才能测试。如果你能帮到那里,请做。如果一个插件只是一个没有描述或文档的源代码,我不会添加它。去做 添加更多插件 分类插件 插件 3DSX Loader:用于3DSX文...
IDA逆向笔记-使用脚本代码获取exe里的所有函数信息
qq_20031585的博客
04-09 2839
IDA软件中,写一个IDC脚本(类C语言),历遍一个exe文件里所有的函数,及函数内变量空间地址区域,参数个数等信息打印出来。
IDA-Pro-7.7-全插件
最新发布
07-09
它支持数十种CPU指令集其中包括Intel x86、x64、MIPS、PowerPC、ARM、Z80、68000、c8051等等。 IDA Pro是点击下一步傻瓜式安装,安装成功会后会显示两个运行程序“IDA Pro(32bit)”和“IDA Pro(64bit)”,分别对应...
IDA plugin-write in cpp
10-22
这部分内容可能涉及IDA插件开发的基础知识,包括核心类型和结构、元信息、区域、段和函数、指令操作数的表示、交叉引用、字节标志以及调试器接口等。具体到各个小节,可能会包含以下知识点: - 核心类型和结构:...
IDA使用教程
03-16
学习如何阅读和理解反汇编代码,识别指令操作数,是IDAs基础技能。同时,理解IDA如何自动分析函数和识别循环也是关键。 4. **颜色编码与注释** IDA使用颜色编码来区分不同的代码元素,如指令、常量、变量等。...
每天一个IDA小技巧(二)基本代码转换--水印1
08-03
此时便需要手动帮助IDA分辨代码和数据,通常分为以下几类:数据转换为代码代码转换为数据指定一个指令序列为函数更改现有函数的起始或结束地址更改指令操作数的显示格式
IDAPython手册(中文版)
11-03
IDAPython手册(中文版) 第一次尝试自己翻译,如有翻译错误,再进行修改
IDA详细使用教程
热门推荐
m0_55854679的博客
11-08 2万+
Ollydbg 仅仅是运行于 Windows 用户模式下的一种 32 位调试器,而 IDA 是运行于 32/64 位下,可用作反编译和调试的一个完整的逆向工具。使用 IDA 尽管是个更加复杂的学习过程,但它提供了 Ollydbg 无法实现的静态逆向分析 手段,并且使用户能够在 Windows、Linux 或 Macosx 本地环境以及以下环境中远程操作。
开发IDA pro图形界面插件
weixin_33807284的博客
09-30 258
1、基于IDASDK实现图形界面(GUI)插件2、调用nativeWindowsAPI的IDAGUI插件3、使用MFC设计IDAGUI插件 引用: 运行环境:Windows2000,IDApro5.2,VisualC++6.0 1、基于IDASDK接口实现图形界面(GUI)插件最早看到一份介绍编写IDAGUI插件的文章(见参考资料[1]),...
IDA Plugin 编写基础
04-25 1651
 IDA是迄今为止最为强大的反汇编器,它有着众多的功能。但是如果它不具备通过附加的模块来对标准的函数进行扩展的功能(粗俗点说就是plugin)的话,也就有负此盛名了。现在我们就来更为详细地研究一下如何编写这些plugin。喏,首要的就是要有这个叫做IDA的反汇编器,同时还要有与之匹配的IDA SDK。SDK里主要的部分就是include目录及其下的所有文件,这些文件里包含了编写plugin所用到的
IDA权威指南》复习笔记
kernweak的博客
08-24 2597
几种调用约定区别 _cdecl是C的调用约定,从右向左参数依次入栈,调用者平衡堆栈。所以函数外add+x平衡堆栈 _stdcall是微软的调用约定,从右向左参数依次入栈,被调用者平衡堆栈,所以平衡堆栈为retXXX fastcall是stdcall变体,x86下前两个参数用寄存器ecx,edx,后面跟_stdcall一致。 C++ 调用约定,非静态成员函数与标准函数不同,需要this指针,指向被调用的的对象,这个由被调用方提供给,thiscall为MS提供的C++ 调用约定,被调用者平衡堆栈,this指针在
IDA当中创建自定义指令
bingtuohun的专栏
06-29 1098
IDA下使用快捷键Shift+F2调出下面的窗口 在这个IDA主界面写命令输入AddHotkey("Alt+f","C2NOP") 这样使用快捷键 alt+f 就可以执行函数c2nop。
IDA基本操作
desporado的博客
05-16 2237
当我们打开之后,IDA会提供3种不同的打开方式;New(新建),Go(运行),Previous(上一个)。当我们初次打开的时候选择GO就可以了。进入之后,选择左上角的file中的open打开文件。以凯撒密码为例,打开文件以后。主界面工作区显示IDA View-A是反汇编窗口,HexView-A是十六进制格式显示的窗口,Imports是导入表(程序中调用到的外面的函数),Functions是函数表(...
IDA Pro直接修改指令 ---以将jnz修改为jz为例子
iqiqiya的博客
09-18 2万+
IDA Pro直接修改指令 ---以将jnz修改为jz为例子 理清程序的逻辑后,采用最简单的办法控制程序的执行路径——修改指令。 首先,通过菜单栏中Options/General/Disassembly/Number of opcode bytes设置IDA使其显示指令的机器码。 一般修改为16 jnz的机器码为75,只需将其改为jz的机器码74。修改方法:Edit/Patch pr...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值