利用ida python 实现复原函数调用的参数 (仅对数据被简单硬编码有效)

最新推荐文章于 2024-07-08 15:19:22 发布
最新推荐文章于 2024-07-08 15:19:22 发布
阅读量3.6k 收藏 2
点赞数 3
文章标签: ida 反编译
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21063873/article/details/77678619
版权
本文介绍如何利用IDA Python脚本在反编译过程中复原函数调用的参数,特别是针对数据被简单硬编码的情况。通过示例展示了一个C源程序的编译和运行过程,以及如何使用特定的ida脚本来解析printf格式化字符串,如'print3 %d',从而获取函数调用的具体参数信息。
摘要由CSDN通过智能技术生成



例如我们有一个 c 源程序


/*************************************************************************
	> File Name: ddg.c
	> Author: 
	> Mail: 
	> Created Time: 2017年08月24日 星期四 10时52分31秒
 ************************************************************************/

#include<stdio.h>
#define Version_Num "1.122"
#define Version_num 122
const int v_num = 1222;
const char * ver_num = "1.1.1222";
char *x = "Hello world";



int main(){

    int a = 112;
    a += 12;
    printf("Version is : %s, %d",x,a);

}

void print1 (){
    printf("print1 %s",Version_Num);
}

void print2(){
    printf("print2 %d",Version_num);
}

void print3(){
    printf("print3 %d ",v_num);
}

void print4(){
    printf("print4 %s",ver_num);
}



编译运行(本人使用了交叉编译,生成ARM平台下可执行文件)



然后使用所写脚本即可还原函数调用的参数,不过 脚本的输入是  printf的格式化字符串 例如:“print3 %d”

ida脚本如下:

#!/usr/bin/env python
# coding=utf-8

from idc import *
from idaapi import *
import idautils
class AnayBinFil(object):
    def __init__(self):
        list
最低0.47元/天 解锁文章
杨瘦锅
关注
python静态递归函数_利用IDA Python静态分析函数调用路径
weixin_32029321的博客
12-30 400
在挖掘设备的固件漏洞时,会面临没有源代码、无法动态跟踪调试的情况,此时就需要进行静态的人工分析。在静态人工分析过程中,往往需要围绕危险函数、用户输入提取需要重点分析的执行路径,以有效缩小分析范围。本文利用IDA Python脚本,实现了自动提取函数正、反向调用关系的功能,可有效辅助分析危险函数调用路径,用户输入流向等。一、问题描述近期在研究某款设备,由于该设备使用MIPS架构,IDA Pro的F5...
IDA-Python 获取函数参数
qq_42021840的博客
07-20 2273
http://www.vuln.cn/6249
查看ida中的函数调用
热门推荐
yellow的博客
02-06 2万+
在一个样本中想要查看一个函数调用了那些函数,有2个办法: 1、View->Open subviews->Function calls 显示出函数调用窗口,如下: 显示的很详细,而且不冗余。 2、点击按钮Display graph of xrefs from current identifier(从当前标识符绘制交叉引用图),下图: 这个方法显示的内容有时候会很多,冗余量大,
ida python 脚本入门
最新发布
dp__mcu的专栏
07-08 68
反编译
IDA的函数操作,与导航操作;
半岛铁盒的博客
12-13 1093
函数操作 实际上,反汇编并不是完全连续的,而是由分散的各函数拼凑而成的。每个函数有局部变量、调用约定等信息,控制流图也只能以函数为单位生成和显示,故正确定义函数同样非常重要。IDA也有处理函数的操作 删除函数:在函数窗口中选中函数后,按Delete键。 定义函数:在反汇编窗口中选中对应行后,按P键。 修改函数参数:在函数窗口中选中并按Ctrl+E组合键,或在反汇编窗口的函数内部按Alt+P组合键。 在定义函数后,IDA即可进行很多函数层面的分析,如调用约定分析、栈变量分析、调用参数分析等。这些分析对于还原反
IDA_1.汇编转C语言后如何还原函数
HURUWO的技术博客
10-30 1318
1.汇编转C语言后如何还原函数? 以 看雪课程的libmyjni的函数   JNIOnLoad 函数为例,使用32位的IDA7.0打开so 1.点击 Exports(名词解析:导出函数列表) 2.双击击对应的JNI_OnLoad函数进入IDA View-A视角3.直接按下F5快捷键转换为C语言伪代码   这时候发现没有正确对应 需要修复参数类型 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-DETWs1ZX-163558972
idapython
m0_53342264的博客
10-23 1843
idapython笔记 api汇总
Sark:轻松实现IDAPython
04-28
IDA 7.4版本开始,针对IDA7.4或更高版本以及Python 3积极开发Sark。 仍然支持Python2和更早版本的IDA进行错误修复和社区贡献,并在上进行维护。 要为较旧的IDA安装Sark,请使用: pip2 install -U git+...
【项目实战】Python实现基于LDA主题模型进行电商产品评论数据情感分析
02-14
该项目实战旨在利用Python编程语言,结合LDA(Latent Dirichlet Allocation)主题模型,对电商产品评论数据进行深度的情感分析。LDA是一种无监督机器学习算法,广泛应用于文本挖掘领域,尤其在主题发现上表现出色。 ...
IDA-Function-Tagger:此IDAPython脚本根据其对导入函数的使用来标记子例程
05-07
IDA功能标尺 此IDAPython脚本根据其对导入函数的使用来标记子例程 该脚本的灵感来自以下帖子: :
代码还原,IDA中使用的宏
weixin_30809173的博客
07-21 537
IDA7.0中的定义文件拷贝的. 如果想使用,直接去IDA的plugins插件目录下.包含它的 **defs.h"" 如下: /* This file contains definitions used by the Hex-Rays decompiler output. It has type definitions and convenience macros...
IDA F5还原伪代码的小问题
Sven的忘却日记
09-30 1万+
这个函数是DialogBoxParamsA函数注册的窗口回调,代码中有个红箭头标示处,EAX 的值来自GetDlgItemTextA函数获取输入框控件中用户输入字符的长度。然后cmp eax,5 判断用户输入点的字符是不是5个。 下面有个jnz条件判断,此时如果按F5,IDA只显示了左边红色框框中的代码,调用MessageBoxA。 上图中,F5后的结果,GetDlgItemTextA获取完长...
源代码恢复:使用IDA Pro反汇编obj文件
iMatt的专栏
06-11 2608
有时候系统或环境出错导致代码丢失或恶意篡改,如果这发生在提交源代码管理之前,那么只能自己恢复了。 打开IDAPro.
IDA中的_OWORD
msInfoSec的博客
04-15 6626
IDA中的_OWORD 一个有意思的巧合 _OWORD的含义 总结 阅读之前注意: 本文阅读建议用时:5min 本文阅读结构如下表: 项目 下属项目 测试用例数量 一个有意思的巧合 无 0 _OWORD的含义 无 1 总结 无 0 一个有意思的巧合 正如我们所知道的那样,在英文中的月份缩写中,OCT代表着十月(October),而DEC代表着十二月(Decembe...
IDA 函数出现翻出来漏掉很多代码 或者出现jumpout 的处理方法之一
qq_36535153的博客
09-08 2773
如果出现有漏掉一大截代码的情况,那么我们需要查看漏掉的那部分的代码的汇编 看看跳转过去的代码是否在伪代码里面有显示 如果没有显示 且出现这种情况 end of function chunk for xxx 那么就需要手动修改 选择end of function chunk for xxx 下面的代码 按 快捷键 E 将下面的汇编 放到 上面的DataStream_Calc 函数里面去 这种情况可能会出现很多 需要不停的查找出现end of function chunk for xxx 的地方 然后
IDA 还原JNI函数方法名 的三种方法
杂谈
05-19 1万+
        分析SO文件时,总是会遇上调用JNI函数的情况,每次遇上总是要去翻书签,查找自己保留的书签目录,遇到书签、历史记录不小心被清除了,就瓜了,所以想在这里记录下三种方式,可以直接让我们直观的看到调用的函数,1、用IDA打开android_ndk_xxx/sample/Hello-jni下生成的libhello-jni.so,Java_com_example_hellojni_Hello...
idapython如何实现 ida idc MakeCode函数的功能
04-26
对于如何在idapython实现ida idc MakeCode函数的功能,可以使用以下代码: ``` import idaapi ea = idaapi.get_screen_ea() # 获取当前光标所在的地址 length = idaapi.create_insn(ea) # 根据当前光标所在的地址生成指令 if length == 0: print("Failed to create instruction") else: print("Instruction created") ``` 该代码中使用了idaapi库的两个函数:get_screen_ea()和create_insn()。 get_screen_ea()函数用于获取当前光标所在的地址,而create_insn()函数则根据输入的地址生成一条指令。如果生成指令成功,返回值为指令的长度,否则返回0。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值