利用ida python 实现复原函数调用的参数 (仅对数据被简单硬编码有效)

最新推荐文章于 2022-10-23 17:42:41 发布
最新推荐文章于 2022-10-23 17:42:41 发布
阅读量3.6k 收藏 2
点赞数 3
文章标签: ida 反编译
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21063873/article/details/77678619
版权



例如我们有一个 c 源程序


/*************************************************************************
	> File Name: ddg.c
	> Author: 
	> Mail: 
	> Created Time: 2017年08月24日 星期四 10时52分31秒
 ************************************************************************/

#include<stdio.h>
#define Version_Num "1.122"
#define Version_num 122
const int v_num = 1222;
const char * ver_num = "1.1.1222";
char *x = "Hello world";



int main(){

    int a = 112;
    a += 12;
    printf("Version is : %s, %d",x,a);

}

void print1 (){
    printf("print1 %s",Version_Num);
}

void print2(){
    printf("print2 %d",Version_num);
}

void print3(){
    printf("print3 %d ",v_num);
}

void print4(){
    printf("print4 %s",ver_num);
}



编译运行(本人使用了交叉编译,生成ARM平台下可执行文件)



然后使用所写脚本即可还原函数调用的参数,不过 脚本的输入是  printf的格式化字符串 例如:“print3 %d”

ida脚本如下:

#!/usr/bin/env python
# coding=utf-8

from idc import *
from idaapi import *
import idautils
class AnayBinFil(object):
    def __init__(self):
        list
最低0.47元/天 解锁文章
杨瘦锅
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
IDA Python 使用总结_idapython
m0_61042081的博客
04-28 857
最后去混淆后的 switch 不能被 ida 正常识别出来,具体原因是前面获取返回地址 eip 的函数被 patch 成了指令,导致其与编译器默认编译出的汇编不同(程序开启了 PIE,直接访问跳转表的地址 ida 不能正确识别),因此需要将这里的代码重新 patch 回去。同时为了不影响原本程序中的数据,这里我将修复的跳转表放到了其他位置。另外还有两个字符串全局变量也移动到了正确位置。
Sark:轻松实现IDAPython
04-28
IDA 7.4版本开始,针对IDA7.4或更高版本以及Python 3积极开发Sark。 仍然支持Python2和更早版本的IDA进行错误修复和社区贡献,并在上进行维护。 要为较旧的IDA安装Sark,请使用: pip2 install -U git+...
IDA-Python 获取函数参数
qq_42021840的博客
07-20 2198
http://www.vuln.cn/6249
查看ida中的函数调用
热门推荐
yellow的博客
02-06 2万+
在一个样本中想要查看一个函数调用了那些函数,有2个办法: 1、View->Open subviews->Function calls 显示出函数调用窗口,如下: 显示的很详细,而且不冗余。 2、点击按钮Display graph of xrefs from current identifier(从当前标识符绘制交叉引用图),下图: 这个方法显示的内容有时候会很多,冗余量大,
IDA函数操作,与导航操作;
半岛铁盒的博客
12-13 1036
函数操作 实际上,反汇编并不是完全连续的,而是由分散的各函数拼凑而成的。每个函数有局部变量、调用约定等信息,控制流图也只能以函数为单位生成和显示,故正确定义函数同样非常重要。IDA也有处理函数的操作 删除函数:在函数窗口中选中函数后,按Delete键。 定义函数:在反汇编窗口中选中对应行后,按P键。 修改函数参数:在函数窗口中选中并按Ctrl+E组合键,或在反汇编窗口的函数内部按Alt+P组合键。 在定义函数后,IDA即可进行很多函数层面的分析,如调用约定分析、栈变量分析、调用参数分析等。这些分析对于还原反
IDA_1.汇编转C语言后如何还原函数
HURUWO的技术博客
10-30 1243
1.汇编转C语言后如何还原函数? 以 看雪课程的libmyjni的函数   JNIOnLoad 函数为例,使用32位的IDA7.0打开so 1.点击 Exports(名词解析:导出函数列表) 2.双击击对应的JNI_OnLoad函数进入IDA View-A视角3.直接按下F5快捷键转换为C语言伪代码   这时候发现没有正确对应 需要修复参数类型 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-DETWs1ZX-163558972
idapython
m0_53342264的博客
10-23 1686
idapython笔记 api汇总
【项目实战】Python实现基于LDA主题模型进行电商产品评论数据情感分析
02-14
该项目实战旨在利用Python编程语言,结合LDA(Latent Dirichlet Allocation)主题模型,对电商产品评论数据进行深度的情感分析。LDA是一种无监督机器学习算法,广泛应用于文本挖掘领域,尤其在主题发现上表现出色。 ...
IDA-Function-Tagger:此IDAPython脚本根据其对导入函数的使用来标记子例程
05-07
IDA功能标尺 此IDAPython脚本根据其对导入函数的使用来标记子例程 该脚本的灵感来自以下帖子: :
Stingray:IDAPython插件,用于递归查找函数字符串
05-04
黄貂鱼 Stingray是用于查找函数字符串的IDAPython插件。 从当前功能的当前位置开始搜索。 它也可以使用可配置的搜索深度来递归地执行此操作。 结果顺序是BFS搜索图中字符串的自然顺序。 对于找到的每个字符串,它...
ida_python_scripts:ida python脚本
04-29
ida_python_scripts[IDA_comment][ida_function_rename]
代码还原,IDA中使用的宏
weixin_30809173的博客
07-21 523
IDA7.0中的定义文件拷贝的. 如果想使用,直接去IDA的plugins插件目录下.包含它的 **defs.h"" 如下: /* This file contains definitions used by the Hex-Rays decompiler output. It has type definitions and convenience macros...
IDA F5还原伪代码的小问题
Sven的忘却日记
09-30 1万+
这个函数是DialogBoxParamsA函数注册的窗口回调,代码中有个红箭头标示处,EAX 的值来自GetDlgItemTextA函数获取输入框控件中用户输入字符的长度。然后cmp eax,5 判断用户输入点的字符是不是5个。 下面有个jnz条件判断,此时如果按F5,IDA只显示了左边红色框框中的代码,调用MessageBoxA。 上图中,F5后的结果,GetDlgItemTextA获取完长...
源代码恢复:使用IDA Pro反汇编obj文件
iMatt的专栏
06-11 2441
有时候系统或环境出错导致代码丢失或恶意篡改,如果这发生在提交源代码管理之前,那么只能自己恢复了。 打开IDAPro.
浅谈一下pyd文件的逆向
qq_59848320的博客
08-02 1万+
这里就不展开了,有兴趣,可以自己写个python代码打包成pyd,自己逆向看看。我们的目标就是改变函数功能,将say_hello输出sorry,say_sorry输出hello。的文件,这里我们新开一个py文件,名字叫测试.py。当然,我们可能开始不知道这个里面有啥函数,我们可以利用help命令来开里面的函数。可以看到这个玩意,我们现在的任务就是修改掉这个hello改成sorry。​开始第一次,一般都是从hello,world开始学习,这里我们也用hello来进行逆向。可以看到我们的修改成功了。...
IDA中的_OWORD
msInfoSec的博客
04-15 6372
IDA中的_OWORD 一个有意思的巧合 _OWORD的含义 总结 阅读之前注意: 本文阅读建议用时:5min 本文阅读结构如下表: 项目 下属项目 测试用例数量 一个有意思的巧合 无 0 _OWORD的含义 无 1 总结 无 0 一个有意思的巧合 正如我们所知道的那样,在英文中的月份缩写中,OCT代表着十月(October),而DEC代表着十二月(Decembe...
idapython如何实现 ida idc MakeCode函数的功能
最新发布
04-26
对于如何在idapython实现ida idc MakeCode函数的功能,可以使用以下代码: ``` import idaapi ea = idaapi.get_screen_ea() # 获取当前光标所在的地址 length = idaapi.create_insn(ea) # 根据当前光标所在的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值