2021-1-19(idapython学习 主要是)

最新推荐文章于 2024-01-08 08:15:00 发布
最新推荐文章于 2024-01-08 08:15:00 发布
阅读量187 收藏
点赞数
分类专栏: 逆向学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37439229/article/details/112821507
版权

主要学习了下idapython,理解夜影师傅的去花指令脚本(正则nb)
idapython脚本学习:
https://gitee.com/it-ebooks/it-ebooks-2018-04to07/raw/master/IDAPython%20%E5%88%9D%E5%AD%A6%E8%80%85%E6%8C%87%E5%8D%97.pdf

for segs in idautils.Segments():
    print idc.SegName(seg),idc.SegStart(seg),idc.SegEnd(seg)

遍历每个段的地址 和初始地址

for func in idautils.Functions():
   print hex(func),idc.GetFunctionName(func)

遍历函数

ea = here()
start = idc.GetFunctionAttr(ea,FUNCATTER_START)
end = idc.GetFunctionAttr(ea,FUNCATTER_END)
cur_addr = start
while cur_addr <=end:
  print hex(cur_addr),idc.GetDiasm(cur_addr)
  cur_addr = idc.NextHead(cur_addr,end)

打印函数
idautils.FuncItems(here())
一个函数的所有指令的地址

import idautils
import idaapi
displace = {}
# for each known function
for func in idautils.Functions():
flags = idc.GetFunctionFlags(func)
# skip library & thunk functions
 if flags & FUNC_LIB or flags & FUNC_THUNK:
  continue
 dism_addr = list(idautils.FuncItems(func))
 for curr_addr in dism_addr:
  op = None
  index = None
# same as idc.GetOptype, just a different way of accessing the types
 idaapi.decode_insn(curr_addr)
if idaapi.cmd.Op1.type == idaapi.o_displ:
 op = 1
if idaapi.cmd.Op2.type == idaapi.o_displ:
 op = 2
if op == None:
 continue
if "bp" in idaapi.tag_remove(idaapi.ua_outop2(curr_addr,0)) or \
"bp" in idaapi.tag_remove(idaapi.ua_outop2(curr_addr, 1)):
# ebp will return a negative number
 if op == 1:
  index = (~(int(idaapi.cmd.Op1.addr) - 1) &0xFFFFFFFF)
 else:
  index = (~(int(idaapi.cmd.Op2.addr) - 1) &0xFFFFFFFF)
else:
if op == 1:
index = int(idaapi.cmd.Op1.addr)
else:
index = int(idaapi.cmd.Op2.addr)
# create key for each unique displacement value
if index:
if displace.has_key(index) == False:
displace[index] = []
displace[index].append(curr_addr)

获得对应偏移(某种结构)的地址

第二脚本就非常有用了
它可以将内存的偏移化成偏移处的字符串

-2-

min = MinEA()
max = MaxEA()
for func in idautils.Functions():
     flags = idc.GetFunctionFlags(func)
     if flags & FUNC_LIB or flags & FUNC_THUNK:
        continue
     disasm_addr = list(idautils.FuncItems(func))
     for cur_addr in disasm_addr:
        if idc.GetOpType(cur_addr,0) == 5 and (min < idc.GetOperandValue(cur_addr,0) < max ):
           idc.OpOff(cur_addr,0,0)
        if idc.GetOpType(cur_addr,1) == 5 and (min < idc.GetOperandValue(cur_addr,1) < max ):
           idc.OpOff(cur_addr,1,0)

后面感觉没什么用,都没写了,其他ida都可以手动点
idc.Byte(ea)
idc.Word(ea)
idc.Dword(ea)
idc.Qword(ea) 获得原始数据
idc.PatchByte(ea,value)
idc.PatchWord(ea,value)
idc,PatchDord(ea,value)
android逆向
把dalivk的指令看完了,,,感觉还行
明日计划:
看第4章(之后 没有比赛得全学安卓,tcl,进度太慢了)

20000s
关注
专栏目录
IDAPython 编程之 查找相邻指令
瘦果的专栏
03-23 1250
# a IDAPython script : give two instruction close to each other like move add , it find their binary representation from idaapi import * from idc import * import os import sys class Inst_search:
2021-10-20 MSSCTF_2021_Finals_WP
m0_56897090的博客
10-20 705
文章目录CryptoBlock_of_Hash_new题目代码题目分析EXPRight_now题目代码题目分析EXPBLOCK_OF_HASH_2021题目代码题目分析EXPOFB_2021题目代码题目分析EXPPWNelfBuychunk_MSSCTF2021Finals笔记EXPshellcode_MSSCTF2021Finals笔记EXPsignin_MSSCTF2021Finals笔记EXPWhereIsGadgets_MSSCTF2021Finals笔记EXPReserveGIFT_MSSCTF2
IDAPython手册(中文版)
11-03
IDAPython手册(中文版) 第一次尝试自己翻译,如有翻译错误,再进行修改
IDAPython中文教程手册
10-18
IDAPython中文教程手册,翻译自英文文档,密码:123。
IDAPython详细版(一)
SXXYNHHXX的博客
01-01 2012
一旦我们在列表中有了指令,我们使用idautil . functions()和get_func_attr(ea, FUNCATTR_FLAGS)的组合来获得所有适用的函数,同时忽略库和thunks。idc.get_func_attr(ea,FUNCATTR_START)和idc.get_func_attr(ea,FUNCATTR_END)访问函数边界。如果我们有一个函数的地址,我们能够使用idautils.Funcltems(ea)获取列表中所有地址(前提是必须在函数内,会显示改函数所有指令的地址)
逆向分析学习小纪——基于IDAPython应用程序逆向分析
最新发布
Henryli1202的博客
01-08 2740
这是我的《逆向分析学习小纪》第三篇,这个系列主要介绍我的逆向分析学习过程,本篇涉及python编译中的保护手段、利用IDA工具完成静态分析、python解释器的解密和应用程序反编译等内容。希望和大家多多交流,共同进步!
使用IDAPython加速二进制分析
"IDAPython介绍" IDAPythonIDA(交互式反汇编器)的一个扩展,它将Python脚本的强大功能与便利性引入到二进制分析中。这篇文章主要针对初学者...学习和掌握IDAPython能够显著提高你在逆向工程和二进制分析中的效率。
从零开始学ida1.pdf
03-17
- Bug、漏洞和利用的区别、回车符和换行符、IDA附加进程调试、字符数等于缓存区大小、字符数-1漏洞及其修复:介绍栈缓存区漏洞的分类、分析和修复技术。 22. 文件对比工具: - BINDIFF、TURBODIFF、DIAPHORA:...
NEWSCTF第二届--官方wp(2021.6.1萌新赛)
qq_55400494的博客
06-04 1万+
未经同意不得对本次比赛题目二次开发或做任何商业用途 题目源码及部分wp汇总如下 Reverse 1.2021.6.1萌新赛-re_signin 出题人:mumuzi 2.2021.6.1萌新赛-1+1的签到题 出题人:shangu 3.2021.6.1萌新赛-开门啊-1 出题人: tomPeter15 flag为ASCII可显示字符 4.2021.6.1萌新赛-开门啊-2 出题人: tomPeter15 flag为ASCII可显示字符 5.2021.6.1萌新赛-Qsay 出题人:Qfrost exp.cp
python读取data_python 读取RData
weixin_39664995的博客
11-21 1728
原博文2020-06-19 10:28 −读取Rdatapip install pyreadrimport pyreadrresult = pyreadr.read_r('/your.Rdata')print(result.keys()) #输出数据名df=result['sel']) #s...相关推荐2019-09-28 21:13 −Python pytho...
IDAPython基础教程一
Yale的博客
01-16 1万+
给出的文件名为rabbithole 首先使用file命令查看一下 可以看到是64位的可执行文件 接下来我们切换到win,使用IDApro载入,以此文件为样例,学习IDAPython的用法。 首先介绍下IDAPython的背景。 IDAPython创建于2004年。这是GergelyErdelyi和Ero Carrera的共同努力。他们的目标是结合强大的python与自动化分析的IDA的类C脚本...
IDAPython 学习笔记
c/c++、x86汇编、Win32汇编、逆向、破解
10-15 793
相关文章: http://www.vuln.cn/6249 中文翻译 英文原教程: https://researchcenter.paloaltonetworks.com/2016/06/unit42-using-idapython-to-make-your-life-easier-part-6/ https://researchcenter.paloaltonetworks.com/201...
IDApython学习笔记(一)
至臻求学,胸怀云月
03-29 1890
文章目录IDApython 简介安装测试背景基础 IDApython 简介 安装 需提前安装python2.7 ida pro7.0 百度网盘链接 链接:https://pan.baidu.com/s/1XQX1w8QgFGQMef6jSaCnBQ 提取码:xe1t 可直接下载使用,无需配置 测试 使用IDA打开任意二进制文件 在输出窗口,选择python,并打印任意字符 观察是否能正常运...
IDAPython实战
ChuMeng1999的博客
11-09 565
目录预备知识1.关于IDA2.IDAPython实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 1.关于IDA IDA Pro(简称IDA)是DataRescue公司(www.datarescue.com)出品的一款交互式反汇编工具,它功能强大、操作复杂,要完全掌握它,需要很多知识。IDA主要的特性是交互和多处理器。操作者可以通过对IDA的交互来指导IDA更好地反汇编,IDA并不自动解决程序中的问题,但它会按用户的指令找到可疑之处,用户的工作是通知IDA怎样去做。比如人工指定编译器类型,对变量名
IDAPython类库---idc.py的源码
Fly20141201. 的专栏
03-20 7707
#!/usr/bin/env python #--------------------------------------------------------------------- # IDAPython - Python plugin for Interactive Disassembler # # Original IDC.IDC: # Copyright (c) 1990-2010 Il
IDAPython学习笔记
梦饮三千的博客
04-13 665
参考内容 Instructions here() 函数返回IDAView中当前指向的地址 idautils.FuncItems(here()) 返回当前函数的地址迭代器 idc.GetDisasm(ea)返回ea表示地址的汇编指令 idautils.Functions() 返回所有函数的地址迭代器 idc.GetMnem(ea) 返回当前地址指令的助记符 idc.GetOpType(ea,n) 返回ea地址指令的第n个操作数类型,有o_void、o_reg、o_mem、o_phrase、o_displ、o
IDAPython基础教程六
ChuMeng1999的博客
10-31 489
目录预备知识1.关于IDA2.IDAPython实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 1.关于IDA IDA Pro(简称IDA)是DataRescue公司(www.datarescue.com)出品的一款交互式反汇编工具,它功能强大、操作复杂,要完全掌握它,需要很多知识。IDA主要的特性是交互和多处理器。操作者可以通过对IDA的交互来指导IDA更好地反汇编,IDA并不自动解决程序中的问题,但它会按用户的指令找到可疑之处,用户的工作是通知IDA怎样去做。比如人工指定编译器类型,对变量名
190321 逆向-花指令去除(脚本)
热门推荐
whklhhhh的博客
03-22 3万+
Pizza的脚本中是通过get_bytes和patch_bytes两个API来将所有机器码读出然后再Patch回去的 中间匹配pattern的过程是构造字符串然后find来控制 这样操作的优点是find的效率奇高,对于大量数据的处理非常的快 而我们之前使用的逐字符匹配pattern的优点是可控性比较强,例如通配符的存在 然而缺点就是速度很慢,对于数量级较大时格外明显,因此试图修复 刚开始以为速度...
IDA7.5pro IDAPython脚本整理
云舒的博客
07-11 1253
IDApro7.5 脚本整理
IDAPython入门指南:初学者手册
1. **环境设置**:如何安装和配置IDAPython环境,确保IDAPython库的正确集成。 2. **基本语法**:讲解Python的基础知识,这对于那些不熟悉Python的读者尤其重要。 3. **IDA API**:介绍如何使用IDA的API,如加载...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值