IDA pro使用笔记

已于 2022-10-27 23:05:56 修改
阅读量879 收藏
点赞数 1
分类专栏: IDA Pro 文章标签: 汇编
于 2022-10-18 21:51:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42208662/article/details/127397136
版权

IDAPython常用api使用


ida pro 6.6版本 idapython 2.7.2

1. 函数

idautils.Functions列举出已知的函数,返回一个list对象,每个item是一个函数的首地址,
idc.GetFunctionName(func) 获取函数名称

1.1 获取函数的名称

import idautils
for func in idautils.Functions():
    print hex(func),idc.GetFunctionName(func)

在这里插入图片描述

1.2 获取函数起始地址

import idautils
for func in idautils.Functions():
    #print hex(func),idc.GetFunctionName(func)
    func=idaapi.get_func(func)
    start = func.startEA
    end =func.endEA
    print('start: 0x%x end:0x%x' %(start,end))

在这里插入图片描述

1.3 获取函数的反汇编代码

import idautils
for func in idautils.Functions():
    print hex(func),idc.GetFunctionName(func)
    func=idaapi.get_func(func)
    start = func.startEA
    end =func.endEA
    #print('start: 0x%x end:0x%x' %(start,end))
    cur_addr = start
    while cur_addr <= end: 
        print hex(cur_addr), idc.GetDisasm(cur_addr) #获取反汇编指令
        cur_addr = idc.NextHead(cur_addr, end) #读取下一条指令

在这里插入图片描述

1.4 判断函数是否为库函数

判断函数是否为库函数时,可以在静态分析时省略

idc.GetFunctionFlags(func)
返回函数类型, 有:FUNC_NORET、FUNC_FAR、FUNC_LIB、FUNC_STATIC、FUNC_FRAME、FUNC_USERFAR、FUNC_HIDDEN、FUNC_THUNK、FUNC_BOTTOMBP等
九种返回值类型
  • FUNC_NORET ~~~~ 表示没有返回值的函数,值为0x1
  • FUNC_FAR ~~~~ 很少见到,值为0x2
  • FUNC_LIB ~~~~ 链接库函数,在做分析的时候经常可以忽略,值为0x4
  • FUNC_STATIC ~~~~ 静态函数,值为0x8
  • FUNC_FRAME ~~~~ 表示函数使用了结构指针ebp,值为0x10
  • FUNC_USERFAR ~~~~ 很少见到,值为0x20
  • FUNC_HIDDEN ~~~~ 隐藏函数,需要展开才能看见(不太懂),值为0x40
  • FUNC_THUNK ~~~~ 跳转到其他函数的函数,一般只有一个jmp指令,值为0x80
  • FUNC_BOTTOMBP ~~~~ 与FUNC_FRAME类似,该标志用于跟踪帧指针。它将识别帧指针等于堆栈指针的函数,值为0x100
#查找某种共操作数类型的指令
for func in idautils.Functions():
    flags=idc.GetFunctionFlags(func)
    #if flags & FUNC_LIB or flags & FUNC_THUNK:
        #continue
    dism_addr=list(idautils.FuncItems(func))
    for line in dism_addr:
        if idc.GetOpType(line,0) == o_phrase://o_reg  o_mem 
            print("0x%x %s"%(line,idc.GetDisasm(line)))

IDAPython批量处理脚本

https://blog.csdn.net/qq_35056292/article/details/89421793

是lime呀
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ida pro 6.6套装
05-03
ida pro 6.6套装 密码 itJpyHidszaR
IDA pro总结
Life_hes_az的博客
03-10 2399
本文对IDAPro的常见内容进行总结,未完待续。 一、常见符号的含义 sub_xxxx 地址xxxx处的子例程(过程/方法) loc_xxxx 地址xxxx处的一个指令 byte_xxxx 位置xxxx处的8位数据 unk_xxxx 位置xxxx处的大小未知的数据 .text:00401020 ; Attributes: bp-based frame .text:004010...
IDA Pro使用学习研究笔记(一)——IDA View
Anansi的博客
04-12 2346
IDA Pro 一直在学习二进制漏洞挖掘,但是从来没有写过有关分析工具笔记。。。。 IDA Pro一个二进制逆向分析工具,可以用来对未知源码的二进制程序,进行静态分析,简单来讲就是不去运行二进制程序,将其指令段的二进制机器码还原成汇编指令来对程序的执行流与代码逻辑进行分析。与其相对的还有一种是动态分析,最具代表性的工具就是Windbg、ollydbg、X64dbg,他们在还原汇编代码的同时还会去运行程序,并且还可以还原程序执行时的堆栈以及其他的一些运行时产生的内存数据(这是静态分析所没有的优点)。 启动ID
IDA Pro v6.6英文版(稳定)
08-13
IDA Pro v6.6英文版(稳定)
自学 IDA PRO汇编so 的血泪史
热门推荐
skyun1314的博客
08-28 1万+
一直就有写博客的想法,原因是看到好多 比较牛的人 一直在写,写他的收货,总结,纯技术教程。而我什么都没有,就不知道写什么。今天突然恨有感慨就 写下我的处女贴。 接触Android逆向已有1年多了,但只会简单的smali方向的,一直不会逆向so。到现在我都不知道 so可不可以 想smali那样可以随意注入。随意更改。 一直听说 逆向so需要 强大的IDA 而我的ida一直不会用。把so拖进去以后
IDApro权威指南》个人学习笔记
10-11
IDApro权威指南》个人学习笔记是关于IDApro汇编工具的使用指南,该指南涵盖了IDApro的基础功能、指令优化、数组、结构体、网络节点等方面的知识点。 基础功能强化 IDApro是一款功能强大的反汇编工具,它可以对...
android逆向学习,笔记(四)IDA Pro Android 静态分析-附件资源
03-02
android逆向学习,笔记(四)IDA Pro Android 静态分析-附件资源
IDA 零接触学习笔记
10-25
这篇“IDA零接触学习笔记”显然是为了初学者准备,旨在引领读者逐步熟悉和掌握IDA使用IDA的学习首先从基础功能开始,包括打开和加载可执行文件。在IDA中,你可以加载不同平台(如Windows、Linux、Mac OS等)的...
安卓逆向学习笔记之Frida+ida trace分析非标准算法
最新发布
03-15
接下来是IDA,全称Interactive Disassembler Pro,是一款功能强大的反汇编器,可将机器码转换成可读的汇编代码。IDA还提供了调试器功能,让我们能够静态分析程序,并在需要时进行动态调试。在分析非标准算法时,IDA...
IDA 7.0 Python import "site" failed
ATree的博客
05-28 2094
这个坑了我比较久,为了防止其他人入坑,就及时写一篇博客来告诉他人,本着知识、技术共享原则。因为浪费的这些时间我们可以用来做别的许多事。首先出现这个问题,只需要几步:第一步,确认安装的是否是Python 2.7版本第二步,在安装IDA 7.0的时候,有个版本会直接提示你是否安装python 2.7-x64(因为我的是64位系统,不知道是不是自身检测出来的),有这个选项的话一定要选择安装。第三步,打开...
idaref:IDA Pro指令参考插件
04-14
爱达Ref IDA Pro完整指令参考插件-就像自动注释一样,但很有用。 我通常很擅长弄清各种英特尔指令的作用。 但是,有时我需要知道一些精确的细节(即SUB的确切副作用)或遇到一个罕见的说明。 然后,我打破了思路,不得不挖出参考手册。 是什么让我在想: IDA为什么不能只给我完整的文档? 输入IdaRef: 该插件将监视光标(ScreenEA)的位置,并显示说明的完整文档。 目前,它仅支持x86-64,ARM和MIPS 32位,但是添加对其他体系结构的支持相对容易。 用法 只需签出或下载存储库,然后将其安装到您的IDA插件目录: idaref.py -> <ida>/plugins/idaref.py arm.sql -> <ida>/plugins/archs/arm.sql x86-64.sql -> <ida>/plugins/archs/x8
IDA pro 使用笔记
weixin_52369224的博客
08-30 815
第一部分最顶部的是工具栏,它其中包括一些逆向分析过程中经常使用的工具。 File 用来打开新建装载一个应用程序。 Edit用来编辑反汇编代码,可以用来复制筛选。 Jump 用来跳转的,可以有很多类型的跳转,可以进行一行上下位置,特地位置的跳转, 还可以根据字,函数来进行,跳转到新窗口,跳转到某一个偏移量。 Search 顾思义就是用来搜索的。 View是用来选择显示方式的,或者显示某一特定某块的信息。比如树形逻辑图显示,或者16进制显示。还可以单独显示某一特定信息,比如输入或...
IDA静态分析so文件(一)
傅恒的博客
05-12 5614
本文是记录自己学习IDA的一些总结与归纳,并将其体现成具体功能,便于复习与交流,有不对之处望大家包容并指出,欢迎大家留言收藏 本篇是IDA静态分析的第一篇, 本文讲解非常简单的静态分析so包 , 以便于熟悉IDA 环境 IDA pro 7.0 so包是32位 附加GitHub地址下载apk 如果出现其他问题可以参考IDA常见问题 开始 通过分析apk, 我们知道, java层调用了那些本地函数 , 实际运用也是如果 , 我们需要先分析java层代码 , 本文我们就是找到本地函数怎么对比字符串
如何识别IDA汇编中动态链接库中的函数
weixin_30363509的博客
01-18 864
使用IDA静态反汇编时,如果正在逆向的文件中有动态链接库函数(比如调用了程序自定义so库中的函数),IDA只会显示一个地址,跟进去会发现是延迟绑定中关于plt的代码,无法知道具体调用了哪个函数,对于逆向起来很是麻烦,本文介绍如何识别这样的函数。 按道理讲,虽然不能动态调试,静态分析不能看到运行时绑定的地址,但是具体动态链接的过程一定也是根据文件中的信息,所以静态也一定可以知道调用的是哪个函数,...
某游戏社区App | So层逆向分析
TheWeiJun的博客
04-11 2603
加载so、通过native关键字定义了需要调用的方法getSign,也就是说,它这里调用的是so层的加密算法,so是什么?到这里,我们可以肯定,sign的加密算法就是md5加密;分析上面authorization的加密逻辑,我们需要确定return返回值中包含的多个参数的初始值即可完成对该参数的算法还原,接下来我们一起进入hook调试环节分析一下该算法吧。此刻我们已经知道了str、str2的生成规律,我们只需要还原该接口请求就能实现str、str2的参数生成,接下来我们需要对sign参数进行解密分析。
IDA使用
Starr
08-24 2639
文章目录0x00. 配置0x01. 主窗口跳转交叉参考0x02. 操作注释修改api帮助重命标签FLIRT0x03. 数据识别格式化指令操作数指令数据转换字符串数组结构体嵌套结构体union枚举类型位成员变量0x04. 脚本和插件输出导入表SMC0x05. 调试 ida按照区块加载PE。 打开时生成4个文件: .id0,二叉树形式数据库 .id1,每个程序字节的标记 .nam,与ida的nam...
IDA Pro使用技巧
工作学习笔记
11-28 973
Python使用记录
如何hook那些在IDA中显示为sub_xxx的函数
weixin_30750335的博客
04-29 1140
唉,说起来这就是一个坑,Cydia Substrate在其文档中也没找到详细说明,最后也只能来看看代码曾半仙最早给的那份substrate-master源码,然后一切就了然于胸了,这个坑很大,很大!!!现在我们先来看下MSHookFunction怎么Hook IDA中的sub_xxxx函数,然后再来谈谈为啥是这样的。 就以这段代码为例吧,下断点红色选中部分,中的sub_17C94就是我...
逆向中静态分析工具——IDA初学者笔记
weixin_30532987的博客
10-17 6353
//******************************************************************************//IDA初学者笔记 //******************************************************************************//作者:Cai//日期:2011-10-18//***...
iDA Pro使用教程
05-04
iDA Pro 是一款非常强大的反汇编工具,它可以帮助用户对二进制程序进行反汇编、分析和修改。下面是使用 iDA Pro 的一些基本步骤和技巧。 1. 安装 iDA Pro 首先,你需要从 iDA Pro 官网(https://www.hex-rays.com/products/ida/)下载并安装该软件。iDA Pro 有免费版和付费版,免费版的功能相对较弱,付费版则功能更加完善。安装完成后,你可以打开 iDA Pro,开始使用它的功能。 2. 打开二进制文件 在 iDA Pro 中,你需要打开一个二进制文件,才能进行反汇编和分析。你可以通过菜单栏的“File”选项来打开一个二进制文件。iDA Pro 支持多种不同的文件格式,例如 ELF、PE、Mach-O 等。选择正确的文件格式很重要,否则会导致反汇编失败。 3. 分析程序结构 在打开一个二进制文件后,iDA Pro 会自动对程序进行反汇编,并展示反汇编结果。你可以在左侧的“Functions”窗口中查看程序中的函数列表,或者在右侧的“Disassembly”窗口中查看反汇编代码。iDA Pro 还支持对程序的控制流进行分析,你可以通过菜单栏的“View”选项来查看程序的控制流图。 4. 查找漏洞 通过分析程序结构,你可以尝试查找程序中的漏洞。例如,你可以查看程序中的函数调用和内存访问,寻找可能存在的缓冲区溢出、格式化字符串漏洞等。iDA Pro 还支持对程序中的字符串和常量进行搜索,你可以利用这个功能来查找可能存在的敏感信息、密码等。 5. 编辑程序 在查找漏洞后,你可能需要修改程序来修复漏洞或者实现其他目的。iDA Pro 支持对程序进行编辑,你可以在右侧的“Disassembly”窗口中直接修改反汇编代码,或者使用 iDA Pro 提供的高级编辑功能来修改程序。注意,修改程序可能会导致程序的崩溃或者其他不可预测的结果,所以一定要谨慎操作。 以上是使用 iDA Pro 的一些基本步骤和技巧。iDA Pro 是一款非常强大的工具,可以帮助你分析和修改二进制程序,但需要一定的反汇编和程序分析经验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值