IDA Python(二)

最新推荐文章于 2024-01-20 12:42:56 发布
最新推荐文章于 2024-01-20 12:42:56 发布
阅读量270 收藏 1
点赞数
分类专栏: IDA Python 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42931917/article/details/109815579
版权

如果要分析的二进制文件比较大,又要知道某些指令的个数,或者查找某种含有特征的指令,这个时候肉眼去搜索显然是比较耗时的,这个时候就可以充分体验到IDA python脚本的便利;

这里要讲到idautils.FuncItems(ea)这个函数,idautils.FuncItems(ea)实际上返回的是一个迭代器,但是我们将它强制转换为 list 类型。这个 list 以一种连续的方式存储着所有指令的起始地址。现在我们已经完全掌握了如何循环遍历程序中的段,函数和指令,那我们就开始 show 一个非常有用的例子。有时候我们会逆向一个加壳的代码,这时知道代码中哪里进行了动态调用对分析是非常有帮助的。一个动态的调用可能是由 call 或者 jump 加上一个操作数来实现的,比如说 call eax,或者 jmp edi。

在这里插入图片描述
在这里插入图片描述
Python脚本实现描述功能:

import idautils
def example_1():
    for func in idautils.Functions():
        flags = idc.GetFunctionFlags(func)
        if flags & FUNC_LIB or flags & FUNC_THUNK:
             print hex(func), "FUNC_LIB", GetFunctionName(func)
             continue
        dism_addr = list(idautils.FuncItems(func))
        for line in dism_addr:
            m = idc.GetMnem(line)
            if m == 'call' or m == 'jmp':
                op = idc.GetOpType(line, 0)
                if op == o_reg:
                    print "0x%x %s" % (line, idc.GetDisasm(line))

def main():
    example_1()
    
if __name__ == "__main__":
    main()

使用 idautils.Functions()获取所有的函数,然后利用 idc.GetFunctionFlags(ea)获取每个函数的标志,如果这个函数是库函数或者这个函数是 thunk 函数,那我们就跳过对它的处理,接下来我们使用idautils.FuncItems(ea) 获取函数中每个指定的起始地址。然后使用
idc.GetMnem(ea)来获取每条指令的操作符,判断操作符是否为 call 或者 jmp。如果是的话,我们就使用 idc.GetOpType(ea, n)来获取操作数,这个函数返回的一个 opt.type 类型的数值(int 类型),这个数值可表示的类型为寄存器,内存引用等等;

效果(op==o_reg):

#call register
0xffffffff81c54e11 call    r13
0xffffffff81c54e6c call    r12
0xffffffff81c5ad0f call    r12
0xffffffff81c5ae03 call    r13
0xffffffff81c61e7e call    rax
0xffffffff81c66a72 call    r12
0xffffffffff600053 call    rax ; qword_FFFFFFFFFF6001A0

这里对操作数进行解释一下:
o_void
如果指令没有任何操作数,它将返回 0;
o_reg
如果操作数是寄存器,则返回这种类型,它的值为 1;

//jmp to register
0xffffffff8102cba5 jmp     rax
0xffffffff81431300 jmp     rcx
0xffffffff8143132c jmp     rax

o_mem
如果操作数是直接寻址的内存,那么返回这种类型,它的值是 2,这种类型对寻找 DATA的引用非常有帮助。

0xffffffff81c3219b jmp     ds:off_FFFFFFFF81602A40[rax*8]; switch jump
0xffffffff81c375c4 jmp     ds:off_FFFFFFFF816097A0[rax*8]; switch jump
0xffffffff81c3828a jmp     ds:off_FFFFFFFF816097C8[rax*8]; switch jump
0xffffffff81c3ce16 jmp     ds:off_FFFFFFFF81609940[rax*8]; switch jump
0xffffffff81c5def2 jmp     ds:off_FFFFFFFF816476E8[r15*8]; switch jump

o_phrase
如果操作数是利用基址寄存器和变址寄存器的寻址操作的话,那么返回该类型,值为 3;

0xffffffff8118c548 mov     [rsp+10h+var_10], rbx
0xffffffff8118c5f8 mov     [rsp+10h+var_10], rbx
0xffffffff8118c6a8 mov     [rsp+10h+var_10], rbx
0xffffffff8118c758 mov     [rsp+10h+var_10], rbx
0xffffffff8118c808 mov     [rsp+10h+var_10], rbx
0xffffffff8118c8b8 mov     [rsp+10h+var_10], rbx

o_displ
如果操作数是利用寄存器和位移的寻址操作的话,返回该类型,值为 4;

0xffffffff81075e44 mov     dword ptr [rax+1000h], 0
0xffffffff81075e4e mov     dword ptr [rax+1004h], 0
0xffffffff81075ed8 mov     [rbp+var_18], rbx
0xffffffff81075edc mov     [rbp+var_10], r12
0xffffffff81075ee0 mov     [rbp+var_8], r13

o_imm
如果操作数是一个确定的数值的话,那么返回类型,值为 5;
o_f ar
这种返回类型在 x86 和 x86_64 的逆向中不常见。它用来判断直接访问远端地址的操作数,值为 6;
o_near
这种返回类型在 x86 和 x86_64 的逆向中不常见。它用来判断直接访问近端地址的操作数,值为 7;

Configure-Handler
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ida_python_scripts:ida python脚本
04-29
ida_python_scripts[IDA_comment][ida_function_rename]
IDA免安装版没有python执行功能
、抓不住的沙、、
04-14 7219
如果没有安装python环境,则直接安装一个python,重启IDA即可。 如果安装有多个python环境,比如Anaconda之类的,那么运行一下IDA目录下的idapyswitch.exe,并按操作选择设置一个指定的环境即可。
IDA Python 使用总结
sky123博客
08-29 5402
运行 IDA 安装目录下的,选择使用的 python 解释器。
house of pig详解
Test网络安全
09-05 4946
在复现这题之前需要了解一些前置知识:libc2.31下的largebin_attack,tcache_stashing_unlink plus以及高版本glibc下的IO_FILE攻击 首先看到libc2.31下的largebin_attack 0x1.libc2.31下的largebin_attack 跟随how2heap项目中的largebin_attack以及源码调试来学习。 从libc2.30开始,largebin的插入代码中新增了两个检查 先看到第一个点 将uns.
IDA Python 在没有Python可执行程序的情况 安装第三方库文件
qq_36903371的博客
11-17 600
IDA python 第三方库安装
IDAPython详细版(一)
SXXYNHHXX的博客
01-01 1681
一旦我们在列表中有了指令,我们使用idautil . functions()和get_func_attr(ea, FUNCATTR_FLAGS)的组合来获得所有适用的函数,同时忽略库和thunks。idc.get_func_attr(ea,FUNCATTR_START)和idc.get_func_attr(ea,FUNCATTR_END)访问函数边界。如果我们有一个函数的地址,我们能够使用idautils.Funcltems(ea)获取列表中所有地址(前提是必须在函数内,会显示改函数所有指令的地址)
IDAPython 初学者指南
05-27
IDAPython 初学者指南 IDAPython 初学者指南 IDAPython 初学者指南
IDA Python
01-20
详细阐述了IDA Python使用细节,介绍了IDA Python的调用惯例,基本类和常用类的使用方法。
IDAPython手册中文翻译
01-03
IDAPython官方手册的中文翻译, IDAPython开发者必备。
IDAPython中文教程手册
10-18
IDAPython中文教程手册,翻译自英文文档,密码:123。
IDApython学习笔记(一)
至臻求学,胸怀云月
03-29 1852
文章目录IDApython 简介安装测试背景基础 IDApython 简介 安装 需提前安装python2.7 ida pro7.0 百度网盘链接 链接:https://pan.baidu.com/s/1XQX1w8QgFGQMef6jSaCnBQ 提取码:xe1t 可直接下载使用,无需配置 测试 使用IDA打开任意进制文件 在输出窗口,选择python,并打印任意字符 观察是否能正常运...
x86-x64汇编语言、反汇编知识和IDA
最新发布
m0_61634551的博客
01-20 871
x86寄存器:通用寄存器:EAX, EBX, ECX, EDX, ESI, EDI栈顶指针寄存器:ESP栈底指针寄存器:EBP指令计数器:EIP段寄存器:CS, DS, ES, FS, GS, SSx86-64寄存器:(把E改成R)通用寄存器:RAX, RBX, RCX, RDX, RSI, RDI,R8-R15栈顶指针寄存器:RSP栈底指针寄存器:RBP指令计数器:RIP段寄存器:CS, DS, ES, FS, GS, SS16位寄存器:(把E或R删了)
IDAPython基础教程2
Yale的博客
01-17 1262
给出的文件名为rabbithole 首先使用file命令查看一下 可以看到是64位的可执行文件 接下来我们切换到win,使用IDApro载入,以此文件为样例,学习IDAPython的用法。 IDAPython有非常多获取数据的方式,最常用的是通过idc.GetFunctionAttr(ea,FUNCATTR_START)和idc.GetFunctionAttr(ea,FUNCATTR_END)...
ida idc函数列表全集
fishmai的专栏
08-31 5112
下面是函数描述信息中的约定: 'ea' 线性地址 'success' 0表示函数失败;反之为1 'void'表示函数返回的是没有意义的值(总是0) AddBptEx AddBpt AddCodeXref AddConstEx AddEntryPoint AddEnum AddHotkey AddSourceFile AddStrucEx
IDA脚本一页纸(IDC+IDAPython)-示例版
可乐松子的博客
06-01 3554
IDA的脚本主要有2种语法,一种类似于C语言(高版本更接近C++)的,一种支持python的 运行结果,符合预期 脚本2:枚举指令 运行结果,符合预期交叉引用实际上是有2个方向的:下面是交叉引用常使用的函数或者宏在的节选片段 test 1:向上枚举调用方 运行结果:明白了上面的示例,这个示例也很容易,就是更改一下函数 运行结果:下面是一个典型的文件的格式,《IDA Pro权威指南第版》的13章 扩展IDA的知识有详细介绍每个函数的信息会存储在一行,基本格式: + + + + ,这些如果你看过PE
IDA 中的大规模路径搜索方法
有价值炮灰
11-07 578
本文主要是记录和分享了一种在 IDA 中通过非递归去实现的路径搜索算法,其算法核心是将递归的搜索替换为栈+循环的方式,可以应用在大规模的程序中避免递归内存耗尽。另外通过修改 `get_neighbors` 方法也可以方便地拓展到 Ghidra 或者 BinaryNinja 中。其实这也不算什么很新颖的东西,不过能将算法应用到自己写的脚本中感觉还是很奇妙的。
关于2022虎符pwn mva解决jmp rax无法反汇编的这么个事情
yongbaoii的博客
03-23 1013
事情的起源是因为 2022 虎符 pwn mva 题解 那么有个问题来了 程序整个是个vm 但是在跳转的时候用了jmp rax导致它的十六个功能无法反汇编出来 当时比赛的时候是去硬读汇编解决的。 但是思索着有没有解决办法 最后经过无敌的cherest_san师傅帮忙解决了这个问题。特此记录。 他让不会的人都去问他 他说事了拂衣去,深藏功与名,但是高尚的我还是决定提他一嘴。 首先我们要清楚这里反汇编不出来主要是因为它没有跳到一个确定地址的地方。 那我们能不能通过适当的patch程序,来改变这里的逻辑。让他能直
IDAIDA-Python 学习笔记
skysys的研究小屋
12-26 1989
ida-python 中文教程
idapython
m0_53342264的博客
10-23 1772
idapython笔记 api汇总
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值