关于IDA Python

最新推荐文章于 2024-01-08 08:15:00 发布
最新推荐文章于 2024-01-08 08:15:00 发布
阅读量683 收藏 1
点赞数
分类专栏: 奇技淫巧 文章标签: IDA Python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sxr__nc/article/details/116566985
版权

关于IDA Python
IDAPython在IDA中集成了Python解释器,除了提供了Python功能外,使用这个插件还可以编写实现IDC脚本语言的所有Python脚本。
IDAPython显著优势在于,它可以充分利用Python强大的数据处理能力及所有的Python模块。
IDAPython还具有IDA SDK的大部分功能,与IDC相比,使用它可以编写功能更加强大的脚本。
IDA Python包含三个独立的模块
idc:兼容idc函数的模块,负责提供IDC所有的函数,使用的时候自动导入
idautils:绝大多数的处理依托与这个模块去实现,提供大量的使用函数,其中很多函数可以用来生成python列表(比如函数交叉引用返回的列表),使用的时候自动导入
idaapi:允许使用者通过类的形式,访问更多底层的数据,负责访问核心的IDA API(再使用的时候需要手动导入)
编写脚本常用的一些函数
ScreenEA():获取IDA调试窗口中,光标代码的地址。通过这个函数,可以从指定的点运行脚本
GetInputFileMD5():返回IDA加载的二进制文件的MD5值,可以进行文件版本的判断
SegByName(string SegmentName):通过段名字返回段基址,调用.text为参数,返回代码段开始的地址
SegEnd(long Address):通过段内的某个地址返回段的段尾地址
Functions(long startAddress,long Endaddress):返回开始地址到结束地址之间的的所有函数 的列表
LocByName(string FuncName):通过函数名称返回对应的函数地址
GetFuncOffset(long Address):通过任意一个地址,得到这个地址所属的函数名,以及给定的地址和函数的相对位移,以字符串"名字+偏移"的形式返回
GetFunctionName(long address):通过任意一个地址,返回这个地址所属的函数
CodeRefsTo(long Address,bool Flow):返回一个列表,包含指定地址处的代码被什么地方引用,Flow表示是否追踪这些引用
CodeRefsFrom(long Address,bool Flow):返回一个列表,包含指定地址出的代码引用何处的代码(引用源)
DataRefsTo(long Address):返回一个列表,包含指定地址出的数据被谁引用(常用来追踪全局变量)
DatRefsFrom(long Address):返回一个列表,包含指定地址的代码引用何处的数据(引用源)
脚本样例
用来收集在文件中可能存在栈溢出或者整型溢出点的函数,并修改调用处的代码颜色

from idaapi import *
danger_func=["strcpy","malloc","VirtualAlloc","WriteMemory"]#危险函数
x=ScreenEA()//获取此时光标的地址:API测试
print "Strar"
print "%08x" % x
print "TEST"
for func in danger_func:
	addr=LocByName(func)#根据函数名称获取函数地址
    if addr!=BADADDR:
    	List=CodeRefsTo( addr, False )#返回列表查看目标地址处的代码被谁引用
    	print "Cross References to %s" % func 
        for result in List:
        	print "%08x" % result
            SetColor(result,CIC_ITEM, 0x00CFff)#设置危险函数处的的颜色
Psy_Hacker
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IDAPython手册(中文版)
11-03
IDAPython手册(中文版) 第一次尝试自己翻译,如有翻译错误,再进行修改
IDA Python
01-20
详细阐述了IDA Python使用细节,介绍了IDA Python的调用惯例,基本类和常用类的使用方法。
IDAPython 初学者指南
05-27
IDAPython 初学者指南 IDAPython 初学者指南 IDAPython 初学者指南
ida_python_scripts:ida python脚本
04-29
ida_python_scripts [IDA_comment] [ida_function_rename]
IDApython接口
04-25
IDApython接口,包括多个版本: idapython-1.2.0_ida5.4_py2.5_win32 idapython-1.5.2_ida6.1_py2.6_win32 idapython-1.5.3_ida6.2_py2.6_win32 idapython-1.5.3_ida6.2_py2.7_win32
IDA Python 使用总结
sky123博客
08-29 3919
运行 IDA 安装目录下的,选择使用的 python 解释器。
IDA Python的介绍
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
05-14 1356
然而,IDA Python的使用也需要一定的编程基础和IDA Pro的API知识,需要不断学习和实践才能掌握。通过IDA Python,用户可以访问IDA Pro的API,调用IDA Pro的功能和命令,以实现自动化分析和修改。例如,IDA Python包含一些特殊的库和函数,例如idaapi、idautils和ida_hexrays等。接着,使用idautils.Functions()函数获取程序中的所有函数地址,然后使用idaapi.get_func_name()函数获取函数名,并打印输出。
IDAPython基础教程一
热门推荐
Yale的博客
01-16 1万+
给出的文件名为rabbithole 首先使用file命令查看一下 可以看到是64位的可执行文件 接下来我们切换到win,使用IDApro载入,以此文件为样例,学习IDAPython的用法。 首先介绍下IDAPython的背景。 IDAPython创建于2004年。这是GergelyErdelyi和Ero Carrera的共同努力。他们的目标是结合强大的python与自动化分析的IDA的类C脚本...
IDA python(简单)
lwhaaaa的博客
04-25 1661
文章目录0x01 简介0x02 使用方法0x03 相关语法 0x01 简介 ​ IDA python 是一个 IDA 的插件,其功能作用和 IDC 差不多,但 IDC 功能并没有 IDA python 强大。 0x02 使用方法 ​ IDA 6.8 后好像便自带了。和 IDC 类似,使用 python 语句写一段代码,然后放入命令中,运行即可。打开如下 0x03 相关语法 ​ IDA python 主要由 3 个模块组成: idc,idautils 和 idaapi。 idaapi,及idaap
idapython
m0_53342264的博客
10-23 1573
idapython笔记 api汇总
IDAPython手册中文翻译
01-03
IDAPython官方手册的中文翻译, IDAPython开发者必备。
idapython-cheatsheet:IDAPython的脚本和速查表
04-14
idapython备忘单 IDAPython的备忘单和示例脚本(7.x和6.x)。 看起来像这样:可列印版本PDF格式 IDAPython 7.x(PNG) IDAPython 6.x(PNG) 提示,技巧和示例调试器挂钩使用断点 清单反汇编程序视图 源代码中的简单...
【逆向工具】IDA使用3-全局变量、数组、结构体
weixin_30492047的博客
03-28 1323
全局变量 测试代码 全局变量既可以是某对象函数创建,也可以是在本程序任何地方创建。全局变量是可以被本程序所有对象或函数引用。下面这段代码中将int、float、char变量定义在main函数之外。 // 变量.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" //全局变量 // 整型 int a_nNum = 22; // 浮点型 float ...
ida实用技巧
qq_35576225的博客
11-04 2502
debugger->debugger windows ->locals找到相应的变量 1.在寄存器中找到相应的位置更换变量类型,比如用a键将其转化为字符串。2.直接在定义变量的位置更换变量类型,比如从_byte *改为 char *,就可以在locals中刷新后显示。通过这个操作可以将变量转换数组,将数据类型修改为 对应的类型的指针 例如 char *a1。12 修改反汇编代码 可以用F2 Edit-patch program。5.修改伪代码变量类型 快捷键y。6.修改汇报中的变量类型。
IDA脚本笔记01
kelxLZ的博客
01-09 852
Author:ZERO-A-ONE Date:2019-10-29 0x01 读取和修改数据的函数 01 Byte long Byte(long addr) 从虚拟地址addr处读取一个字节值 02 Word long Word(long addr) 从虚拟地址addr处读取一个字(2字节)值 03 Dword long Dword(long addr) 从虚拟地址addr处读取一个双字(4字节)值 04 PatByte void PatchByte(long addr, long val) 设.
逆向分析学习小纪——基于IDAPython应用程序逆向分析
Henryli1202的博客
01-08 1557
这是我的《逆向分析学习小纪》第三篇,这个系列主要介绍我的逆向分析学习过程,本篇涉及python编译中的保护手段、利用IDA工具完成静态分析、python解释器的解密和应用程序反编译等内容。希望和大家多多交流,共同进步!
IDAPython详细版(一)
SXXYNHHXX的博客
01-01 1210
一旦我们在列表中有了指令,我们使用idautil . functions()和get_func_attr(ea, FUNCATTR_FLAGS)的组合来获得所有适用的函数,同时忽略库和thunks。idc.get_func_attr(ea,FUNCATTR_START)和idc.get_func_attr(ea,FUNCATTR_END)访问函数边界。如果我们有一个函数的地址,我们能够使用idautils.Funcltems(ea)获取列表中所有地址(前提是必须在函数内,会显示改函数所有指令的地址)
局部变量,全局变量与内存
qq_61553520的博客
09-18 529
全局变量保存在data段,在程序编译链接就确定了;局部变量保存在stack段访问局部变量往往是通过[ebp-0xXXX],全局变量往往是一个地址[0xXXX]把局部变量或者全局变量压入堆栈需要使用寄存器给局部变量赋值,mov [esp-0xXXX],值函数有返回值往往借助寄存器,值或者地址。
Windbg 内核态调试用户态进程
sxr__nc的博客
07-13 1995
之前写过双机调试环境的搭建,一般用来调试驱动这样内核态的东西,今天遇到一个问题,就是在内核态的情况下怎么给用户态的程序下断点?也就是在内核态怎么调试用户态的程序,比如想要给CreateProcessW这个API下断点怎么整?因为CreateProcessW这个API是位于Kernel32.dll这个模块里边的,但是这个模块是属于用户态的模块,内核会话不会加载这个模块。 使用的示例:自己写的Demo,用OD附加之后,给CreateProcessW下断点(其实没必要使用OD附加) 接下来开始展示: 1、搭建双机
python 安装IDApython
最新发布
05-04
Python是一种高级编程语言,它具有简单易学、可读性强、功能强大等特点,被广泛应用于各个领域的软件开发和数据分析中。而IDApython是一种用于在IDA Pro中编写插件和脚本的Python库。 要安装IDApython,可以按照以下步骤进行操作: 1. 首先,确保已经安装了IDA Pro。IDA Pro是一款反汇编和逆向工程软件,可以用于分析和修改二进制文件。 2. 下载IDApython库。可以在IDA官方网站上找到IDApython的下载链接。根据你使用的IDA版本和操作系统选择相应的版本进行下载。 3. 安装IDApython。将下载的IDApython库解压缩到合适的位置,然后将其中的文件复制到IDA Pro的安装目录下的"plugins"文件夹中。 4. 配置环境变量。将IDA Pro的安装目录添加到系统的环境变量中,这样就可以在命令行或脚本中直接使用IDApython库了。 完成以上步骤后,你就成功安装了IDApython,并可以开始使用它来编写插件和脚本了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值