IDA 字符串解密脚本

最新推荐文章于 2024-05-10 16:40:25 发布
最新推荐文章于 2024-05-10 16:40:25 发布
阅读量5.4k 收藏
点赞数
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yourenhello/article/details/16867635
版权
.text:10116143 BF 20 A1 18 10                    mov     edi, offset unk_1018A120

.text:10116148 BA 28 B1 18 10                    mov     edx, offset aKLVljqKqvyTy ; "k]L}VLJQ]KqVy[Ty"

这两个地址字符串被加密了

用如下脚本解密:


#include<idc.idc>
static main()
{
	auto nSrc,from;
	from=ScreenEA();
	from++;
	
	from=Dword(from);
	Message("%08x\n",from);
	nSrc=Byte(from);
	while(nSrc)
	{
		Message("%02x,0x%08.x\n",nSrc,from);
		PatchByte(from,nSrc^0x35);
		from++;
		nSrc=Byte(from);
	}
}


yourenhello
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ida flare_emu模拟执行批量解密字符串(Orchard_Botnet)
jentle8的博客
11-02 493
使用模拟执行批量解密堆栈字符串 ida flare-emu
使用IDAPython解密被加密函数名
liuhaidon1992的博客
12-04 1380
最近分析一款病毒,输入表是空的,并且搜字符串,搜不到函数名,函数名被加密了。 就写了个脚本把函数名都解密起来,并加注释,方便在IDA中查看。 完整脚本如下: def get_string(addr): out = "" sourceString = "amNFHufoTRn0P3vI8xBS4t6jM9CqXeibUDEpQ1ZGYywJzAg7sk2lc5WLOrKdhV.?...
旧版本的 IDA python scripts 脚本不能使用了怎么办?
最新发布
shimly123456的博客
05-10 357
除了 idc_bc695.py 里的内容外,还有一些其它 API 的名字也被修改了,比如 “NextHead, PrevHead” 被改成了 “next_head, prev_head”,具体参考这个 API 文档:https://hex-rays.com//products/ida/support/idapython_docs/参考资料2:https://hex-rays.com//products/ida/support/idapython_docs/随后,IDA6 ----> IDA7 的过程中,
java 对字符串的加密解密
热门推荐
城墙上奔跑de二帅
05-12 1万+
import java.security.Key; import java.security.spec.AlgorithmParameterSpec; import javax.crypto.Cipher; import javax.crypto.SecretKeyFactory; import javax.crypto.spec.DESKeySpec; import javax.crypto.
Tool_RE_IDA基础字符串修改
CheAyuki13的博客
07-31 3136
字符串查找按住键盘组合键 shift + f12 打开字符串窗口,包含所有字符串,双击进去会找到选定字符串的内存地址,字符串修改1.选中字符串,在Hex dump修改对应内存地址内容(PS关于16进制可以在百度百科搜索ascii码表2.要将hello 52pojie!对应的hex是:68 65 6C 6C 6F 20 35 32 70 6F 6A 69 65 21改成hello world!在a...
ida字符串存储的小端序陷阱
amber_o0k的博客
10-08 747
小端序,英文名little endian 在ida f5查看伪代码后,如果看到 _DWORD v4[7]; v4[0] = 0xD6C0B67; v4[1] = 0x175F4078; v4[2] = 0x3302058; v4[3] = 0x725D1244; v4[4] = 0x2E1F3441; v4[5] = 0x6847404D; v4[6] = 0x1B; 注意最开始的数据类型,这个数组不光要按照4字节左侧补零对齐,还要将每一组数据翻转才能得到正确的字符串 ...
IDA逆向与反汇编教程
07-16
6. **15.IDA字符与数据间的转换.7z**: 在逆向工程中,经常需要将内存中的数据解释为字符串或其他类型。这部分教程将介绍如何在IDA中进行数据类型转换,以正确解读程序中的字符串、数字和其他二进制数据。 7. **13...
AnalysisScript:用于恶意软件分析的脚本列表
05-16
Zelix Klassmaster字符串解密器 Gen4字符串解密器Backdoor.Miniduke!gen4 Trojan.Netweird记录的密钥解密器 分析感染Trojan.Ransomlock.AP(Trojan.Ransomlk.AP!inf)的Advapi32.dll系统DLL Trojan.Swifi ...
IDA调试软件
01-06
3. **颜色编码**:IDA会根据代码的类型和用途自动分配颜色,如函数、数据、字符串等,便于快速识别。 4. **调试器**:内置的调试引擎允许用户单步执行程序,设置断点,检查寄存器状态,查看内存和堆栈,以及分析...
ctf-tools:Pwning CTFs的工具和脚本
05-13
7. **自动化脚本**:为了提高效率,参赛者可能会编写一些自动化脚本,比如自动化解压、搜索关键字、提取字符串等功能。 8. **二进制混淆和反混淆**:Python也可以用于编写混淆和反混淆的工具,比如对代码进行加密、...
第16章 软件逆向工程应用.pptx
10-30
- YARA:用于恶意软件识别和分类的引擎,可以创建规则来检测字符串、入侵序列等。 - IDAPython:IDA的Python插件,允许在IDA中编写自定义的分析脚本。 - Hex-Rays Decompiler:IDA的反编译插件,提供高质量的反编译...
IDA Pro 代码破解解密》笔记一
Fly20141201. 的专栏
11-14 5468
return 0;  C语言返回0语句的汇编形式 Intel-32汇编: leave xor eax, eax ret AT&T汇编: leave xorl %eax, %eax ret 从汇编的结果可以看出,返回0的C语言语句,在编译器生成的汇编语句中并没有包含常量,这是编译器优化的结果,它认为复制零的操作比执行异或的运算更耗资源。 操作码与S
IDA6.8 脚本学习:
hjjdebug的专栏
08-25 5425
IDA6.8 脚本学习: author:hjjdebug 自己的一个小经历, 留个纪念吧! 看见IDA 在调试时,有一个默认python 的交换调试窗口. 点击它,可以改为IDC 脚本对话窗口. 然后可以在这个窗口中输入命令: 输入什么呢? 先来个hello, world 吧 输入: print "hello" 提示说: missing semicolon I
IDA-自定义字符串编码类型
counsellor的专栏
12-28 1898
最近在使用IDA时,发现有些字符串的标记是text不是db,并且undefine之后,按’A’键转换不成text格式的字符串,甚至根本不是完整的字符串。这个text到底是什么,改如何转换此类字符串呢?
IDA 中文字符串
weixin_34315485的博客
09-12 485
http://www.pediy.com/kssd/pediy05/pediy50528.htm Ida Pro 的默认设置里对中文字串的支持比较差,对于首字节大于'E0'的都显示成?了.其实... 打开IDA PRO 目录下的IDA.CFG 看到如下: // the following characters are allowed in ASCII strings, i.e. // in or...
(转)IDA 中文字符串
zhangmiaoping23的专栏
05-13 6336
<br />标 题:Ida pro 里的中文字串(菜鸟进来) (2千字)作 者:nULL时 间:2003-4-1 11:22:03链 接:http://bbs.pediy.com<br /> Ida Pro 的默认设置里对中文字串的支持比较差,对于首字节大于'EO'的都显示成?了.其实... <br /> 打开IDA PRO 目录下的IDA.CFG <br /> 看到如下: <br /> .........................cut............
如何参考IDA来逆向代码
生命不息 折腾不止
10-19 5989
逆向代码 1、如果是小的代码点,我们只需要将代码看懂,使用高级语言实现就行了; 2、如果是大批量的反代码,我们需要做的是将函数含义,函数参数,返回值,数据结构先分析好,建好结构体,然后将整个函数转成.c 文件,再将函数拷贝到VS中,然后逐句重写; IDA 逆向代码,分析清楚函数的参数,然后直接将IDA的代码C导出来,然后复制粘贴,然后每行去逆向代码, 这里面变量就是不变的; 注意点: ...
如何用idapython脚本获取字符串窗口的数据并写入文件
weixin_33796177的博客
01-18 1159
问题:当ida的strings窗口中字符串数量过多时,想直接用右键菜单的copy功能把所有字符串拷贝到文本文件中时,ida会一直处于忙状态,无法正常工作。此时可用idapython脚本获取字符串窗口的数据并写入文件,脚本内容如下def GainStrWindow(): op = strwinsetup_t() op.strtypes=ASCSTR_C op.min...
ida怎么查找汉字字符串
05-13
IDA可以通过搜索内存中的字符串来查找汉字字符串。具体步骤如下: 1. 打开IDA,加载要分析的二进制...需要注意的是,如果程序使用了加密或混淆技术来隐藏字符串,可能需要先解密或还原字符串才能查找到汉字字符串

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值