03_IDA逆向分析

最新推荐文章于 2024-05-28 07:47:53 发布
最新推荐文章于 2024-05-28 07:47:53 发布
阅读量438 收藏
点赞数
分类专栏: 06-iot安全学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014679440/article/details/113290254
版权

IDA逆向分析-插件demo

http://hex-rays.com/products/ida/support/idapython_docs idapython的文档

IDA插件的编写

  • plugins 目录下进行实例化
  • python 目录下面进行具体功能的编写

在IDA的plugins目录下创建 listFuncPlugin.py文件

# -*- coding:utf-8 -*-
import idautils
import idaapi
import idc
from datetime import datetime

class ListFunc(idaapi.plugin_t):  # 继承idaapi.plugin_t
    flags = idaapi.PLUGIN_UNL

    comment = "List all function in this binary file"

    wanted_name = "listfunc"   # 插件的名称
    wanted_hotkey = "Alt-F9" #插件的快捷键
    help = "Coming soon..."

    def init(self):
        # 初始化方法
        idaapi.msg(">>> My plugin starts. {0}\n".format(datetime.now()))

        # 导入python目录下的功能模块
        idaapi.require("listFunc")
        idaapi.require("listFunc.listFuncInterface")
        return idaapi.PLUGIN_OK

    def run(self,arg):
        listFunc.listFuncInterface.main()   # 进行调用

    def term(self):
        idaapi.msg(">>> My plugin ends. {0}\n".format(datetime.now()))

# 插件的入口函数
def PLUGIN_ENTRY():
    return ListFunc()

在IDA的python目录下创建listFunc文件夹,在其中创建

__init__.py
listFuncInterface.py 文件

其中 listFuncInterface.py 的内容为
# -*- coding:utf-8 -*-
import idautils
import idaapi
import idc
from datetime import datetime

def main():
    for i, func in enumerate(idautils.Functions()):
        func_name = idc.GetFunctionName(func)  # 函数名
    
        if "DllMain" in func_name:
            print("{0} is the valu function {1}".format(i, func_name))

if __name__ == '__main__':
    main()

如上,IDA插件的大致就这样

当如何,python目录创建类不是强制的,在plugin文件夹的py插件可以不引用其他类

不打开IDA,自动执行IDA插件

  • 一个整体运行的脚本run.py
  • 一个是具体分析数据的脚本,由run.py调用

run.py

# -*- coding:utf-8 -*-

import os
import subprocess


dir_path = "C:/tools/teest/1" # 原始数据的文件夹
ida_path = "C:/tools/IDA_Pro_v7.0_Portable/ida.exe" # ida的路径
ana_file = "C:/tools/teest/analysis.py" # 分析文件的路径

def run():
    for root, dirs, files in os.walk(dir_path):
        for file_name in files:
            file_path = os.path.join(root, file_name)
            cmd = "{0} -LC:/tools/mylog.log -c -A -S{1} {2}".format(ida_path, ana_file, file_path)
            p = subprocess.Popen(cmd)
            p.wait()

if __name__ == "__main__":
    print("begin")
    run()

analysis.py

# -*- coding:utf-8 -*-

import idautils
import idaapi
import idc

def do_some_analyse():
    danger_func = ["main","DllMain","gets","read","StringVPrintfWorkerW"]
    for func in idautils.Functions():
        if idc.GetFunctionName(func) in danger_func:
            print(hex(func), idc.GetFunctionName(func))

def main():
    idc.Wait()
    do_some_analyse()
    idc.Exit(0)

if __name__ == "__main__":
    main()
showme#
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IDA逆向分析.pdf
09-22
IDA逆向分析.pdf IDA逆向分析.pdf IDA逆向分析.pdf
IDA逆向分析的方法
traceme2011的专栏
03-03 1万+
一、PE文件的分析流程。 1. 对于DLL文件,先查看它的导出表,确定一些功能函数。 2. 查看导出表,看调用了那些类型的API。比如可能有如下几类 (1)      文件操作、创建、写、读(2)      注册表操作,读、写(3)      提权相关函数(Privage)(4)      进线程函数 然后根据这写不同类型的导出函数,用X快捷键查看有哪些地方引用了,可以分析出一些sub_0xxxx...
IDA详细使用教程,适合逆向新手的实验报告
最新发布
qq_53058639的博客
05-28 1354
IDA详细使用教程,原创适合逆向新手的实验报告,关于快捷键,界面展示等的介绍,推荐大家结合另一篇ida实操,文章食用。切实感受ida的魅力与强大。一、软件介绍IDA全称是交互式反汇编器专业版(Interactive Disassembler Professional),人们其简称为IDAIDA pro是业界最成熟、先进的反汇编工具之一,是目前最棒的一个静态反编译软件,为众多0day世界的成员和ShellCode安全分析人士不可缺少的利器!IDA
ida pro逆向分析资料
05-07
ida pro逆向分析资料,以及答题卡
IDA-逆向分析-工具教程-IDA简介-反汇编工具-功能窗口
热门推荐
插件开发
10-23 1万+
介绍了IDA反汇编原理分为,线性扫描反汇编和递归下降反汇编。比较了两者的优点和缺点。线性扫描反汇编算法采用一种非常简单的方法来确定需要反汇编的指令的位置:一条指令结束、另一条指令开始的地方。因此,确定起始位置最为困难。常用的解决办法是,假设程序中标注为代码(通常由程序文件的头部指定)的节所包含的全部是机器语言指令。反汇编从一个代码段的第一个字节开始,以线性模式扫描整个代码段,逐条反汇编每条指令,直到完成整个代码段。线性扫描算法的主要优点,在于它能够完全覆盖程序的所有代码段。
逆向分析IDA+BinNavi+Postgresql连接
Wyyyyyn的博客
03-08 1256
IDA分析出来的idb文件,用BinNavi连接自动导入Postgresql数据库 版本:IDA pro6.8,BinNavi6.0,Postgresql9.5.6 环境:win7,10 注意:IDA和Postgresql最新版本不能用 ,如果装了一定要卸干净 IDA pro 直接安装就好 打开32位,第一次打开直接go,打开后将IDA6.8目录下的idaq.exe拖入窗口,见下图(如果使用...
IDA.rar_IDA静态脱壳_ida_脱壳_逆向
09-20
刚接触逆向的,可能不...我的文章由于只是IDA教程,只是用IDC将加壳的PE文件在IDB文件上脱壳,并修复API符号,到能分析的程序,并没有修复成脱壳的PE文件。 另,我脱的是MSLRHv0.31a。比较简单的壳,适合初学者学习
IDA.rar_IDA的_ida_汇编_逆向_閫嗗悜
09-19
IDA(Interactive Disassembler Pro)是一款广泛应用于逆向工程领域的专业软件,它能够帮助用户分析二进制代码,理解程序的内部运作机制,尤其适用于汇编语言的反汇编和调试。在“IDA.rar_IDA的_ida_汇编_逆向_閫嗗...
IDA pro逆向工具的使用以及逆向分析程序实例操作
04-18
IDA pro逆向工具的初步入门,此资源是针对IDA pro的功能实现的一些小案例,不仅是代码编写实现也更注重内容上的需求分析和方案设计,所以在学习的过程要结合这些内容一起来实践,并调试对应的代码。
dss.rar_dss_逆向_逆向 导航_逆向分析_逆向导航
09-21
逆向分析是IT行业中一种重要的技术,主要用于理解软件的工作原理,发现漏洞,或者进行安全研究。这个名为“dss.rar_dss_逆向_逆向 导航_逆向分析_逆向导航”的压缩包,显然是一个针对逆向分析的学习资源集合,其中...
DES逆向分析-IDA静态分析.pdf
05-04
对于DES算法的逆向分析,使用IDA静态分析全过程
ida逆向基础教程
09-30
看一看吧 这个没有什么坏处 就是一个分享的教程 知识就是力量
ida-arm-system-highlight:IDA脚本,用于突出显示和解码ARM系统指令
03-11
解码ARM系统指令 该脚本将为您提供IDA数据库中使用的ARM系统指令的列表。 这对于查找特定的低级代码段(设置MMU,缓存,故障处理程序等)很有用。 反向工程底层ARM代码的麻烦之处在于,IDA Pro不会解码通过协处理器指令(AArch64上的MCR / MRC和MSR / MRS )访问的内部寄存器。 应用脚本后,将按照ARM官方参考手册中的定义在数据库中自动注释访问的系统寄存器。 该脚本还将尝试自动检测某些寄存器的访问字段: 用法 在IDA Pro中使用Alt-F7 ,然后在打开的数据库上运行脚本。 兼容性 应该与ARMv7和ARMv8处理器一起使用。
IDA 6.3 官方 Demo版本下载
10-19
IDA 6.3 官方 Demo版本下载 注意,这个是Windows版本的 IOS不能用
IDA逆向分析技巧总结
Tasfa的博客
01-29 1662
IDA逆向分析总结 总结 前提: 先通过So方式去跑通流程,再去做调试会事半功倍 理清楚大概的流程再进行细节上的逆向,可从正向去思考 熟悉IDA的操作,比如IDAPython可以节省很多时间(学习的点) 函数的输入输出是比较重要的,可以先从这一方面入手 注意:F5的结果是大概率不准确的,需要通过调试的方式去确定函数的参数 注意: 参数的类型,比如double是使用两个寄存器 c++ 结构体、类的分析,c++逆向分析(学习的点) ...
IDA PRO 世界上最优秀的逆向分析工具
wclin88的专栏
03-01 1178
下载地址:http://www.gougou.com/search?search=IDA%20pro%E6%B1%89%E5%8C%96&restype=-1&id=10000000&ty=0
IDA动态调试逆向分析Android so
哆啦安全
01-01 928
使用IDA进行动态调试Android so,有两种方式进行调试,如下所示: (1).一种是调试启动方式,调试启动可以调试jni_onload ,init_array处的代码,可以在较早的时机得到调试权限,一般反调试会在较早的时候进行启动。 (2).另一种则是附加调试,附加调试是在App已经运行起来的时候进行附加调试,这两种方式与Windows上的调试启动和附加调试概念很相似。 实践环境:Windows 10+IDA Pro 7.0 + Nexus5(Android 7.1.2) ...
逆向分析工具——IDA初学笔记
m0_63606191的博客
01-22 3137
是 是
IDA静态动态逆向分析基础
哆啦安全
01-01 1657
1.JDB和IDA调试步骤2 (1).JDB调试步骤2 (2).IDA调试步骤2 (3).定位函数2 (4).开始调试2 2.动态调试Android so库函数的方法2 3.strace查看系统调用3 4.IDA静态动态分析的快捷键3 5.gdb调试4 (1).准备调试4 (2).修改权限5 (3).端口转发5 (4).ps命令查询PID5 (5).gdbserverattach调试进程5 (6).运行gdb.exe5 6.常见工具5 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值