python逆向调试工具_[原创]用IDAPython实现的反反调试小脚本

最新推荐文章于 2022-04-29 21:26:42 发布
最新推荐文章于 2022-04-29 21:26:42 发布
阅读量926 收藏 3
点赞数
文章标签: python逆向调试工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39861734/article/details/111765946
版权

更新

加一个github地址DBGHider,里面加了inline hook。

背景

许多人喜欢用IDA进行静态分析,用OllyDbg进行动态分析,似乎很少人喜欢使用IDA进行调试。然而我这个菜鸟不会用OD,所以没有体会它的强大之处,我更喜欢用IDA的调试器。

IDA的调试器功能也很强大。

支持x64位程序。

可以充分利用静态分析的结果。

支持多种平台,Windows版本的IDA支持本地Windows调试,同时也支持远程Windows、远程Linux、远程Android、远程Mac调试。

支持多种架构,远程Android调试自然要用到ARM架构,配合QEMU模拟器还可以调试MIPS等架构。

由于IDA 7.x更改的SDK的API,就带来了一个很尴尬的事情,没有使用于IDA 7.x的反反调试插件,所以利用空闲时间写了一个小脚本,实现了对部分反调试方法的绕过。

反调试方法的分类

就我个人的理解,反调试的方法可大致分为以下3类:

PEB->BeingDebugged类,包括调用IsDebuggerPresent()或手动检测BeingDebugged标志。以及由于设置了BeingDebugged标志所引起的连锁反应,包括NtGlobalFlag, Heap Flags等。这种反调试方法可以通过在程序运行前清除标记位来绕过反调试。

函数调用类,包括调用CheckRemoteDebuggerPresent(),NtQueryInformationProcess()函数等。这类方法无法通过清楚标志位来绕过,但可以通过Hook相应函数来绕过。

触发异常类,包括int 3, icebp等,原理是通过触发异常,然后检测是否收到异常来确定是否正在被调试。这类方法可以直接修改调试器的配置,使调试器把相应的异常传递给被调试的程序

DBG_Hooks

在IDAPython中,可以通过idaapi.DBG_Hooks类挂钩调试器的行为,进行一些操作。利用DBG_Hooks可以挂钩程序的开始,退出,加载dll,卸载dll等操作。具体挂钩点可以参考下面的Python脚本,这个脚本取自https://github.com/idapython/src。

#---------------------------------------------------------------------

# Debug notification hook test

#

# This script start the executable and steps through the first five

# instructions. Each instruction is disassembled after execution.

#

# Original Author: Gergely Erdelyi

#

# Maintained By: IDAPython Team

#

#---------------------------------------------------------------------

from idaapi import *

class MyDbgHook(DBG_Hooks):

""" Own debug hook class that implementd the callback functions """

def dbg_process_start(self, pid, tid, ea, name, base, size):

print("Process started, pid=%d tid=%d name=%s" % (pid, tid, name))

def dbg_process_exit(self, pid, tid, ea, code):

print("Process exited pid=%d tid=%d ea=0x%x code=%d" % (pid, tid, ea, code))

def dbg_library_unload(self, pid, tid, ea, info):

print("Library unloaded: pid=%d tid=%d ea=0x%x info=%s" % (pid, tid, ea, info))

return 0

def dbg_process_attach(self, pid, tid, ea, name, base, size):

print("Process attach pid=%d tid=%d ea=0x%x name=%s base=%x size=%x" % (pid, tid, ea, name, base, size))

def dbg_process_detach(self, pid, tid, ea):

print("Process detached, pid=%d tid=%d ea=0x%x" % (pid, tid, ea))

return 0

def dbg_library_load(self, pid, tid, ea, name, base, size):

print "Library loaded: pid=%d tid=%d name=%s base=%x"

最低0.47元/天 解锁文章
weixin_39861734
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Python 处理前端调试(无限debugger)
北辰
12-29 687
问题描述:在访问Web页面时,当按下F12进入浏览器控制台后,浏览器会自动命中debugger断点,并且无限循环,导致无法调试。这是由于前端为了防止其他人分析调试前端,采取了调试措施。 解决方法: ...
python爬虫实战之网站调试专题
Harlan的博客
04-14 695
前言: 今天无意中看到一个网站,也是那种图片站,但是当我要分析的时候发现网站居然有好几处的调试,还是比较好玩的。 进入正题: 网站:https://www.vmgirls.com/ 1.无法右键 当按下f12的时候 没有出现开发者工具,说明有js对这段代码进行操作。 这个时候可以选择点击菜单->更多工具->开发者工具 2.在console中会出现很多log 像下面这样的图 会出现很多。 破解方法: 1)找到那段代码干掉,但...
python写的软件怎么逆向_如何在python中进行向循环?
weixin_39531834的博客
12-08 186
HelloI''m new to python and i can''t figure out how to write a reverse forloop in pythone.g. the python equivalent to the c++ loopfor (i = 10; i >= 0; --i)解决方案Alex Snast a écrit :HelloI''m new to p...
python爬虫爬 css 知乎 专栏_【Python3爬虫】反反爬之解决前端调试问题
weixin_39690391的博客
11-27 150
一、前言在我们爬取某些网站的时候,会想要打开 DevTools 查看元素或者抓包分析,但按下 F12 的时候,却出现了下面这一幕:​------ps:另外很多人在学习Python的过程中,往往因为没有好的教程或者没人指导从而导致自己容易放弃,为此我建了个Python交流.裙 :一久武其而而流一思(数字的谐音)转换下可以找到了,里面有最新Python教程项目可拿,不懂的问题多跟里面的人交流,都会解决...
Python实现正向和向迭代器
晓康的博客
04-29 424
1、如何进行向迭代以及如何实现向迭代? 实际案例: 实现一个连续浮点数发生器FloatRange(和range类似),根据给定范围(start, end)和步进值(step)产生一系列连续浮点数,如迭代FloatRange(3.0, 4.0, 0.2)可产生序列: 正向:3.0 -> 3.2 -> 3.4 -> 3.6 -> 3.8 -> 4.0 向:4...
静态逆向调试工具ida pro版本
06-16
静态逆向调试工具ida pro版本,windows和linux都能用,免费分享
lda.zip_ida python_ida算法 python_lda_pda_lda算法python
09-21
使用Python实现这些算法,可以方便地进行数据预处理、模型训练和预测,并且与其他数据分析工具和库无缝集成。 在压缩包中的"lda.py"文件很可能是实现IDA算法的一个Python脚本。这个脚本可能包含了数据加载、预处理...
编译工具IDA Freeware 7.6以及Qt5 程序初步逆向分析+解析脚本
最新发布
01-09
本文将深入探讨编译工具IDA Freeware 7.6的使用,以及如何对Qt5程序进行初步逆向分析和解析。 IDA Freeware是由Hex-Rays公司提供的一个强大的编译器和动态调试器。这个免费版本虽然功能相对有限,但仍然提供了...
ida_python_scripts:ida python脚本
04-29
ida_python_scripts[IDA_comment][ida_function_rename]
IDA pro逆向工具的使用以及逆向分析程序实例操作
04-18
IDA pro逆向工具的初步入门,此资源是针对IDA pro的功能实现的一些小案例,不仅是代码编写实现也更注重内容上的需求分析和方案设计,所以在学习的过程要结合这些内容一起来实践,并调试对应的代码。
Python-在Docker容器中运行IDAPro汇编以自动化缩放和分发IDAPython脚本的使用
08-10
在Docker容器中运行IDA Pro汇编,以自动化、缩放和分发IDAPython脚本的使用
隐藏调试器的代码
03-04
隐藏调试器的功能代码,解决屏蔽双机调试的驱动代码,使双机调试可以顺利进行。
IDA教程-隐藏IDA调试
04-24
IDA教程-隐藏IDA调试器,教你如何隐藏IDA调试软件
Python-IDAPython实用工具来帮助iBoot64逆向工程
08-10
IDAPython实用工具来帮助iBoot64逆向工程
ida.rar_ida_汇编
09-24
IDA(Interactive Disassembler Pro)是一款强大的静态分析工具,专用于汇编各种处理器架构的目标代码。它不仅能够将机器语言转换为人类可读的汇编代码,还能提供高级的功能,如图形化界面、调试支持、插件扩展...
菜鸟IDA python调试脚本
wruih的博客
08-12 4805
IDA动态调试下断点 还是比较费劲的,写个脚本可能更好一些 import idc import idaapi import struct #idaapi.dbg_write_memory(ea,buf) idaapi.enable_extlang_python(1) md={} add=0 size=0 index=0 cross_refs=0 findname=["M
python3 爬虫篇 调试之无限debugger
qq_41236493的博客
04-25 1192
今后会发布更多爬虫文章,点波关注不迷路哦。 相信很多小伙伴扒某些网站的前端代码,打开控制台要看Network,结果发现他们页面一打开控制台就不断的debugger,完全运行调试。 如下图: 进入调试,自动跳转到循环Debugger.png 接下来分享两种解决方案 方案一 右击debugger行数位置,点击add conditional breakpoint.. ...
IDAPython调试使用集合
keial的博客
12-30 729
IDAPython调试使用集合 Python>addr=0x7886B3FE Python>add_bpt(addr,0,BPT_SOFT) True Python>enable_bpt(addr,True) True Python>enable_bpt(addr,False) True Python>enable_bpt(addr,False) True ...
在 VSCode 中调试 IDAPython 脚本
qq_43547885的博客
01-15 1647
文章目录概述环境配置 Python安装必备的库配置环境变量配置 VSCode配置 IDA使用教程与运行在 IDA 里的 Server 建立连接运行脚本调试 概述 IDA 只给我们提供了一个类似于命令行的窗口来实时编写脚本,这样在编写功能比较复杂的脚本时会特别难受 这篇教程可以帮助你配置一个 IDA 脚本的开发环境,可以使用 VSCode 远程连接 IDA,进行脚本调试 环境 Windows10 Pro 20H2 Python 3.7.9(不太清楚别的会不会有问题,但是版本尽量不要太高,否则会有兼容性
python汇编指令_IDApython 命令
06-01
在使用IDA进行汇编时,可以使用IDApython命令来进行脚本编写和自动化处理。以下是一些常用的IDApython命令: 1. `idaapi.get_func(ea)`:获取指定地址所在的函数对象。 2. `idaapi.get_func_name(ea)`:获取指定地址所在的函数名称。 3. `idaapi.get_func_flags(ea)`:获取指定地址所在的函数标识符。 4. `idaapi.get_segm_by_name(name)`:根据段名称获取段对象。 5. `idaapi.get_reg_name(reg)`:获取指定寄存器名称。 6. `idaapi.get_operand_value(ea, opnum)`:获取指定指令操作数的值。 7. `idaapi.get_operand_type(ea, opnum)`:获取指定指令操作数的类型。 8. `idaapi.get_func_cmt(ea, repeatable)`:获取函数注释。 9. `idaapi.set_func_cmt(ea, cmt, repeatable)`:设置函数注释。 10. `idaapi.get_func_offset(ea)`:获取函数偏移地址。 以上是一些常用的IDApython命令,更多详细的命令可以参考IDA的官方文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值