IDA脚本一页纸(IDC+IDAPython)-示例版

已于 2023-06-05 11:15:31 修改
阅读量3.5k 收藏 10
点赞数 2
分类专栏: 调试和性能工具 文章标签: c++ 开发语言 安全 windows python
于 2022-06-01 01:11:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44531336/article/details/125076279
版权

文章目录

IDA的脚本主要有2种语法,一种类似于C语言(高版本更接近C++)的IDC,一种支持python的IDAPython

疑问:《IDA Pro权威指南第二版》的15.5章 编写IDA脚本,已经有详细的介绍了,为什么还要写下面的内容?copy不浪费时间吗?

说明:因为代码这个东西,看着会了和在自己的环境上运行符合预期是两回事,下面是自己以前通过《IDA Pro权威指南》学习IDA脚本的笔记(加入了自己学习时的记录),方便自己查看

提示:自己手动敲和调试一遍,最多花费半天时间,IDA的脚本就入门了,更加复杂的就看自己的需求了

问题:学IDA脚本有什么用?复杂的不说,看完下面最起码了解了IDA的很多实现原理,比如交叉引用的原理

重要的事情说3遍:

笔记更新换位置了!
笔记更新换位置了!
笔记更新换位置了!

新位置:我写的新系列,刚开始写没几天,后续文章主要在新地址更新,欢迎支持;写作不易,且看且珍惜(点击跳转,欢迎收藏

1.IDC示例

脚本1:枚举函数

#include <idc.idc>
static main() {
	Message("[枚举函数示例]\n");
	auto addr, end, args, locals, frame, firstArg, name, ret;
	addr = 0;
	for (addr = NextFunction(addr); addr != BADADDR; addr = NextFunction(addr)) {
		name = Name(addr);
		end = GetFunctionAttr(addr, FUNCATTR_END);
		locals = GetFunctionAttr(addr, FUNCATTR_FRSIZE);
		frame = GetFrame(addr);							//获取每个函数的栈帧的句柄
		ret = GetMemberOffset(frame , " r");			//栈中保存的返回地址的偏移量
		if (ret == -1) continue;
		firstArg = ret + 4;                             //第一个参数在stack中,是返回值所在位置+的位置
		args = GetStrucSize(frame) - firstArg;			//函数GetStrucSize确定栈帧的大小
		Message("Function: %s, start at %x, ends at %x\n", name, addr, end);
		Message("	Local variable area is %d bytes\n", locals);
		Message("	Arguments occupy %d bytes (%d args)\n", args, args /4);
	}
}

运行结果,符合预期

[枚举函数示例]
Function: start, start at 401000, ends at 401031
	Local variable area is 0 bytes
	Arguments occupy 0 bytes (0 args)
Function: sub_401031, start at 401031, ends at 401125
	Local variable area is 80 bytes
	Arguments occupy 4 bytes (1 args)
Function: sub_401125, start at 401125, ends at 401390
	Local variable area is 0 bytes
	Arguments occupy 16 bytes (4 args)

脚本2:枚举指令

#include <idc.idc>
static main() {
	Message("[枚举指令示例:计算光标当前所在位置的函数所包含的指令的数量]\n");
	auto func, end, count, inst;
	func = GetFunctionAttr(ScreenEA(), FUNCATTR_START);//确定光标所在位置的函数的起始地址
	if (func != -1) {
		end = GetFunctionAttr(func, FUNCATTR_END);
		count = 0;
		inst = func;
		while (inst < end) {
			count++;
			inst = FindCode(inst, SEARCH_DOWN | SEARCH_NEXT); //遍历每条指令的交叉引用,可解决非相邻函数
		}
		Warning("%s contains %d instructions\n", Name(func), count);
	}
	else {
		Warning("No function found at %x\n", ScreenEA());
	}
}

运行结果,符合预期

在这里插入图片描述

脚本3:枚举交叉引用

交叉引用实际上是有2个方向的:

  • 向下:找到被当前位置调用的
  • 向上:找到当前位置的调用方

下面是交叉引用常使用的函数或者宏在idc.idc的节选片段

//常用函数和宏汇总:
#define Rfirst(From)                     get_first_cref_from(From)
#define RfirstB(To)                      get_first_cref_to(To)
#define Rnext(From, current)             get_next_cref_from(From, current)
#define RnextB(To, current)              get_next_cref_to(To, current)
// Get first code xref to 'to'
long get_first_cref_to(long to);
// Get next code xref to 'to'
long get_next_cref_to(long to, long current);

/* 1.to 相关函数 */
long RfirstB(long to)				//返回转交控制权到给定地址的第一个位置
long RnextB(long to, long current);	//如果 current 已经在前一次调用 RfirstB 或 RnextB时返回,
									//则返回下一个转交控制权到给定地址(to)的位置

/* 2.from 相关函数 */
//RfirstB和RnextB去掉B的两个函数,用法相同,不介绍了

/* 3.交叉引用类型 */
#define XrefType()                       get_xref_type()
// returns type of the last xref obtained by get_first_.../get_next_... functions. 
// Return values are fl_... or dr_...
long get_xref_type(void);		//返回一个常量,说明某个交叉引用查询函数(如 Rfirst)返回的最后
								//一个交叉引用的类型
//类型说明:
#define fl_CF   16              // Call Far
#define fl_CN   17              // Call Near
#define fl_JF   18              // jumpto Far
#define fl_JN   19              // jumpto Near
#define fl_F    21              // Ordinary flow

test 1:向上枚举调用方

#include <idc.idc>
static list_callers(bad_func) {
    Message("[枚举交叉引用:枚举一个函数的调用方]\n");
    auto func, addr, xref, source;
    func = LocByName(bad_func); //根据函数名称,查找函数的起始地址
    if (func == BADADDR) {
        Warning("Sorry, %s not found in database", bad_func);
    } else {
        for (addr = RfirstB(func); addr != BADADDR; addr = RnextB(func, addr)) {
            xref = XrefType();						//获取交叉引用的类型
            if (xref == fl_CN || xref == fl_CF) {	//调用类型
                source = GetFunctionName(addr);
                Message("%s is called from 0x%x in %s\n", bad_func, addr, source);
            }
        }
    }
}
static main() {
	list_callers("ExitProcess");
	list_callers("MessageBoxA");
}

运行结果:

在这里插入图片描述

test 2:向下找到被当前函数调用的

明白了上面的示例,这个示例也很容易,就是更改一下RfirstB函数

#include <idc.idc>
static main() {
    Message("[枚举交叉引用:当前光标所在函数调用的每个函数]\n");
    auto func, end, target, inst, name, flags, xref;
	flags = SEARCH_DOWN | SEARCH_NEXT;
	func = GetFunctionAttr(ScreenEA(), FUNCATTR_START);
    if (func != -1) {
		name = Name(func);
		end = GetFunctionAttr(func, FUNCATTR_END);
		for (inst = func; inst < end; inst = FindCode(inst, flags)) {
			for (target = Rfirst(inst); target != BADADDR; target = Rnext(inst, target)) {
				xref = XrefType();						//获取交叉引用的类型
				if (xref == fl_CN || xref == fl_CF) {	//调用类型
					Message("[%s] calls %s from 0x%x\n", name, Name(target), inst);
				}
			}
		}
	}
	else {
		Warning("No function found at location %x", ScreenEA());	
	}
}

运行结果:

在这里插入图片描述

脚本4:枚举导出函数

下面是一个典型的.idt文件的格式,《IDA Pro权威指南第二版》的13章 扩展IDA的知识有详细介绍

在这里插入图片描述

每个函数的信息会存储在一行,基本格式:序号ord + 空格 + Name=函数 + Pascal + Comment,这些如果你看过PE文件的输入表和导出表,就不会陌生了,简单说明如下:

  • 序号ord:等于0,有特殊用途,此时Name用来指定当前的.idt文件描述的库的名称
  • Pascal:标识函数是否使用stdcall调用约定(有这个记录显示使用的是stdcall),并指出该函数在返回时共栈中删除的字节个数
  • comment:注释,非必须

编写idsutils提供的库解析器,利用IDA的函数分析功能生成更详细的.idt文件

下面脚本在IDA中打开一个共享库后生成一个.idt文件

//生成.idt文件的脚本
#include <idc.idc>
static main() {
    Message("[枚举导出函数]\n");
    auto entryPoints, i, ord, addr, name, purged, file, fd;
    file = AskFile(1, "*.idt", "Select IDT save file");
    fd = fopen(file, "w");
    entryPoints = GetEntryPointQty();//返回库导出的符号的数量
    fprintf(fd, "ALIGNMENT 4\n");
    fprintf(fd, "0 Name=%s\n", GetInputFile());//GetInputFile()返回加载到IDA中的文件的名称
    for (i = 0; i < entryPoints; i++) {
        ord = GetEntryOrdinal(i);   //返回导出表中函数的序号
        if (ord == 0) continue;
        addr = GetEntryPoint(ord);  //返回与一个导出函数关联的地址
        if (addr == ord) {
            continue;               //entry point has no ordinal
        }
        name = Name(addr);
        purged = GetFunctionAttr(addr, FUNCATTR_ARGSIZE);
        if (purged > 0) {
            fprintf(fd, "[%3d] 0x%x Name=%s Pascal=%d\n", ord, addr, name, purged);
        }
        else {
            fprintf(fd, "[%3d] 0x%x Name=%s\n", ord, addr, name);
        }
    }
}

操作步骤示例如下:

  • 1.IDA打开微信的核心dll(WeChatWin.dll,微信外层exe只是一个简单的壳,真正功能是在这个dll实现的),查看一下导入表(最后生成结果来这里对比一下,看看是否生成的结果符合预期)

在这里插入图片描述

  • 2.IDA执行脚本(先选择一个要保存的结果的.idt文件,再运行脚本),最后查看文件,有下面内容:
ALIGNMENT 4
0 Name=WeChatWin.dll
[  1] 0x1222ea70 Name=?$TSS0@?1??create@?$StaticObject@UPolymorphicCasters...
[  2] 0x100e6940 Name=??0IChannelLogWriter@@QAE@ABV0@@Z Pascal=4
[  3] 0x100e6940 Name=??0IChannelLogWriter@@QAE@ABV0@@Z Pascal=4
[  4] 0x100e6930 Name=??0IChannelLogWriter@@QAE@XZ
[  5] 0x100908b0 Name=??4ILogWriter@@QAEAAV0@ABV0@@Z Pascal=4
[  6] 0x100908b0 Name=??4ILogWriter@@QAEAAV0@ABV0@@Z Pascal=4
[  7] 0x100908b0 Name=??4ILogWriter@@QAEAAV0@ABV0@@Z Pascal=4
[  8] 0x100908b0 Name=??4ILogWriter@@QAEAAV0@ABV0@@Z Pascal=4
[  9] 0x100908b0 Name=??4ILogWriter@@QAEAAV0@ABV0@@Z Pascal=4
[ 10] 0x11d9ce34 Name=??_7IChannelLogWriter@@6B@

可以看到,我们可以按照自己的格式要求输出不同的内容

脚本5:查找和标记函数参数

正常函数参数都是通过压栈push指令传递的,但是gcc的3.4版本以后直接使用mov语句将参数压入栈中,这导致IDA识别可能异常

正常push传递参数示例:

在这里插入图片描述

mov传递参数示例:

在这里插入图片描述

可以使用下面的脚本自动识别函数调用,设置参数的指令

//参数自动识别
//原理:对于每一条使用 esp 作为基址寄存器向内存位置写入数据的指令,该脚本确定上述内存位置在栈中的深度,
//     并添加一条注释,指出被压入的是哪一个参数
#include <idc.idc>
static main() {
    //局限:脚本只针对基于EBP的帧
    Message("[自动标记参数]\n");
    auto addr, op, end, idx;
    auto func_flags, type, val, search;
    search = SEARCH_DOWN | SEARCH_NEXT;
    addr = GetFunctionAttr(ScreenEA(), FUNCATTR_START);
    func_flags = GetFunctionFlags(addr);
    if (func_flags & FUNC_FRAME) {  //Is this an ebp-based frame?
        end = GetFunctionAttr(addr, FUNCATTR_END);
        for(; addr < end && addr != BADADDR; addr = FindCode(addr, search)) {
            type = GetOpType(addr, 0);
            if (type == 3) {        //Is this a register indirect operand?
                if (GetOperandValue(addr, 0) == 4) {        //Is the register esp?
                    MakeComm(addr, "arg_0");                //[esp] equal to arg_0
                }
            }
            else if (type == 4) {   //Is this a register + displacement operand?
                idx = strstr(GetOpnd(addr, 0), "[esp");     //Is the register esp?
                if (idx != -1) {
                    val = GetOperandValue(addr, 0);         //Get the displacement
                    MakeComm(addr, form("arg_%d", val));    //add a comment
                }
            }
        }
    }
}

期望效果:

在这里插入图片描述

说明:手里没有现成的案例进行测试,就先不测了,记录一下这个功能

2.IDAPython示例

学习前可以快速参考GitHub - yanxxd/IDA: idc脚本, IDAPython脚本, ida插件等.

IDAPython官方函数文档: IDAPython官方文档函数查询

IDC函数官方文档查询: IDC函数

IDA版本与版本之间的差异化函数查询: IDA版本函数差异化

IDAPython是一个插件,在IDA中集成了python解释器;IDAPython可以访问python的数据处理功能和所有的python模块

IDAPython通过3个python模块将python代码注入到IDA中

  • idaapi模块:负责访问核心的IDA API
  • idc模块:负责提供IDC中多有函数功能,这个模块基本上是IDC API的写照
  • idautils模块:提供大量使用函数,许多函数可生成各种数据库相关对象的python列表

注意:所有IDAPython脚本会自动导入idcidautils模块,如果需要idaapi模块,需要自己手动导入

脚本1:枚举函数

脚本就是将IDC语法改成python,没啥难度;主要是会利用IDAPython官方函数文档: IDAPython官方文档函数查询,查找对应函数

funcs = Functions()
for addr in funcs:
    name = get_func_name(addr)
    end = find_func_end(addr)
    locals = get_frame_lvar_size(addr)
    args = get_frame_args_size(addr)
    print("Function: %s, start at %x, ends at %x" % (name, addr, end))
    print("   Local variable area is %d bytes" % locals)
    print("   Arguments occupy %d bytes (%d args)\n" % (args, args / 4))

提示:上面IDC写的几个示例都可以转成IDAPython的,都是IDC翻译成python的体力活,不写了,累

3.参考

  • 1.《IDA Pro权威指南第二版》的15.5章 编写IDA脚本

  • 2.《IDA Pro权威指南第二版》的13章 扩展IDA的知识

磨刀砍柴Debug
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
每天一个IDA小技巧(十一)IDA脚本基础和IDC1
08-03
IDA脚本引擎支持两种语言IDCIDA Control)和IDAPythonIDCIDA自带的原生脚本语言,它的语法与C语言类似,而IDAPython则是通过Python接口与IDA交互,提供了更高级的功能和更强大的编程能力。 执行IDA脚本...
Sark:轻松实现IDAPython
04-28
IDA插件和IDAPython脚本库。 有关文档,请参见 安装(Python 3和IDA 7.4) 对于最新本(IDA7.4和Python3): pip3 install -U git+https://github.com/tmr232/Sark.git#egg=Sark 或从PyPI: pip3 install ...
ida脚本自动分析vmcs
如鹿渴慕泉水的专栏
12-20 482
ida脚本自动分析vmcs
3.1 IDA Pro编写IDC脚本入门
CSDN
11-11 5196
IDA Pro内置的IDC脚本语言是一种灵活的、C语言风格的脚本语言,旨在帮助逆向工程师更轻松地进行反汇编和静态分析。IDC脚本语言支持变量、表达式、循环、分支、函数等C语言中的常见语法结构,并且还提供了许多特定于反汇编和静态分析的函数和操作符。由于其灵活性和可扩展性,许多逆向工程师都喜欢使用IDC脚本语言来自动化反汇编和静态分析过程,以提高效率和准确性。
2024年最全IDA Python 使用总结_idapython(1)
最新发布
mxzsybkj的博客
05-01 83
不知道你们用的什么环境,我一般都是用的Python3.6环境和pycharm解释器,没有软件,或者没有资料,没人解答问题,都可以免费领取(包括今天的代码),过几天我还会做个视频教程出来,有需要也可以领取~给大家准备的学习资料包括但不限于:Python 环境、pycharm编辑器/永久激活/翻译插件python 零基础视频教程Python 界面开发实战教程Python 爬虫实战教程Python 数据分析实战教程python 游戏开发实战教程Python 电子书100本。
IDAPython基础教程5
Yale的博客
01-17 1202
给出的文件名为rabbithole 首先使用file命令查看一下 可以看到是64位的可执行文件 接下来我们切换到win,使用IDApro,以此文件为样例,学习IDAPython的用法。 不是所有时候我们都需要写一段代码来实现自动化的代码或者数据的查找,在有些情况下我们已经知道了目标代码或数据的位置,我们仅仅获取指定区域的代码,这时候可以使用idc.SelStart()和idc.SelEnd()...
IDA逆向笔记-使用脚本代码获取exe里的所有函数信息
qq_20031585的博客
04-09 2751
IDA软件中,写一个IDC脚本(类C语言),历遍一个exe文件里所有的函数,及函数内变量空间地址区域,参数个数等信息打印出来。
IDAPython函数入门
SXXYNHHXX的博客
12-30 492
当前地址获取使用:idc.here()函数,或者 idc.screen_ea()函数。1.1 IDA有三个比较重要的库:IDC,idautils,idaapi.当前选择地址的开始:idc.read_selection_start()当前选择地址的结束:idc.read_selection_end()最小地址可以使用:ida_ida.inf_get_min_ea()最大地址可以使用:ida_ida.inf_get_max_ea()如果判断地址是否存在,可以使用:idaapi.BADADDR。
IDAPython类库---idautils.py的源码
Fly20141201. 的专栏
03-20 2571
#--------------------------------------------------------------------- # IDAPython - Python plugin for Interactive Disassembler # # Copyright (c) 2004-2010 Gergely Erdelyi # # All rights reserved. #
python编写第一个IDA插件的实例
12-25
与编写IDC脚本相比,python显得更为轻巧和强大,IDAPython作为IDA的一个插件,具有IDA SDK的大部分功能,能够帮助我们编写实现IDC脚本语言所有功能的python脚本。 本文将以一个简单的例子开始展示如何使用python编写...
ida脚本解析器,用来分析ida脚本
07-27
本文将深入探讨IDA脚本解析器及其在分析IDA脚本中的应用。 IDA支持多种脚本语言,包括Python、TCL和IDCIDA's Domain Specific Language)。这些脚本可以用于自动识别函数、创建结构、追踪调用图、修改数据库...
IDAPython手册(中文)
11-03
IDAPython手册(中文) 第一次尝试自己翻译,如有翻译错误,再进行修改
ida_python_scripts:ida python脚本
04-29
ida_python_scripts [IDA_comment] [ida_function_rename]
IDAPython文档
05-23
IDAPython中文手册,有各种API使用例子,便于查阅也便于新手上路。
IDA Python
01-20
详细阐述了IDA Python使用细节,介绍了IDA Python的调用惯例,基本类和常用类的使用方法。
idapyscripts:我的IDAPython脚本的集合
05-09
idapyscripts 我的IDAPython脚本的集合 数据外部参照计数器(dataxrefcounter.py)-一个小的IDAPython插件,它枚举特定段中的所有x-引用,并计算使用频率。 该插件在QtTableWidget中显示数据,并允许用户过滤和排序引用。 您也可以将数据导出到CSV文件。 当对大型可执行文件(游戏)进行反向工程时,此插件特别有用。 在下面的视频中,我将在暗黑破坏神3(补丁2.3)的IDA数据库上演示该插件。 第二个被引用最多的数据偏移量是ObjectManager,它包含许多有趣的游戏数据值和指向其他结构的指针。 或单击下面的图像。
IDA-Finder:一个脚本,它将遍历 IDA 中所有客户端标记的函数,并尝试找到唯一的字节序列
06-15
一个脚本将循环遍历 IDA 中所有客户端标记的函数,并尝试找到唯一的字节序列 然后它会创建一个 .idc 脚本文件,该文件可用于在您的输入文件的未来本中查找函数 目前这只适用于 PPC,但可以通过修改 isOPStatic 中...
ida6.8如何完美显示中文
yellow的博客
05-08 8308
通过ida的strings窗口查找字符串内容来定位程序关键位置,这种方法很高效。但对于中文字符串string窗口显示如下: 中文是问号显示,程序中的中文字符串少了还行,多了就要一个一个点进去看,很不方便。 在网上查了显示中文的方法:修改ida配置文件+修改默认编码为utf-8,但依旧解决不了本质问题。 后来发现一种方法完美解决: 1:增加GBK编码 Options--->ASCI...
IDA脚本IDC的一个简单使用
weixin_34004750的博客
12-12 551
目的:主要是想学习一下IDAIDC脚本的使用。这里做了一个小的测试。 这里使用的是VS2015Community来生成文件的。 一、编写测试程序: 这里先生成我们的目标数据。 然后编写测试程序。得到下面的代码。 #include <stdio.h> #include <string.h> //the xor key is 'B' ,异或的ke...
能给我一个idapython的反混淆脚本例子吗
04-22
当然可以!以下是一个简单的idapython反混淆脚本的例子: ``` import idautils import idc def deobfuscate(): for func in idautils.Functions(): # 获取函数名 func_name = idc.GetFunctionName(func) # 检查函数名是否带有混淆前缀 if func_name.startswith("obf_"): # 去掉前缀 new_name = func_name[4:] idc.MakeName(func, new_name) print("Renamed function %s to %s" % (func_name, new_name)) deobfuscate() ``` 这个脚本会遍历IDA中的所有函数,如果函数名以"obf_"开头,就去掉这个前缀,然后给函数重命名。这个脚本非常简单,但是能给你一个基本的思路,来编写自己的反混淆脚本

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值