170514 逆向-IDC脚本一例

最新推荐文章于 2024-07-14 10:18:02 发布
最新推荐文章于 2024-07-14 10:18:02 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/72123886
版权
本文介绍了如何使用IDC脚本进行加密代码的解密,通过分析特定代码段,展示了利用IDC模拟解密过程。解密方法涉及Self Modifying Code(SMC)技术,通过异或运算还原加密数据。在IDA环境中,使用IDC脚本执行解密并通知IDA重新分析解密后的代码。
摘要由CSDN通过智能技术生成

1625-5 王子昂 总结《2017年5月14日》 【连续第225天总结】

A. 加密与解密 IDC脚本的使用 100%

B. IDC可以用来通过处理代码提取或处理信息

一些特殊反汇编任务需要IDC的协助。

比如对代码段加密的程序,可以先用IDC先写一段解密的代码,解密后再进行反汇编

eg:

push ebp

mov ebp,esp

sub esp,8

call 401080

call 401060

xor eax,eax

mov esp,ebp

pop ebp

retn 10h

分析401060处的子程序发现没有意义

再分析401080,发现可以解密401060处的代码

mov eax,offset loc_#1060

mov bl,[eax]

xor bl, 1

mov [eax], bl

inc eax

cmp eax,00401074

jg short locret_401096

jmp short loc_401085

retn

这样的方法叫做SMC(Self Modifying Code)技术,即自己修改自己的代码。只有在程序运行时,才会由程序在某处运行一段还原代码来解密这段加密数据,再执行。

本段解密方法就是把每个数据与1做xor(异或)运算

使用IDC脚本的模拟解密代码为:

#include <idc.idc>

//from:解密代码起始地址,size:代码长度,key:此处值为1

static decrypc(from,size,key){

auto i,x;

for(i=0;i<size;i=i+1){

x=Byte(from);

x=(x^key);

PatchByte(from,x);

from=from+1;

}

}

单击菜单可以将这段代码载入IDA中,再打开IDC命令执行窗口,以十六进制形式输入命令decrypte(0x00401060,0x15,0x1); 即可

最后记得通知IDA重新分析这段代码

C. 明日计划

加密与解密 IDA

PYQT

奈沙夜影
关注
专栏目录
IDA Pro 脚本系统(idc idaPython)帮助文档索引
lacoucou的专栏
02-22 4719
1.0 文档索引 帮助页面 https://www.hex-rays.com/products/ida/support/freefiles/IDA_Pro_Shortcuts.pdf IDC 脚本 https://www.hex-rays.com/products/ida/support/idadoc/162.shtml IDA Python https://www.hex-ra...
180822 逆向-网鼎杯(2-1)
whklhhhh的博客
08-22 2232
Reverse martricks main函数中接收输入以后将input和一个字符串异或一下存入savedregs中 这里7*(i_23/7)+i_23%7这种写法实际上还是i_23,只不过表示成了第x行y列的形式(7个元素/行) 两个数组分别存放在了savedregs-192和savedregs-128中 下面两层嵌套循环,中间进行了一个累加的运算 关键是箭头所指向的积的累...
一次可惜的idc脚本
qq_41071646的博客
01-12 318
先提前说好   我这次脚本并没有解决问题  但是了解了很多 关于ida脚本 的东西 还是打算  聊一下的 ida脚本 其实就是 反混淆的 然后比如代码段异或什么的  也可以用ida 脚本解决 终于知道为什么说 ida 是神器了   然后这次 这个脚本虽然写的很垃圾  大佬们 凑合这看吧   这次主要是  有很多  跳转  我发现 这些跳转 都是  有一个dw  然后跳转 都是 近跳转...
IDC脚本
最新发布
SXXYNHHXX的博客
07-14 717
脚本命令打开处(上面图片)代码展示(上面)右键可以查看其功能运行步骤及输出位置IDC是一种类型松散的语言,这表示它的变量木有明确的类型,IDC使用3种数据类型;整数(ida文档使用类型名称long),字符串浮点值,其中绝大部分的操作针对的是整数和字符串。字符串被视为IDC中的本地数据类型,因此,你不需要跟踪存储一个字符串所需要的空间,或者一个字符串是否使用零终止符。在使用任何变量之前,必修先声明这个变量。
idc脚本终于完成了
weixin_34248023的博客
03-22 232
IDC脚本终于基本上写完了。完成后的代码总计700行左右。目前测试结果正常,不过肯定还得继续完善。因为还有一些问题需要调整,修改写的目的是因为经常要测IDC,但是又没那么多时间,一项项去测试。目前脚本实现功能:定时ping,traceroute ,自动下载统计,全部脚本一键安装。IP库赏需要完善。目前地址不到200个。编写心得: 1、 统一编码。...
ida-IDC脚本剖析
qq_43390703的博客
10-06 4263
IDC IDA中支持进行脚本运行,可以通过编写脚本通过脚本对文件进行处理,甚至可以通过编写IDC脚本编写自动化漏洞审计的脚本IDC是ida中支持的一门与C语言类似的语言,但是它是解释型的,并不是编译型的,于此同时IDC还融合了一些python中的元素以方便一些内容的处理。 执行脚本 执行IDC脚本一共有三种方式 idc命令行(菜单栏file->idc command) 脚本文件 (菜单栏file->script file) python命令行(菜单栏file->python comm
IDC脚本文件运行
mandiheyanyu的博客
07-26 741
关于IDC的书写教程一抓一大把,我手里是有现成的代码,我粗略的阅读了一下想直接使用,差点卡在运行上。打开一个正常的idb文件,点击File→Scriptcommand,就会出现这个界面。IDC是IDA工具中使用的脚本语言,细节类似于c但是存在差异。IDA脚本一页纸(IDC+IDAPython)-示例版。点击Import导入写好的idc文件,点击Run运行。ida-IDC脚本剖析。...
171210 逆向-Take the maze
whklhhhh的博客
12-12 587
1625-5 王子昂 总结《2017年12月10日》 【连续第436天总结】 A. CTF训练平台bugku-Take the maze B. 首先运行,提示输入key 查壳显示无,拖入IDA 根据字符串定位到main函数 这里可以看出基本格式:24位十六机制另外在字符串里可以看到很多print ticket的字样 (这个操作有点像今年国赛的“欢迎来到加基森”呢,吓了我一跳
180823 逆向-网鼎杯(2-2)
whklhhhh的博客
08-23 1021
game IDA打开main函数啥有用的信息都看不到 运行一下发现是个八数码问题,要求解10000000次 根据提示符去IDA的strings窗口找可以发现内存中存在这部分数据,但是没有交叉引用 说明该字符串在汇编层面是没有引用的 一般来说,用户添加的信息会放在一起,所以可以在提示字符串上下翻一翻,果然找到一点有意思的东西 这个\x1BLuaQ很引入注目,大概率就是lua逆向了...
181008 逆向-inctf(load3r、Decoy)
whklhhhh的博客
10-09 758
题目提示可知bin文件为bootloader 将其用IDA打开,选择16-bit模式加载,即可看到反汇编出的程序 由于IDA不支持16-bit的F5,所以只能读汇编 不过由于bootloader对长度有限制,必须为512字节以内,因此相对不是很复杂 多提一句,按空格可以转为graph模式,这个状态下可以看到代码块之间的跳转关系,非常方便 以 seg000:000B ...
红队专题-REVERSE汇编/二进制PWN/逆向/反编译
aming小老弟
10-10 1257
ROP(Return-Oriented Programming)链是一种计算机安全领域中的攻击技术,用于绕过内存执行保护措施,实现利用漏洞进行代码注入和控制流劫持。由一系列已存在于程序内存中的代码片段(称为gadget)组成的,这些片段通常是程序的合法指令序列。通过将这些gadget按照特定的顺序串联起来,攻击者可以构造出一条可执行的ROP链,用于实现特定的攻击目的。ROP链的基本原理依赖于已存在的代码片段,而不是插入自定义的恶意代码。这样可以避免执行数据区域中的恶意代码,
几个常用idc脚本
10-25
在这里汇总了几个我工作中常用idc脚本,大家一起共同进步
jni.h->ida idc脚本
05-19
可以让大家在逆向分析调用的jni函数时,正常的显示调用的函数名称,不需要去按照数字,查找对应的函数,也不用在无休止的添加注释
每天一个IDA小技巧(十一)IDA脚本基础和IDC1
08-03
执行脚本的常用方法三个菜单选项 和 一个命令行=. IDA工作区最下方输出窗口下面有一个命令行输入框数据类型学习一门编程语言,首先学习基本的数据类型,满足基本的
3.1 IDA Pro编写IDC脚本入门
CSDN
11-11 5279
IDA Pro内置的IDC脚本语言是一种灵活的、C语言风格的脚本语言,旨在帮助逆向工程师更轻松地进行反汇编和静态分析。IDC脚本语言支持变量、表达式、循环、分支、函数等C语言中的常见语法结构,并且还提供了许多特定于反汇编和静态分析的函数和操作符。由于其灵活性和可扩展性,许多逆向工程师都喜欢使用IDC脚本语言来自动化反汇编和静态分析过程,以提高效率和准确性。
IDC脚本介绍
CharlesGodX的博客
12-06 5173
IDC语言为IDA的一种脚本引擎,它之所以叫做IDC是因为它的语法与C语言很相似,这里我参考《IDA Pro权威指南》介绍一些IDC常用的基本语法。 1.IDC的变量没有明确的类型,IDC关键字auto用于引入一个局部变量的声明,用extern关键字引入全局变量的声明,不能在声明全局变量时为其提供初始值。 Example1: auto addr, reg, val; //没有初始化声...
使用androguard中的androlyze.py进行android逆向工程分析
wtq1993的博客
02-26 1854
Androguard 工具包中的androlyze.py 与其它的py文件不同,它不是单一功能的脚本,而是一个强大的静态分析工具,它提供的一个独立的Shell环境来辅助分析人员执行分析 工作。 在终端提示符下执行“./androlyze.py -s ”会进入 androlyze 的Shell交互环境,分析人员可以在其中执行不同的命令,来满足不同情况下的分析需求。androlyze.py 通过访问
IDA的脚本IDC的一个简单使用
weixin_34004750的博客
12-12 561
目的:主要是想学习一下IDA的IDC脚本的使用。这里做了一个小的测试。 这里使用的是VS2015Community来生成文件的。 一、编写测试程序: 这里先生成我们的目标数据。 然后编写测试程序。得到下面的代码。 #include <stdio.h> #include <string.h> //the xor key is 'B' ,异或的ke...
IDA脚本一页纸(IDC+IDAPython)-示例版
可乐松子的博客
06-01 3777
IDA的脚本主要有2种语法,一种类似于C语言(高版本更接近C++)的,一种支持python的 运行结果,符合预期 脚本2:枚举指令 运行结果,符合预期交叉引用实际上是有2个方向的:下面是交叉引用常使用的函数或者宏在的节选片段 test 1:向上枚举调用方 运行结果:明白了上面的示例,这个示例也很容易,就是更改一下函数 运行结果:下面是一个典型的文件的格式,《IDA Pro权威指南第二版》的13章 扩展IDA的知识有详细介绍每个函数的信息会存储在一行,基本格式: + + + + ,这些如果你看过PE
PyEmu:多功能IA-32脚本模拟器与逆向工程
PyEmu作为一个脚本化的模拟器,可能允许用户自定义行为,使其在逆向工程过程中更加灵活和适应性更强。 通过PyEmu,研究人员和安全专家能够深入理解软件的底层操作,检测潜在的安全问题,或者分析未知代码的行为。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值