IDAPython基础教程3

最新推荐文章于 2023-10-17 14:18:48 发布
最新推荐文章于 2023-10-17 14:18:48 发布
阅读量1.3k 收藏 5
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yalecaltech/article/details/104025094
版权

给出的文件名为rabbithole
在这里插入图片描述
首先使用file命令查看一下
在这里插入图片描述
可以看到是64位的可执行文件
接下来我们切换到win,使用IDApro,以此文件为样例,学习IDAPython的用法。
操作数在逆向分析中经常被使用,所以了解所有的操作数对逆向分析非常有帮助。我们可以使用idc.GetOpTye(ea,n)来获取操作数类型,ea是一个地址,n是一个索引,从0开始。操作数一共有八种不同的类型。
O_void:如果指令没有任何操作数,则返回0
在这里插入图片描述
O_reg:如果操作数是寄存器,则返回这种类型,值为1
在这里插入图片描述
O_mem:如果操作数是直接寻址的内存,那么返回该类型,值为2,这种类型对寻找DATA非常有帮助
在这里插入图片描述
O_phrase:如果操作数是利用基址寄存器和变址寄存器的寻址操作的话,返回该类型,值为3
在这里插入图片描述O_displ:如果操作数利用寄存器和位移的寻址操作的话,返回该类型,值为4,位移指的是类似下图中的0x18,这在获取结构体中的某个数据是非常常见的。
在这里插入图片描述
O_imm:如果操作数是一个确定的数值,那么返回该类型,值为5
O_far:这种返回类型在x86,x86_64的逆向中不常见,它用来判断直接访问远端地址的操作数,值为6
O_near:这种返回类型在x86,x86_64的逆向中不常见,它用来判断直接访问近端地址的操作数,值为7
我们可以在IDA中找到对应的类型进行测试
我这里就演示一个,我们把光标定位到pop rbx
在这里插入图片描述然后再输出窗口测试
在这里插入图片描述
可以看到返回是1,对应这条指令我们知道其操作数为寄存器,所以确实应该返回1
接下来我们结合以上所学,来看几个小dmeo
在IDA中我们会看到汇编代码的某些指令不会被识别为偏移量,如下所示
在这里插入图片描述
如果我们右键选中后将其更改数据类型,就会看到字符串的偏移量
比如选中20h,右键-》offset qword_20
结果如下所示
在这里插入图片描述
这样子做一两次也无所谓,不过既然学习了IDAPython我们可以通过脚本将其以offset偏移的形式展现
import idautils
import idaapi
min = MinEA()
max = MaxEA()
for func in idautils.Functions():
flags = idc.GetFunctionFlags(func)
if flags & FUNC_LIB or flags & FUNC_THUNK:
continue
dism_addr = list(idautils.FuncItems(func))
for curr_addr in dism_addr:
if idc.GetOpType(curr_addr,0) == 5 and (min < idc.GetOperandValue(curr_addr,0) < max):
idc.OpOff(curr_addr,0,0)
if idc.GetOpType(curr_addr,1) == 5 and (min < idc.GetOperandValue(curr_addr,1) < max):
idc.OpOff(curr_addr,1,0)
在这里插入图片描述
运行后如图所示
在这里插入图片描述代码解释:
一开始通过MinEA()和MaxEA()获取可执行文件的最大地址和最小地址,我们遍历了所有的函数和指令。对于每条指令检查他的操作数类型是否为o_imm(5),o_imm类型的操作数就是一个确定的数值或者偏移,一旦发现是这种类型的操作数,我们就用idc.GetOperandValue(ea,n)来获取它的值,然后检测一下是否在可执行文件的最大地址和最小地址之间。最后利用idc.OpOff(ea,n,base)来讲操作数转换为一个偏移,该函数的第一个参数为地址,第二个参数为操作数的索引,第三个参数为基地址,在代码中我们将其设为0就可以了

在IDA中,交叉引用是一项非常重要的功能,交叉引用的重要性在于它能够提供某个确定的数据或者某个函数被调用的位置。比如我们要找check_value函数在哪儿被调用,我们手工的话就是定位到check_value,右键->jump to xref to operand可以看到交叉引用
在这里插入图片描述
既然我们现在学了IDAPython,我们就可以使用脚本来完成这项工作。
代码如下
import idautils
checkvalue = idc.LocByName(“check_value”)

for addr in idautils.CodeRefsTo(checkvalue,0):
print hex(addr),idc.GetDisasm(addr)
在这里插入图片描述代码解释:首先使用idc.LocByName(str)来获取check_value的地址,str为函数名称,返回地址为该api的地址。使用idautils.CoreRefsFrom(ea,flow)函数来返回所有调用了check_value的地址,该返回的结果可以通过循环进行迭代,ea是用于查找相应交叉引用的地址,flow是一个布尔值,用于标记是否监视一个正常的代码流。对应于idautils.CoreRefsFrom(ea,flow),还有idautils.CoreRefTo(ea,flow),它可以获取一个确切地址引用了哪些地址的数据。用法都是一样的,不再演示。

Elwood Ying
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
IDAPython手册(中文版)
11-03
IDAPython手册(中文版) 第一次尝试自己翻译,如有翻译错误,再进行修改
IDAPython手册中文翻译
01-03
IDAPython官方手册的中文翻译, IDAPython开发者必备。
IDAPython中文教程手册
10-18
IDAPython中文教程手册,翻译自英文文档,密码:123。
IDAPython基础
08-20
IDAPython学习文档
IDAPython 初学者指南
05-27
IDAPython 初学者指南 IDAPython 初学者指南 IDAPython 初学者指南
IDA python 备忘
weixin_44145820的博客
05-20 1297
Operands(操作数) 获取操作数的助记符我们可以调用 idc.GetOpnd(ea,long n)。 第一个参数是地址,第二个 long n 是操作数索引。第一个操作数是 0 和第二个是 1。 idc.GetOpType(ea,n)得到的操作数的类型。ea 是地址,n 是索引 o_void 如果一个指令没有任何操作数它将返回 0。 o_reg 如果一个操作数是一个普遍的寄存器将返回此类...
Buuctf-Reverse(逆向) [RoarCTF2019]Polyre && SangFor(深育杯)-Reverse(逆向) XOR_Exercise Write up
weixin_50166464的博客
11-30 718
前言:看完这篇需要些耐心,可能会遇到很多报错什么,多查就能解决,题目只是个形式,每题带给我们的是其中的知识点,题目做不出来没关系,学习到平坦化控制流或是能写idapython都是自己的收获。 文章参考: [RoarCTF2019]polyre_m0_46296905的博客-CSDN博客 [RoarCTF2019]Polyre | bypass ollvm - 暖暖草果 - 博客园 https://www.cnblogs.com/Mayflynymph/p/11718845.html#3.%E4%BB
IDAPython基础教程
Yale的博客
01-16 1万+
给出的文件名为rabbithole 首先使用file命令查看一下 可以看到是64位的可执行文件 接下来我们切换到win,使用IDApro载入,以此文件为样例,学习IDAPython的用法。 首先介绍下IDAPython的背景。 IDAPython创建于2004年。这是GergelyErdelyi和Ero Carrera的共同努力。他们的目标是结合强大的python与自动化分析的IDA的类C脚本...
ida使用技巧:ida python
m0_52164435的博客
03-14 2608
一、简介 ida pythonida中一个很强大的功能,早期需要另行下载,后来在6.8版本成为了内置插件,而在7.5版本更新后又对函数的命名进行了规范修整。 ida python官方提供了函数文档:https://www.hex-rays.com/wp-content/static/products/ida/support/idapython_docs/ IDC api函数文档:https://www.hex-rays.com/products/ida/support/idadoc/162.shtml 二
IDA脚本笔记01
kelxLZ的博客
01-09 852
Author:ZERO-A-ONE Date:2019-10-29 0x01 读取和修改数据的函数 01 Byte long Byte(long addr) 从虚拟地址addr处读取一个字节值 02 Word long Word(long addr) 从虚拟地址addr处读取一个字(2字节)值 03 Dword long Dword(long addr) 从虚拟地址addr处读取一个双字(4字节)值 04 PatByte void PatchByte(long addr, long val) 设.
IDAPython基础教程5.pdf
06-11
IDAPython基础教程5 给出的⽂件名为rabbithole ⾸先使⽤file命令查看⼀下 可以看到是64位的可执⾏⽂件 接下来我们切换到win,使⽤IDApro,以此⽂件为样例,学习IDAPython的⽤法。 不是所有时候我们都需要写⼀段代码...
IDA插件Python_editor详细安装教程
weixin_44145820的博客
05-16 2172
最近听说了python_editor这么一个神奇的IDA插件,可以在IDA里编写ida python脚本运行,然而作者的安装流程似乎有点小问题,只好自己研究,最后终于弄好了,记录一下安装的流程 安装过程 首先,把github上的东西下载下来 地址:https://github.com/techbliss/Python_editor 接下来步骤如下: 把这个里面的东西解压到C盘根目录下(其实就是作者配好的PyQt5等等python包,python版本是2.7.13),链接:https://mega.nz/
IDAPython入门基础语法
OrientalGlass的博客
04-24 932
IDAPython拥有强大的功能,在使用IDA分析程序时非常有用,可以简化许多操作例如花指令的特征码匹配修改学习IDAPython需要了解一点Python语言的基本知识以及查询IDAPython文档IDAPython官方文档:直接在搜索框搜索即可匹配相关项。
病毒分析教程第八话--idapython使用
安全杂货铺
12-25 561
idapython使用 IDAPythonIDA的一款强大的插件,通过它可以对病毒代码做一些自动化的操作,常用于汇编码反混淆和解密。接下来我们尝试使用该工具来解密病毒代码。 本次实验的样本为:F834F898969CD65DA702F4B4E3D83DD0,先使用IDA打开它,目光聚焦到上面的导航栏,有一大段绿色的数据,位于0x40C030,直觉告诉我,这是段加密后的可执行文件。 在unk_4...
IDApython 重命名函数
最新发布
qq_36535153的博客
10-17 546
用意是在IDA中 重命名虚函数
IDA Python 使用总结
sky123博客
08-29 3893
运行 IDA 安装目录下的,选择使用的 python 解释器。
idapython自动生成mfc消息结构体
如鹿渴慕泉水的专栏
01-18 349
struct AFX_MSGMAP_ENTRY { UINT nMessage; // windows message UINT nCode; // control code or WM_NOTIFY code UINT nID; // control ID (or 0 for windows messages) UINT nLastID; // used for entries specifying a range of control i
恶意代码常用API混淆方法及处理方式
05-13 1227
很多文章不能更新至CSDN,可以关注我的同名公众号(程序员启航) 1.摘要 我们在分析恶意代码时经常会遇到,静态分析恶意代码时导入表没有任何导入函数的情况,这种情况通常是恶意代码混淆了API,很多恶意代码尝试混淆它们使用的API来对抗静态分析,API被混淆后静态分析几乎无法得到有效的信息,下面我总结了恶意代码经常用到的混淆API的方法,和处理它们的方法 2.恶意代码常用api混淆方法 第一种恶意代码自己创建IAT,自己实现类似于LoadLibrary和GetProcAddress功能的函数.
IDApython插件编写及脚本批量分析教程
热门推荐
y4ung
04-20 1万+
0x00 前言 本文主要介绍了在IDA中编写IDApython插件的框架,还有利用IDApython脚本批量分析二进制文件的方法。 0x01 IDApython插件编写 介绍 在IDA中有很多插件供逆向分析人员使用,插件可以实现对二进制文件的自动化分析。通过插件的使用,可以大大提高分析的效率和准确率。同时,IDA也提供了IDApython的编程接口,让我们可以编写自己的插件脚本,实现自定义的插件功...
ida python
08-15
回答: IDA PythonIDA中一个强大的功能,可以通过编写Python脚本来扩展IDA的功能。安装IDA Python的步骤如下:首先,根据自己的IDA版本和Python版本,下载对应的IDAPython包。然后,将IDAPython解压后的Python文件夹内的所有内容覆盖掉IDA原有的Python文件夹。接下来,将IDAPython解压后的Plugins文件夹中的python.plw和python.p64拷贝到IDA原有的Plugins文件夹中。最后,将IDAPython解压后的python.cfg文件拷贝到IDA原有的cfg文件夹中。如果python2.7安装包中没有python27.dll,可以将python26.dll重命名为python27.dll,并确保python的系统位数与IDAPython的系统位数相同。安装完成后,可以通过编写IDA Python脚本来扩展IDA的功能。IDA Python文档提供了相关函数的详细说明,可以在官方网站上获取相关文档。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [IDA 配置python环境,可执行python脚本](https://blog.csdn.net/ayxh0058/article/details/101094191)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [ida使用技巧:ida python](https://blog.csdn.net/m0_52164435/article/details/124878537)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值