IDAPython基础教程4

最新推荐文章于 2024-05-01 18:58:51 发布
最新推荐文章于 2024-05-01 18:58:51 发布
阅读量884 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yalecaltech/article/details/104025115
版权

给出的文件名为rabbithole
在这里插入图片描述
首先使用file命令查看一下
在这里插入图片描述
可以看到是64位的可执行文件
接下来我们切换到win,使用IDApro,以此文件为样例,学习IDAPython的用法。
通过前面的学习我们已经能够通过遍历所有已知的函数及其指令来达到一种基本的搜索效果,这当然很有用,不过有时候我们需要搜索一些特定的字节,比如0x48 0xff 0xc2,这3个字节代表的汇编代码为inc rdx
在这里插入图片描述
我们可以选中该指令后右键-》synchronized with->hex view 1,可以看到对应的字节
在这里插入图片描述
我们可以使用idc.FindBinary(ea,flag,searcstr,radix=16)来进行字节或者二进制的搜索,flag代表搜索方向或条件,常用的包括:
SEARCH_UP,SEARCH_DOWN 用来指明搜索方向
SEARCH_NEXT 用来获取下一个已经找到的对象
SEARCH_CASE用来指明是否区分大小写
SEARCH_NOSHOW 用来指明是否显示搜索的进度
SEARCH_UNICODE用于将所有搜索字符串视为Unicode
Searchstr是我们要查找的形态,radix参数在写处理器模块时使用,一般用不到,留空即可
接下来看看如何搜索前面提到的那几个字节,其实在这里我用两个字节就可以精确查找了
import idautils
pattern =‘48 ff’
addr = MinEA()
for x in range(0,5):
addr = idc.FindBinary(addr,SEARCH_DOWN,pattern)
if addr != idc.BADADDR:
print hex(addr),idc.GetDisasm(addr)
在这里插入图片描述首先是将pattern置为对应的字节,然后使用MinEA()获取可执行文件的最开始的地址,然后将idc.FindBinary的返回结果设置为addr变量。拿到结果后,我们首先将其与idc.BADADDR进行比较,然后打印出该地址和该地址的反汇编结果。

通过字节序列来搜索确实很有用,可是有时候我们要查找“check_value”这种字符串呢?我们可以使用FindText(ea,flag,y,x,searcher),ea是地址,flag是搜索方向和搜索类型,y是从ea开始搜索的行数,x是行中的坐标,这两个参数一般置0,现在我们来尝试查找check_value
import idautils
pattern = “check_value”
cur_addr =MinEA()
end = MaxEA()
while cur_addr < end:
cur_addr = idc.FindText(cur_addr,SEARCH_DOWN,0,0,pattern)
if cur_addr == idc.BADADDR:
break
else:
print hex(cur_addr),idc.GetDisasm(cur_addr)
cur_addr = idc.NextHead(cur_addr)
在这里插入图片描述代码中cur_addr标记当前地址,end标记搜寻idb的结束地址,通过函数FindText进行搜索。我们在最后一行cur_addr = idc.NextHead(cur_addr)将每次操作的当前地址更新为下一行地址。这样就可以搜索出全部的check_value.

现在我们知道可以搜索各种类型的地址,那么我们在使用前就需要确定地址是什么类型的,IDAPython已经提供了这组方法,返回的结果是布尔类型,包括:
Idc.isCode(f):如果该地址为代码则返回True
Idc.isData(f):如果为数据返回true
Idc.idUnknown(f):无法鉴别是数据还是代码则返回true
Idc.isHead(f):如果为函数开头则返回true
Idc.isTail(f):如果为函数结尾则返回true
需要注意,这一系列函数是不能直接传递地址的,需要通过GetFlags(ea)对地址进行转换
我们将光标定位到inc上,代码如下
import idautils
ea = idc.ScreenEA()
print hex(ea),idc.GetDisasm(ea)
print idc.isCode(idc.GetFlags(ea))
在这里插入图片描述返回为true,用的是isCode,所以说明这是该地址是代码

我们可以通过idc.FindCode(ea,flag)获取下一个代码指令的地址,比如当我们需要获取某一块数据的结尾时,如果当前的ea是代码地址,idc.FindCode将会返回下一个代码指令的地址。
代码如下
import idautils
ea = idc.ScreenEA()
print hex(ea),idc.GetDisasm(ea)
addr = idc.FindCode(ea,SEARCH_DOWN|SEARCH_NEXT)
print hex(addr),idc.GetDisasm(addr)
在这里插入图片描述0x56218是某个数据的地址,我们将idc.FindCode(ea,SEARCH_DOWN|SEARCH_NEXT)的返回值赋给addr,然后打印出该地址和它的反汇编代码。

我们可以通过idc.FindData(ea,flag)获取下一个数据块类型地址的起始。在之前脚本中将FindCode换成这个函数就行了。
import idautils
ea = idc.ScreenEA()
print hex(ea),idc.GetDisasm(ea)
addr = idc.FindData(ea,SEARCH_DOWN|SEARCH_NEXT)
print hex(addr),idc.GetDisasm(addr)
在这里插入图片描述如果我们需要按照某一数值进行搜索的话则可以使用
FindImmediate(ea,flag,value),我们以0a为例,搜寻所有带0a的地址
下面的代码中没有用到新的函数,就不再解释了
import idautils
addr = MinEA()
while True:
addr,operand = idc.FindImmediate(addr,SEARCH_DOWN|SEARCH_NEXT,0x0A)
if addr != BADADDR:
print hex(addr),idc.GetDisasm(addr),“Operand”,operand
else:
break

在这里插入图片描述

Elwood Ying
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
idapython 使用--一些函数用法
kkllzzyy的博客
11-27 2191
idapython 使用 idapro 7.5 本篇笔记来总结一下近期写idapython时使用到的一些idapython的函数用法 通过变量名字找变量的二进制地址 addr = get_name_ea_simple("outputfile") 返回地址(int型) 寻找程序的起始地址和结束地址 min_ea = inf_get_min_ea() #起始地址 max_ea = inf_get_max_ea() #结束地址 寻找程序中指定段的起始地址和结束地址 seg = get_segm
IDAPython入门基础语法
OrientalGlass的博客
04-24 1011
IDAPython拥有强大的功能,在使用IDA分析程序时非常有用,可以简化许多操作例如花指令的特征码匹配修改学习IDAPython需要了解一点Python语言的基本知识以及查询IDAPython文档IDAPython官方文档:直接在搜索框搜索即可匹配相关项。
2024年最全IDA Python 使用总结_idapython(1)
mxzsybkj的博客
05-01 89
不知道你们用的什么环境,我一般都是用的Python3.6环境和pycharm解释器,没有软件,或者没有资料,没人解答问题,都可以免费领取(包括今天的代码),过几天我还会做个视频教程出来,有需要也可以领取~给大家准备的学习资料包括但不限于:Python 环境、pycharm编辑器/永久激活/翻译插件python 零基础视频教程Python 界面开发实战教程Python 爬虫实战教程Python 数据分析实战教程python 游戏开发实战教程Python 电子书100本。
idapython 记录
qq_39153421的博客
05-30 1084
idapython 版本api变化 api变化 基础api idc.ScreenEA()--> idc.get_screen_ea() 获取当前光标所在行的地址, 返回一个 int 类型 idc.MaxEA()--> ida_ida.inf_get_min_ea() 获取当前idb 的最小地址 和 最大地址 idc.SegName(ea) --> idc.get_segm_name(ea) ea是一个变量存储当前地址, 这个api 是获取当前地址所在的段 idc.GetDisasm
IDC初步学习小小结
yeah
09-04 2198
由于如汇编代码助记符b       loc_ROM_664C,其中b应该为goto,故以为可以用IDC脚本修改b为goto。原先的思路为通过Findtext函数找到 字符串"b       "的地址,然后将"b       loc_ROM_664C"中的"b       "替换成GOTO。 结果却如下: #include static main() { auto
IDA python使用笔记
dengliang7440的博客
03-29 360
pattern='20 E5 40 00' addr=MinEA() for x in range(0,5): addr=idc.FindBinary(addr,SEARCH_DOWN,pattern) if addr!=idc.BADADDR: print hex(addr), idc.GetDisasm(addr)#搜寻制定的字符串#将其保存到指定的脚步...
IDAPython基础教程5.pdf
06-11
IDAPython基础教程5 给出的⽂件名为rabbithole ⾸先使⽤file命令查看⼀下 可以看到是64位的可执⾏⽂件 接下来我们切换到win,使⽤IDApro,以此⽂件为样例,学习IDAPython的⽤法。 不是所有时候我们都需要写⼀段代码...
IDA基础视频教程-知其所以然论坛.zip
02-09
8. IDA的高级特性:探讨高级话题,如IDAPython、IDB数据库、颜色标记、调试器集成、IDAPro的网络分析模块(如Hex-Rays Decompiler)以及如何处理加密和混淆的代码。 9. 实战应用:通过实例学习如何利用IDA解决实际...
IDA使用教程
03-16
本教程将引导你了解IDA的基础操作和核心功能,助你在短时间内掌握这款工具。 1. **IDA的基本界面** IDA提供了一个用户友好的图形界面,包括idaq.exe主程序,以及IDA的四个主要视图:内存映射(Memory Map)、反...
IDA实战教程
12-31
隐藏调试器的技巧有助于在隐秘环境下进行分析,而脚本化调试器则展示了如何通过PythonIDAPython扩展IDA的功能,提高工作效率。 IDA调试器.rar可能包含额外的调试实践案例或者调试工具,帮助进一步提升调试技能。 ...
IDA插件编写详细教程
05-25
该教程从基础开始,逐步介绍IDA提供的一些接口与使用方法,并详细讲解了IDA插件的编写过程。 第一章:入门 * 为什么会有这本手册?:本手册旨在帮助读者学习如何使用C/C++语言编写IDA插件。 * 涵盖的内容:本手册...
IDAPython手册(中文版)
11-03
IDAPython手册(中文版) 第一次尝试自己翻译,如有翻译错误,再进行修改
IDAPython 初学者指南
05-27
IDAPython 初学者指南 IDAPython 初学者指南 IDAPython 初学者指南
5.IDA-文本搜索、二进制搜索(16进制字节序列)、替换16进制
热门推荐
hgy413的专栏
11-10 4万+
1.文本搜索 IDA文本搜索相当于对反汇编列表窗口进行子字符串搜索。通过Search▶Text(热键:ALT+T)命令启动文本搜索 选择Find all occurences(查找所有结果),IDA将在一个新的窗口中显示搜索结果,最后,使用CTRL+T或Search▶Next Text(Ctrl+T)命令可重复前一项搜索,以找到下一个匹配结果 2.二进制搜索 使用Sea
idapyhton
每昔的博客
08-03 804
基本地址 idc.ScreenEA()- 返回当前坐标地址 here()- 返回当前坐标地址,同上 MinEA()- 返回程序首地址 MaxEA()- 返回程序末尾地址  idc.SegName(ea)- 返回所在段,如:.text idc.GetDisasm(ea)- 返回汇编,如:mov rdx, rdi idc.GetMnem(ea)- 返回助记符,如:mov idc.Get...
python中dword类型_Python idc.Dword方法代碼示例
weixin_39701735的博客
02-09 357
# 需要導入模塊: import idc [as 別名]# 或者: from idc import Dword [as 別名]def fix_vxworks_idb(load_address, vx_version, symbol_table_start, symbol_table_end):current_image_base = idaapi.get_imagebase()symbol_int...
IDAPython基础教程
ChuMeng1999的博客
10-31 213
目录预备知识1.关于IDA2.IDAPython实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 1.关于IDA IDA Pro(简称IDA)是DataRescue公司(www.datarescue.com)出品的一款交互式反汇编工具,它功能强大、操作复杂,要完全掌握它,需要很多知识。IDA最主要的特性是交互和多处理器。操作者可以通过对IDA的交互来指导IDA更好地反汇编,IDA并不自动解决程序中的问题,但它会按用户的指令找到可疑之处,用户的工作是通知IDA怎样去做。比如人工指定编译器类型,对变量名
ida idc函数列表全集
fishmai的专栏
08-31 5105
下面是函数描述信息中的约定: 'ea' 线性地址 'success' 0表示函数失败;反之为1 'void'表示函数返回的是没有意义的值(总是0) AddBptEx AddBpt AddCodeXref AddConstEx AddEntryPoint AddEnum AddHotkey AddSourceFile AddStrucEx
IDAPython基础教程2
Yale的博客
01-17 1247
给出的文件名为rabbithole 首先使用file命令查看一下 可以看到是64位的可执行文件 接下来我们切换到win,使用IDApro载入,以此文件为样例,学习IDAPython的用法。 IDAPython有非常多获取数据的方式,最常用的是通过idc.GetFunctionAttr(ea,FUNCATTR_START)和idc.GetFunctionAttr(ea,FUNCATTR_END)...
python 安装IDApython
最新发布
05-04
Python是一种高级编程语言,它具有简单易学、可读性强、功能强大等特点,被广泛应用于各个领域的软件开发和数据分析中。而IDApython是一种用于在IDA Pro中编写插件和脚本的Python库。 要安装IDApython,可以按照以下步骤进行操作: 1. 首先,确保已经安装了IDA Pro。IDA Pro是一款反汇编和逆向工程软件,可以用于分析和修改二进制文件。 2. 下载IDApython库。可以在IDA官方网站上找到IDApython的下载链接。根据你使用的IDA版本和操作系统选择相应的版本进行下载。 3. 安装IDApython。将下载的IDApython库解压缩到合适的位置,然后将其中的文件复制到IDA Pro的安装目录下的"plugins"文件夹中。 4. 配置环境变量。将IDA Pro的安装目录添加到系统的环境变量中,这样就可以在命令行或脚本中直接使用IDApython库了。 完成以上步骤后,你就成功安装了IDApython,并可以开始使用它来编写插件和脚本了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值