给出的文件名为rabbithole
首先使用file命令查看一下
可以看到是64位的可执行文件
接下来我们切换到win,使用IDApro,以此文件为样例,学习IDAPython的用法。
在逆向过程中,除了写注释,还有件常做的事情就是给函数或地址重命名,特别是在一些地址无关代码(PIC),加壳或者封装函数中。因为在PIC代码和脱壳代码中,导入表可能并不存在于转储中;而封装函数的功能只是简单的调用API而已。比如下面这种代码,一个自动化的脚本可以帮助我们避免大量的手工操作。
在上面的代码中,sub_10005B3E实际上是一个对函数HeapAlloc的封装,为了代码更具可读性,我们给它重命名w_HeapAlloc,w是封装的意思。重命名用到的函数为idc.MakeName(ea,name),ea是地址,name是重命名的名称。这里要注意一点,重命名时,ea一定要是函数的起始地址。
用法很简单
这样就重命名了
在我们这次分析的文件里,其实重命名的作用不大,但是为了学习重命名功能,我们就给main函数重命名来体验一下
代码如下
import idautils
ea = idc.ScreenEA()
print hex(ea),idc.GetDisasm(ea)
print idc.MakeName(ea,“MAIN”)
我们是将main重命名为了MAIN
运行后可以看到main已经被重命名为MAIN了
打印出的新的函数名看看是否重命名成功
获取原始数据的操作在逆向中至关重要,原数据是代码或数据的二进制形式,如下图所示,每天指令的左侧的十六进制数就是原数据
在获取原数据之前,首先需要划分单位,具体的函数包括:
比如获取1字节的数据可以通过idc.Byte(ea),获取1个字可以通过idc.Word(ea)等等
把光标放在56181
代码如下
import idautils
ea = idc.ScreenEA()
print hex(ea),idc.GetDisasm(ea)
print hex(idc.Byte(ea))
print hex(idc.Word(ea))
print hex(idc.Dword(ea))
print hex(idc.Qword(ea))
print idc.GetFloat(ea)
print idc.GetDouble(ea)
使用上面的函数只能读取一个单位的数据,但是在很多情况下,比如解密一段数据时,我们需要读取一块内存的原始数据,此时可以使用idc.GetManyBytes(ea,size,use_dbg=False),用于指定读取的长度,use_dbg在调试内存时会用到,一般不需要设置
比如我们要读取6个字节,代码为:
import idautils
ea = idc.ScreenEA()
for byte in idc.GetManyBytes(ea,6):
print “0x%x” % ord(byte)
至此,有关IDAPython的所有基础知识点都已经介绍完毕。在下一个实验中我们会通过一场国际CTF总决赛的题目来学习如何将IDAPython用于实战中。
进一步全面了解IDAPython提供的函数可以参考官方文档:
https://www.hex-rays.com/products/ida/support/idapython_docs/
另外有更加扩展深入的学习资料:
https://unit42.paloaltonetworks.com/using-idapython-to-make-your-life-easier-part-1/
这是一系列的文章,国内蒸米大佬曾经在wooyun drops上翻译过,题目为IDAPython 让你的生活更滋润
以及一些安全研究者发出的IDAPython的实际应用文章
https://resources.infosecinstitute.com/saving-time-effort-idapython/#gref
https://www.thezdi.com/blog/2018/6/26/mindshare-variant-hunting-with-ida-python
https://www.fireeye.com/blog/threat-research/2018/01/simplifying-graphs-in-ida.html