IDC脚本编写demo

最新推荐文章于 2023-11-11 11:03:10 发布
最新推荐文章于 2023-11-11 11:03:10 发布
阅读量850 收藏 1
点赞数
分类专栏: 逆向 IDA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youyou519/article/details/103236423
版权
逆向 同时被 2 个专栏收录
24 篇文章 0 订阅
订阅专栏
IDA
11 篇文章 0 订阅
订阅专栏

为了自动到被调试点,不用每次手动跟过去,所以使用脚本,下面是使用例子,以后的改改就好

// @file oci_test_on_vs2010.idc
// @brief debug for oci_test_on_vs2010.exe

#include <idc.idc>

#define PROG_FOR_DEBUG "oci_test_on_vs2010.exe"
#define MY_IDC_VER "IDC for " PROG_FOR_DEBUG " v1.0.0.1"
#define LINE_80 "--------------------------------------------------------------------------------"
#define MY_CONDITION_FOR_STARTING_THE_IDC "use ida load object program\n" \
    "clear all breakpoint\n" \
    "make sure F2 break on do_oci_task() :: OCIStmtExecute()\n" \
    "F9 run program\n" \
    "F7 into OCIStmtExecute_0 proc near\n" \
    "F8 step to \"jmp     cs:__imp_OCIStmtExecute\"\n" \
    "F2 breakpoint on \"jmp     cs:__imp_OCIStmtExecute\"\n" \
    "then load oci_test_on_vs2010.idc"

    /*
    .text:00007FF778194D6A OCIStmtExecute_0 proc near              ; CODE XREF: do_oci_task(OCIEnv *,OCIServer *,OCIError *,OCISvcCtx *,OCISession *)+213↑p
    .text:00007FF778194D6A jmp     cs:__imp_OCIStmtExecute // when run here, can load oci_test_on_vs2010.idc
    .text:00007FF778194D6A OCIStmtExecute_0 endp
    */

#define REG_IP "RIP"

// sub function must declare befoe main()
static fn_show_offset_addr(str_tip, ull_addr_now, ull_addr_offset)
{
    auto ull_addr_rc;

    ull_addr_rc = ull_addr_now + ull_addr_offset;
    msg("offset addr 0x%X : %s\r\n",  ull_addr_rc, str_tip);

    return ull_addr_rc;
}

static fn_f7()
{
    StepInto();
    wait_for_next_event(WFNE_SUSP | WFNE_CONT, -1);
}

static fn_f8()
{
    StepOver();
    wait_for_next_event(WFNE_SUSP | WFNE_CONT, -1);
}

static fn_go()
{
    wait_for_next_event(WFNE_SUSP | WFNE_CONT, -1);
}

static fn_show_current_line_info()
{
    auto l_addr;
    auto str_name;
    auto str_dasm_code;

    l_addr = GetRegValue(REG_IP);
    str_name = Name(l_addr);
    str_dasm_code = generate_disasm_line(l_addr, GENDSM_FORCE_CODE);

    msg("%s\n", LINE_80);
    msg("0x%X : %s :: %s\n", l_addr, str_name, str_dasm_code);
}

static fn_get_current_dasm_code()
{
    auto l_addr;
    auto str_dasm_code;

    l_addr = GetRegValue(REG_IP);
    str_dasm_code = generate_disasm_line(l_addr, GENDSM_FORCE_CODE);

    return str_dasm_code;
}

static fn_get_current_addr()
{
    auto l_addr;

    l_addr = GetRegValue(REG_IP);

    return l_addr;
}

static fn_show_help()
{
    auto i_index;

    // clear debug output area
    for (i_index = 0; i_index < 25; i_index++) {
        msg("\n");
    }

    msg("%s\n", LINE_80);
    msg("%s\n", MY_IDC_VER);
    msg("debug for %s\n", PROG_FOR_DEBUG);
    msg("%s\n", MY_CONDITION_FOR_STARTING_THE_IDC);
    msg("%s\n", LINE_80);
}

static fn_add_bp(l_addr)
{
    add_bpt(l_addr);
}

static fn_remove_bp(l_addr)
{
    del_bpt(l_addr);
}

static main()
{
    auto l_addr;
    auto l_addr_tmp;
    auto str_dasm_code;

    fn_show_help();
    fn_show_current_line_info();

    str_dasm_code = fn_get_current_dasm_code();
    if (str_dasm_code != "jmp     cs:__imp_OCIStmtExecute") {
        msg("error!!!\n");
        fn_show_current_line_info();
    } else {
        msg("ok : debug now, will go to oran11_nioqrc() :: call    near ptr oran11_nsbrecv\n");
        msg("please wait a moment ...\n");

        // step 1
        fn_f8();

        // step 2
        l_addr = fn_get_current_addr();
        l_addr = fn_show_offset_addr("call    rax", l_addr, 0xb5);
        fn_add_bp(l_addr);
        fn_go();
        fn_remove_bp(l_addr);
        fn_f7();
        fn_show_current_line_info();

        // step 3
        l_addr = fn_get_current_addr();
        l_addr = fn_show_offset_addr("call    near ptr oraclient11_kpuexec", l_addr, 0x41);
        fn_add_bp(l_addr);
        fn_go();
        fn_remove_bp(l_addr);
        fn_f7();
        fn_show_current_line_info();

        // step 4
        l_addr = fn_get_current_addr();
        l_addr = fn_show_offset_addr("call    near ptr oraclient11_kpurcsc", l_addr, 0x2621);
        fn_add_bp(l_addr);
        fn_go();
        fn_remove_bp(l_addr);
        fn_f7();
        fn_show_current_line_info();

        // step 5
        l_addr = fn_get_current_addr();
        l_addr = fn_show_offset_addr("call    near ptr oraclient11_upirtrc", l_addr, 0x91);
        fn_add_bp(l_addr);
        fn_go();
        fn_remove_bp(l_addr);
        fn_f7();
        fn_show_current_line_info();

        // step 6
        l_addr = fn_get_current_addr();
        l_addr = fn_show_offset_addr("oraclient11.dll:0000000003C9AF0D call    near ptr unk_3CB4B9E", l_addr, 0x0000000003B0AF0D - 0x0000000003B0AE96);
        fn_add_bp(l_addr);
        fn_go();
        fn_remove_bp(l_addr);
        fn_f7();
        fn_show_current_line_info();

        // step 7
        l_addr = fn_get_current_addr();
        l_addr = fn_show_offset_addr("oraclient11.dll:0000000003B25213 call    qword ptr [rax+20h]", l_addr, 0x0000000003B25213 - 0x0000000003B24B9E);
        fn_add_bp(l_addr);
        fn_go();
        fn_remove_bp(l_addr);
        fn_f7();
        fn_show_current_line_info();

        // step 8
        l_addr = fn_get_current_addr();
        l_addr_tmp = l_addr;
        l_addr = fn_show_offset_addr("oran11.dll:0000000003D185F5 call    r14", l_addr, 0x0000000003D185F5 - 0x0000000003D185C0);
        fn_add_bp(l_addr);
        fn_go();
        fn_remove_bp(l_addr);
        fn_f8();
        fn_show_current_line_info();

        // step 9
        // call r14 要经过2次才行, 然后f7进去
        l_addr = l_addr_tmp;
        l_addr = fn_show_offset_addr("oran11.dll:0000000003D185F5 call    r14", l_addr, 0x0000000003D185F5 - 0x0000000003D185C0);
        fn_add_bp(l_addr);
        fn_go();
        fn_remove_bp(l_addr);
        fn_f7();
        fn_show_current_line_info();

        // step 10
        l_addr = fn_get_current_addr();
        l_addr = fn_show_offset_addr("oracommon11.dll:000000000442DA6B call    qword ptr [rsi+10h]", l_addr, 0x000000000442DA6B - 0x000000000442D496);
        fn_add_bp(l_addr);
        fn_go();
        fn_remove_bp(l_addr);
        fn_f7();
        fn_show_current_line_info();

        // step 11
        // 到地方了, 对需要调试的地址下最后的断点
        l_addr = fn_get_current_addr();
        l_addr = fn_show_offset_addr("oran11.dll:00000000049044C6 call    near ptr oran11_nsbsend", l_addr, 0x00000000049044C6 - 0x000000000490438A);
        fn_add_bp(l_addr);

        l_addr = fn_get_current_addr();
        l_addr = fn_show_offset_addr("oran11.dll:0000000004904595 call    near ptr oran11_nsbrecv", l_addr, 0x0000000004904595 - 0x000000000490438A);
        fn_add_bp(l_addr);

        l_addr = fn_get_current_addr();
        l_addr = fn_show_offset_addr("oran11_nsbsend pure data : oran11.dll:00000000054A4506 mov     [rbx+20h], rcx", l_addr, 0x00000000054A4506 - 0x00000000054A438A);
        fn_add_bp(l_addr);

        fn_go();
        fn_show_current_line_info();

        // over, 用脚本一键到达调试地点的任务结束
        // 已经对多处要调试的点,都下好了断点
        // 已经运行到了其中一个断点上,停住了,等待调试
        msg("please debug, nice to meet you :)\n");
    }
}

// @file oci_test_on_vs2010.idc
// @brief debug for oci_test_on_vs2010.exe

#include <idc.idc>

#define REG_IP "RIP"

// sub function must declare befoe main()
static fn_show_offset_addr(str_tip, ull_addr_now, ull_addr_offset)
{
    auto ull_addr_rc;

    ull_addr_rc = ull_addr_now + ull_addr_offset;
    msg("offset addr 0x%X : %s\r\n",  ull_addr_rc, str_tip);

    return ull_addr_rc;
}

static fn_f7()
{
    StepInto();
    wait_for_next_event(WFNE_SUSP | WFNE_CONT, -1);
}

static fn_f8()
{
    StepOver();
    wait_for_next_event(WFNE_SUSP | WFNE_CONT, -1);
}

static fn_f9()
{
    wait_for_next_event(WFNE_SUSP | WFNE_CONT, -1);
}

static fn_show_current_line_info()
{
    auto l_addr;
    auto str_name;
    auto str_dasm_code;

    l_addr = GetRegValue(REG_IP);
    str_name = Name(l_addr);
    str_dasm_code = generate_disasm_line(l_addr, GENDSM_FORCE_CODE);

    //msg("%s\n", LINE_80);
    msg("0x%X : %s :: %s\n", l_addr, str_name, str_dasm_code);
}

static fn_get_current_dasm_code()
{
    auto l_addr;
    auto str_dasm_code;

    l_addr = GetRegValue(REG_IP);
    str_dasm_code = generate_disasm_line(l_addr, GENDSM_FORCE_CODE);

    return str_dasm_code;
}

static fn_get_current_addr()
{
    auto l_addr;

    l_addr = GetRegValue(REG_IP);

    return l_addr;
}

static fn_show_help()
{
    auto i_index;

    // clear debug output area
    for (i_index = 0; i_index < 25; i_index++) {
        msg("\n");
    }

}

static fn_add_bp(l_addr)
{
    add_bpt(l_addr);
}

static fn_del_bp(l_addr)
{
    del_bpt(l_addr);
}

static runto(l_addr)
{
	fn_add_bp(l_addr);
	fn_f9();
	fn_del_bp(l_addr);
}

static main()
{
	//step1 fork
	runto(0x40FD40);
	RAX=0;
	fn_f8();
	
	//step2 jmp
	runto(0x4102AF);
	ZF=1;
	fn_f8();
	
	//step3 fork
	runto(0x41F5E2);
	RAX=0;
	fn_f8();
	
	//step4 sleep
	runto(0x411C2D);
	RDI=0;

	//step5 int3
	fn_f8();
	fn_f9();
	
	//step6 uuid
	//fn_add_bp(0x413210);
	runto(0x41320B);
	
	//fn_f7();


}

 

kernweak
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
几个常用idc脚本
10-25
在这里汇总了几个我工作中常用idc脚本,大家一起共同进步
IDC脚本(3个demo).zip
03-03
idc脚本的3个例子,有兴趣的同学可以在ida里面运行一下。
IDC脚本文件运行
mandiheyanyu的博客
07-26 660
关于IDC的书教程一抓一大把,我手里是有现成的代码,我粗略的阅读了一下想直接使用,差点卡在运行上。打开一个正常的idb文件,点击File→Scriptcommand,就会出现这个界面。IDC是IDA工具中使用的脚本语言,细节类似于c但是存在差异。IDA脚本一页纸(IDC+IDAPython)-示例版。点击Import导入好的idc文件,点击Run运行。ida-IDC脚本剖析。...
IDC脚本介绍
CharlesGodX的博客
12-06 5124
IDC语言为IDA的一种脚本引擎,它之所以叫做IDC是因为它的语法与C语言很相似,这里我参考《IDA Pro权威指南》介绍一些IDC常用的基本语法。 1.IDC的变量没有明确的类型,IDC关键字auto用于引入一个局部变量的声明,用extern关键字引入全局变量的声明,不能在声明全局变量时为其提供初始值。 Example1: auto addr, reg, val; //没有初始化声...
IDA脚本笔记01
kelxLZ的博客
01-09 883
Author:ZERO-A-ONE Date:2019-10-29 0x01 读取和修改数据的函数 01 Byte long Byte(long addr) 从虚拟地址addr处读取一个字节值 02 Word long Word(long addr) 从虚拟地址addr处读取一个字(2字节)值 03 Dword long Dword(long addr) 从虚拟地址addr处读取一个双字(4字节)值 04 PatByte void PatchByte(long addr, long val) 设.
[IDA]IDC脚本基础
Hello World.c
12-07 6385
IDC的变量 idc使用三种基本数据类型 整形,字符串,浮点值 idc使用auto关键字声明变量,使用extern关键字声 明全局变量 auto var = 1;          //局部变量 extern var2 = 1;      //全局变量 IDC的运算符 idc支持绝大部分c的运算符,但是不支持如+=的复合运算符,并且idc所有整数操作数 均作为有符号处理,移位运算符...
Demo.rar_DEMO
09-14
6. `Demo.rc`:资源脚本文件,定义了对话框布局和控件。 在`DemoDlg.cpp`中,你可能会找到类似这样的代码来改变控件的状态: ```cpp // 启用控件 GetDlgItem(IDC_BUTTON1)->EnableWindow(TRUE); // 禁用控件 ...
IDC.rar_IDC
09-14
IDC脚本分析教程,包括录像和ppt两种教程。
IDC代理中心 v6.0.1
11-29
首先,IDC代理中心的运行依赖于PHP环境,这是一种广泛应用的开源脚本语言,尤其适合于Web开发。通过PHP,开发者可以快速地创建动态交互式网页。同时,系统采用MySQL作为后端数据库,它是一个高效、稳定且免费的关系...
IDC机房服务器网络质量检测
weixin_33841503的博客
08-28 772
一 应用场景描述使用了多个IDC机房的服务器作为外层代理,但是经常有用户反映网站卡。当联系用户时,又不卡了。所以有必要对每台外网服务器到各个区域的网络质量进行监测以确保不是服务器的网络问题。网络质量监测工具可以使用smokeping,也可以根据smokeping的原理自己开发二 安装并使用Smokeping1.安装依赖软件包Smokeping使用RRDTool来绘图,使用f...
IDC房时,用脚本截取丢失包和rtt的值作比对
weixin_34049032的博客
08-31 75
由于业务增长,需要选一个IDC房托管接入。网络质量要求比较高。在IDC给出测试机时,利用smokping来测试,是测出去的包。由于我们在各个地区都有接入机。再从这些接入机去测IDC网络质量,比对指标:丢失的包和rtt返回时延。然后再利用excel,生成曲线图,不知道这样得到结果是否合理,欢迎同行指正哈*.*.*.*指IP地址#!/bin/bash # ping-f-c1...
python一个网络测速脚本_测试网站页面网速的一个简单Python脚本
weixin_39644614的博客
11-28 289
无聊之余,下面分享一个Python小脚本:测试网站页面访问速度[root@huanqiu ~]# vim pywww.py#!/usr/bin/python# coding: UTF-8import StringIO,pycurl,sys,os,timeclass idctest:def __init__(self):self.contents = ''def body_callback(self...
Linux服务器性能测试脚本调优优化监控
V13807970340的博客
09-02 823
一些主机评测类网站,基本都是用脚本测出来的,很多人都比较喜欢用这样的脚本给服务器跑分测试的。从脚本数据上看不出有问题,但是实际建站你会发现看似便宜且性能跑分差不多的服务器,但是做的网站打开页面就有较大的延迟。所以,以后我们在选择服务器的时候,不能单单看服务器配置,还得真实体验速度。我是艾西今天跟大家聊聊测试服务器性能脚本,相信很多小伙伴对于性能还是有自己的追求,windows系统我们自己下载个软件看一眼分数就知道好坏了。这个脚本是最早出来的,后来有几个脚本在基础上修改和完善出来的。# 两命令选其中之一。
IDC 自动化动态调试&&IDC 常用的脚本
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
04-20 173
StepOver` 函数用于执行当前指令,并将光标位置移到下一条指令处,如果当前指令是一个函数调用,则会执行该函数并立即返回到函数调用后的下一条指令。- `type`:断点类型,可选值为 `BPT_SOFT`(软件断点)或 `BPT_HARDWARE`(硬件断点),默认为软件断点。- `cnd`:运行到地址的条件,一个 C 语言表达式字符串,默认为 `NULL`;- `len`:断点的长度,默认为 `0`,表示断点长度为 1 字节;- `func`:运行到的函数名,一个字符串,默认为 `NULL`。
IDA脚本一页纸(IDC+IDAPython)-示例版
可乐松子的博客
06-01 3524
IDA的脚本主要有2种语法,一种类似于C语言(高版本更接近C++)的,一种支持python的 运行结果,符合预期 脚本2:枚举指令 运行结果,符合预期交叉引用实际上是有2个方向的:下面是交叉引用常使用的函数或者宏在的节选片段 test 1:向上枚举调用方 运行结果:明白了上面的示例,这个示例也很容易,就是更改一下函数 运行结果:下面是一个典型的文件的格式,《IDA Pro权威指南第二版》的13章 扩展IDA的知识有详细介绍每个函数的信息会存储在一行,基本格式: + + + + ,这些如果你看过PE
3.1 IDA Pro编IDC脚本入门
最新发布
CSDN
11-11 5188
IDA Pro内置的IDC脚本语言是一种灵活的、C语言风格的脚本语言,旨在帮助逆向工程师更轻松地进行反汇编和静态分析。IDC脚本语言支持变量、表达式、循环、分支、函数等C语言中的常见语法结构,并且还提供了许多特定于反汇编和静态分析的函数和操作符。由于其灵活性和可扩展性,许多逆向工程师都喜欢使用IDC脚本语言来自动化反汇编和静态分析过程,以提高效率和准确性。
ida-IDC脚本剖析
qq_43390703的博客
10-06 4113
IDC IDA中支持进行脚本运行,可以通过编脚本通过脚本对文件进行处理,甚至可以通过编IDC脚本编写自动化漏洞审计的脚本IDC是ida中支持的一门与C语言类似的语言,但是它是解释型的,并不是编译型的,于此同时IDC还融合了一些python中的元素以方便一些内容的处理。 执行脚本 执行IDC脚本一共有三种方式 idc命令行(菜单栏file->idc command) 脚本文件 (菜单栏file->script file) python命令行(菜单栏file->python comm
Visual Studio简单的用C/C++建立对话框和控制控件IDC_EDIT
timbey的博客
05-28 7352
使用的是Visual Studio 2017 想简单的做个windows桌面应用。之前用过QT,做桌面应用可以简单的拖拉控件就能放置。但是新建项目,选择Windows桌面应用程序。不知道为什么对话框(DIALOG)不能直接拖拽控件添加进去。一定是没有和VS的程序员逻辑频率对上… 搜到一篇的如何简单的建立对话框 主要就是建立空白 右键解决方案资源管理器里的资源文件-》添加-》资源 选择对话框(Dialog)直接点新建 然后新建源文件,.cpp其中代码贴入链接中的代码。代码可能有点小错误,是关于字符串类型
自动化部署脚本Demo
BBJG_001的博客
05-02 1192
目录连接鉴权代码仓库<=>部署机器 之间部署机器<=>jenkins 之间demo项目☆部署脚本物理机部署通过docker远程启动一下 嗯,就是一个demo,抛砖引玉 最近在学习jenkins,要用到项目的部署,大概会是这样的场景 连接鉴权 要实现脚本自动部署,需要代码仓库<=>部署机器、部署机器<=>jenkins 之间需要建立信任连接,才能让自动化代码去自行执行 代码仓库<=>部署机器 之间 如果代码仓库是公共仓库,倒也不必要有鉴权的操作 更
ida 编idc脚本
06-10
好的,您想了解关于IDA编IDC脚本的内容,以下是简要的介绍: IDA(Interactive DisAssembler)是一款二进制代码反汇编工具,可以将机器码反汇编成汇编代码,在逆向分析中应用广泛。而IDC(IDA Scripting Language...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值