use IdaRub write Ida Plugin

最新推荐文章于 2024-06-21 01:26:41 发布
最新推荐文章于 2024-06-21 01:26:41 发布
阅读量864 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Reversing 文章标签: parsing c file ruby blog 工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Binjo/article/details/1555956
本文介绍如何使用IdaRub和rublib工具简化IDA插件的开发流程,并通过一个指令计数器的实际例子展示了整个过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

转眼又是快半年没“耕耘”这个blog了……今天来介绍下IdaRub和rublib
IdaRub : http://www.metasploit.com/users/spoonm/idarub/
rublib : http://www.the-interweb.com/serendipity/index.php?/archives/91-RubLib-0.04.html
有了这两个excellent的工具后,写Ida的plugin就简单多了:)
以下是学习 InstructionCounter的ruby版本,enjoy it!
# !/usr/bin/ruby -w
#  InstructCounter.rb
#  ------------------
# Binjo @ 2007-04-07
#-------------------------------------------------------------------------------
$:.unshift('..')

require 'idarub'
require 'rublib'

begin
    ida,    =   IdaRub.auto_client
    file    =   IdaFile.new( ida )
rescue
    print "Error : %s" % $!
    exit
end

Opcodes          = { }
Opcodes['total'= 0

def loop_instruc( file )
    file.each { |func|

        puts "---- parsing #{func.name} ----"

        func.each { |instruc|
            yield instruc.mnemonic
        }
    }
end

loop_instruc( file ) { |instruc|

    if ( Opcodes[instruc] == nil )
        Opcodes[instruc]  = 1
    else
        Opcodes[instruc] += 1
    end

    # total counter
    Opcodes['total'+= 1
}

puts "Opcode distribution of file: #{file.path}"

Total = Opcodes['total']
print "Total opcodes : #{Total} "

Opcodes.delete( 'total' )

Opcodes.sort{ |a,b| a[1<=> b[1] }.each { |key, value|
    percents = 100 * value.to_f / Total.to_f
    puts "%06d    %8.2f%%   %s" % [ value, percents, key ]
}
#-------------------------------------------------------------------------------
# EOF

以下是输出
# ruby InstructCounter.rb
----  parsing _StartRoutine  ----
----  parsing start  ----
----  parsing sub_104FE  ----
----  parsing NewZwEnumerateKey  ----
----  parsing NewZwQueryKey  ----
----  parsing NewZwCreateKey  ----
----  parsing NewZwOpenKey  ----
----  parsing LzxHookRegs  ----
----  parsing GetModuleBase  ----
----  parsing LzxStrCmp  ----
----  parsing GetProcAddressFromExport  ----
----  parsing sub_1099C  ----
----  parsing sub_10A48  ----
----  parsing DisableCR0  ----
----  parsing EnableCR0  ----
----  parsing QuerySystemInfomationEx  ----
----  parsing sub_10B5E  ----
----  parsing LzxGetPid  ----
----  parsing sub_10BC0  ----
----  parsing sub_10C06  ----
----  parsing GetProcNameOffset  ----
----  parsing sub_10CA0  ----
----  parsing sub_10CC8  ----
----  parsing sub_10D14  ----
----  parsing GetLowerLevelDevObj  ----
----  parsing sub_10DEA  ----
----  parsing sub_10E4E  ----
----  parsing sub_10E7C  ----
----  parsing sub_10EAA  ----
----  parsing sub_10EE0  ----
----  parsing sub_10F34  ----
----  parsing sub_10F80  ----
----  parsing sub_10FD4  ----
----  parsing sub_10FEE  ----
----  parsing sub_1108A  ----
----  parsing sub_110EE  ----
----  parsing sub_111AA  ----
----  parsing sub_11262  ----
----  parsing sub_1127C  ----
----  parsing sub_1138A  ----
----  parsing sub_11450  ----
----  parsing sub_11498  ----
----  parsing sub_1150A  ----
----  parsing sub_115F8  ----
----  parsing sub_11606  ----
----  parsing StartRoutine  ----
----  parsing sub_116A4  ----
----  parsing sub_1173C  ----
----  parsing sub_1177E  ----
----  parsing sub_117A6  ----
----  parsing sub_1195A  ----
----  parsing sub_11BB6  ----
----  parsing sub_11CDA  ----
----  parsing sub_11D82  ----
----  parsing sub_11E10  ----
----  parsing sub_11F50  ----
----  parsing sub_120BC  ----
----  parsing sub_1223A  ----
----  parsing sub_1230E  ----
----  parsing sub_12342  ----
----  parsing sub_1236C  ----
----  parsing sub_1239A  ----
----  parsing sub_123C4  ----
----  parsing sub_1248A  ----
----  parsing sub_12568  ----
----  parsing sub_12702  ----
----  parsing sub_12730  ----
----  parsing sub_12746  ----
----  parsing sub_127EA  ----
----  parsing NewZwSaveKey  ----
----  parsing sub_1299A  ----
----  parsing NewZwDeviceIoControlFile  ----
----  parsing sub_12B56  ----
----  parsing sub_12C3E  ----
----  parsing NotifyRoutine  ----
----  parsing sub_12EC8  ----
----  parsing DeferredRoutine  ----
----  parsing sub_1306C  ----
----  parsing sub_130E8  ----
----  parsing sub_13186  ----
----  parsing sub_131CA  ----
----  parsing sub_131E8  ----
----  parsing sub_13220  ----
----  parsing sub_13258  ----
----  parsing sub_1327E  ----
----  parsing sub_13294  ----
----  parsing sub_132EC  ----
----  parsing sub_132FE  ----
----  parsing _new_sysenter  ----
----  parsing sub_133A6  ----
----  parsing HookCode  ----
----  parsing sub_134A5  ----
----  parsing sub_13538  ----
----  parsing sub_1354E  ----
----  parsing sub_13610  ----
----  parsing sub_138A4  ----
----  parsing sub_138D0  ----
----  parsing sub_13C44  ----
----  parsing sub_13D62  ----
----  parsing sub_13E54  ----
----  parsing sub_13F12  ----
----  parsing sub_13F4A  ----
----  parsing sub_13FA6  ----
----  parsing NewZwQuerySystemInformation  ----
----  parsing LzxHookQuerySysInfo  ----
----  parsing sub_140BE  ----
----  parsing sub_14244  ----
----  parsing sub_14264  ----
----  parsing sub_142E2  ----
----  parsing sub_14334  ----
----  parsing nullsub_1  ----
----  parsing nullsub_2  ----
----  parsing sub_1437E  ----
----  parsing GetRelatedObj  ----
----  parsing sub_14486  ----
----  parsing sub_14508  ----
----  parsing sub_14610  ----
----  parsing sub_146C0  ----
----  parsing sub_14740  ----
----  parsing sub_14758  ----
----  parsing sub_1484C  ----
----  parsing sub_14A4C  ----
----  parsing sub_14B54  ----
----  parsing sub_14CD2  ----
----  parsing sub_14D1C  ----
----  parsing sub_14D92  ----
----  parsing sub_14DCE  ----
----  parsing sub_14EB2  ----
----  parsing sub_15104  ----
----  parsing sub_15170  ----
----  parsing sub_1528A  ----
----  parsing sub_1534F  ----
----  parsing sub_155AB  ----
----  parsing sub_158E6  ----
----  parsing sub_15A48  ----
----  parsing sub_15AA2  ----
----  parsing sub_15B8E  ----
----  parsing sub_15BF8  ----
----  parsing sub_15C50  ----
----  parsing sub_15C66  ----
----  parsing sub_15E12  ----
----  parsing sub_160B0  ----
----  parsing sub_160EA  ----
----  parsing sub_1615E  ----
----  parsing sub_16239  ----
----  parsing NewZwTerminateProcess  ----
----  parsing LzxHookTerminateProcess  ----
----  parsing sub_164C2  ----
----  parsing sub_1656C  ----
----  parsing LzxSomeInit  ----
----  parsing PsGetCurrentProcessId  ----
----  parsing KeDetachProcess  ----
----  parsing KeAttachProcess  ----
----  parsing  __try   ----
----  parsing sub_16725  ----
----  parsing ObOpenObjectByName  ----
----  parsing ZwRestoreKey  ----
----  parsing PsSetCreateProcessNotifyRoutine  ----
----  parsing KeGetCurrentThread  ----
----  parsing KeGetPreviousMode  ----
----  parsing PsGetVersion  ----
----  parsing _except_handler3  ----
----  parsing sub_16760  ----
----  parsing sub_167E3  ----
----  parsing sub_167ED  ----
----  parsing sub_167EF  ----
Opcode distribution of file: F:src k_thingRK.PE386_BotMailer2dumplzx32_mem
 1 .sys
Total opcodes :  8013

000001          0.01 %    neg
 000001          0.01 %    cmpxchg
 000001          0.01 %    jg
 000001          0.01 %    cpuid
 000001          0.01 %    sar
 000001          0.01 %    jle
 000002          0.02 %    lods
 000002          0.02 %    cld
 000002          0.02 %    imul
 000002          0.02 %    sidt
 000002          0.02 %    cli
 000002          0.02 %    popf
 000002          0.02 %    setnl
 000002          0.02 %    setnz
 000002          0.02 %    sti
 000003          0.04 %    pushf
 000003          0.04 %    rdmsr
 000003          0.04 %    xadd
 000004          0.05 %    jge
 000005          0.06 %    sbb
 000005          0.06 %    popa
 000005          0.06 %    setz
 000005          0.06 %    pusha
 000006          0.07 %    xchg
 000007          0.09 %    adc
00000 8          0.10 %    shl
00000 9          0.11 %    movsx
 000010          0.12 %    div
 000021          0.26 %    ja
 000023          0.29 %     or
0000 29          0.36 %    jbe
 000031          0.39 %    jnb
 000037          0.46 %    dec
 000044          0.55 %    shr
 000044          0.55 %    movzx
 000051          0.64 %    movs
 000055          0.69 %    jl
 000057          0.71 %    jb
 000066          0.82 %    leave
 000066          0.82 %    stos
0000 94          1.17 %    inc
0000 99          1.24 %     and
000 119          1.49 %    sub
000 158          1.97 %    retn
 000170          2.12 %    jnz
000 185          2.31 %    jmp
000 187          2.33 %    xor
000 198          2.47 %    add
000 199          2.48 %    test
 000304          3.79 %    jz
 000317          3.96 %    lea
000 348          4.34 %    pop
 000441          5.50 %    cmp
000 680          8.49 %    call
00 1786         22.29 %    push
 002107         26.29 %    mov

【网络进阶】网络问题排查实例集锦(实战经验分享)
dvlinker的技术专栏
05-08 3万+
本文详细讲述了实际项目中遇到的多个网络问题的排查过程,以供参考!
安全大模型以及训练数据集
AI拉呱,专注于人工智与网络安全方面的研究,关注一起学习。
05-21 584
安全大模型和数据集
IDA Pro使用技巧_ida的数据窗口怎么打开(1)
最新发布
2401_84254343的博客
06-21 1323
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!】93道网络安全面试题内容实在太多,不一一截图了最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说
re学习笔记(22)爱春秋CTF答题夺旗赛(第四季)-re-basebasebase
逆向随笔
12-29 1373
题目下载: 链接:https://pan.baidu.com/s/1ArbrvREhcbzVPFsHGoo2yA 提取码:3khv IDA载入,寻找main函数 sub_401000()函数内部是一个反调试 而nullsub_1无法打开 查看main函数的汇编代码,发现有未定义的函数 继续下滑发现有关键代码 在函数头摁下快捷键P,将其定义为一个函数,摁下F5键发现还是无法F5 找到I...
IDA6.4中Pin debugger介绍
01-17
IDA6.4中支持pin的动态二进制插桩功能,这是其中的描述文档
IDA静态编译之sub
weixin_30372371的博客
07-16 842
int __thiscall sub_10009800(const wchar_t *this, int a2, int a3, HKEY hKey){ } 说明:__thiscall dll内子函数 const wchar_t *this 类的对象函数 【转】 在使用IDA使用之前,一定要分析出对象是用什么语言来编写的,然后可以用IDA的签名,将大大增加可读...
iOS Hook在IDA中显示为sub_xxx的函数
glt_code的博客
10-26 8304
基础 1. Mach-O文件组成部分 Header、Load commands、Raw segment date(常见的一些段__PAGEZERO空指针陷阱段、_TEXT程序代码段、__DATA程序数据段、__LINKEDIT:链接器使用段等); 2. Mach-O文件的加载 dyld Mach-O文件被dyld进行加载的;dyld(the dynamic link editor)是 Ap...
Python Plugin loader tut for ida pro 7.0
zhangji
01-15 470
本文转载 https://www.techbliss.org/threads/python-plugin-loader-tut-for-ida-pro-7-0.951/ Many things have changed from older ida pro to 7.0 Alot of functions have been added to 7.0 python sdk, and alot de...
ida pro 7.0 新变化
热门推荐
冯建华的专栏
09-20 1万+
ida 7.0 新变化(作为tester, 有幸获得额外3个月的技术支持): 自身二进制架构变化 (同时发布x86, x64; 在OS中, 可同时安装) x64 主打新变化 (跟着OS趋势走(64位), 所有之前的32位插件, 都要重新 适配, 编译) x86 延续了6.95的功能做了部分增强, 修复bug. (过渡兼容阶段) 大量的c/c++ API做了重构 参见 https://www.
IDA 7.0 python / idc.py
BreakingPoint
04-11 5770
#!/usr/bin/env python #--------------------------------------------------------------------- # IDAPython - Python plugin for Interactive Disassembler # # Original IDC.IDC: # Copyright (c) 1990-2010 Ilf
IDA 6.8 python / idc.py
BreakingPoint
04-11 2891
#!/usr/bin/env python #--------------------------------------------------------------------- # IDAPython - Python plugin for Interactive Disassembler # # Original IDC.IDC: # Copyright (c) 1990-2010 Ilf
IDAPython类库---idc.py的源码
墨鱼菜鸡
03-20 757
#!/usr/bin/env python #--------------------------------------------------------------------- # IDAPython - Python plugin for Interactive Disassembler # #...
ida 遇到的 sub_地址 问题
Flyour的博客
06-17 7005
在使用ida 分析 .sys文件时,发现几乎所有的函数名都是 sub_地址 的形式,和别人的不一样,一开始没想明白为什么? 后来查了一下,发现是因为.sys文件里没有符号表导致的。 为什么会没有符号表呢?一般的可执行文件或库文件都会有符号表,但符号表会占据一定的体积。所以为了减小内核的体积,会把符号表去除。 要想进行分析,我们就要拿到符号表,而windows 的符号表其实可以从网上下载...
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 9853
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)
北豼不太皮的博客
02-21 4029
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)一、学习目标二、了解单片机STM32F401RET6三、C语言基础 一、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据类型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常见的数据类型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
Android开发(1) | Fragment 的应用——新闻应用
Jormungand_V的博客
02-21 7415
文章目录 news_item.xml: <TextView xmlns:android="http://schemas.android.com/apk/res/android" android:id="@+id/news_title" android:layout_width="match_parent" android:layout_height="wrap_content" android:lines="1" android:ellipsize="
系统学习 TypeScript(四)——变量声明的初步学习
编程三昧
02-25 1956
认识了 TypeScript 中的基础类型,接下来当然是变量声明的相关学习了,我在这里记录一下我学习过程中的一些总结。
清除浮动的五种方法
weixin_52212950的博客
02-22 3018
为什么要清除浮动?因为往往浮动后的子元素因为脱离了标准流,不能自动撑起父元素的高度,所以会对后续布局产生影响,对此清除浮动不如理解为清除浮动产生的影响更为合理。 例如:我们设置了两个盒子如图所示,粉色为父盒子,只有宽度没有高度,蓝色盒子有宽有高,粉色盒子的高由蓝盒子的高度撑开。 但是给蓝色的子盒子设置了左浮动后,脱离了标准流,无法再撑开粉盒子,可以看到粉盒子高度变成了0; 清除浮动有五种方法: 直接设置父元素的高度 额外标签法 单伪元素法 双伪元素法 ove.
HTML实现学习网站首页
做技术,坚持才是最重要的,一时的热情只是暂时的进步
02-20 4499
项目访问 reset.css /* http://meyerweb.com/eric/tools/css/reset/ v2.0 | 20110126 License: none (public domain) */ html, body, div, span, applet, object, iframe, h1, h2, h3, h4, h5, h6, p, blockquote, pre, a, abbr, acronym, address, big, cite, code, del
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值