ida idc脚本:将内存字符串转为调试器的地址格式

原创 已于 2022-11-25 20:31:05 修改 · 356 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#c++

于 2022-11-25 20:29:47 首次发布
本文介绍了一个IDC脚本,用于将内存中的字符串格式转换为调试器所用的地址格式。脚本处理包含空格的内存字符串,并演示了不同输入示例的转换结果。

ida idc脚本:内存字符串转为地址格式

有时候需要复制内存中的内容当作跳转地址,但是调试器有自己的地址格式,

因此以下ida idc的脚步是将内存格式的字符串转为地址格式:

#include <idc.idc>

// 内存字符串转为地址格式 (小端格式)
static MemStrToAddr(info)
{
  Message("memstrInput:%s\n", info);
  auto strResult = "";

  auto stringarr = object();
  
    auto nSpaceCount = 0;
     auto pos=strstr(info," ");
     while (pos!=-1)
     { 
       strResult = substr(info,0, pos) + strResult;
       
       auto last=pos;
       info=substr(info,last+1,-1);
       
       pos=strstr(info," ");   
       auto tempstr = info;
       
       nSpaceCount++;  
     }  
     
     if(strlen(info>0))
     {
        strResult = info + strResult;
     }
        
    Message("OutputResult:%s\n", strResult);
    Message("OutputResult:0x%s\n", strResult);
}

static main()
{
  auto memstr = "38 88 ec f4 92 00 00";
  MemStrToAddr(memstr);
  memstr = "a2831942318 blog.youkuaiyun.com/ https://";
  MemStrToAddr(memstr);  
  memstr = "Ninja App https://blog.youkuaiyun.com/a2831942318";
  MemStrToAddr(memstr);  
}

转换前: memstrInput:38 88 ec f4 92 00 00
转换后:

OutputResult:000092f4ec8838
OutputResult:0x000092f4ec8838

[系统安全] 五十五.恶意软件分析 (7)IDA Python基础用法及CFG控制流图提取详解[上]
杨秀璋的专栏
01-22 2017
前文介绍了软件来源分析,结合网络攻击中常见的判断方法,利用Python调用扩展包进行区域溯源。这篇文章将开启IDA Python学习,首先介绍IDA Python配置过程和基础用法,然后尝试地区恶意软件的控制流图(CFG),再为后续的恶意软件家族分类或溯源提供帮助。由于作者是初学者,因此会遇到很多问题,欢迎各位大佬和读者指导。基础性基础,且看且珍惜。
ida-IDC脚本剖析
qq_43390703的博客
10-06 4768
IDC IDA中支持进行脚本运行,可以通过编写脚本通过脚本对文件进行处理,甚至可以通过编写IDC脚本编写自动化漏洞审计的脚本IDCida中支持的一门与C语言类似的语言,但是它是解释型的,并不是编译型的,于此同时IDC还融合了一些python中的元素以方便一些内容的处理。 执行脚本 执行IDC脚本一共有三种方式 idc命令行(菜单栏file->idc command) 脚本文件 (菜单栏file->script file) python命令行(菜单栏file->python comm
ida 中hexview快速跳转到内存地址
热门推荐
zhangmiaoping23的专栏
09-09 1万+
转:http://bbs.pediy.com/showthread.php?p=1331140#post1331140 问: 比如图上选中的 0x61EFE608,怎么能快速跳转到该地址。 这个问题应该用ida调试的都会碰到,而且经常会碰到,除了用 g + 手动输入地址,有没快捷点的办法, 类似 od 里跳转到 dword 之类。 答: 按4,然后双击  4是Hex
关于字符变量内存地址
小胖七少爷的博客
07-13 350
C++关于使用cout输出字符地址
[IDA]IDC脚本基础
Hello World.c
12-07 6763
IDC的变量 idc使用三种基本数据类型 整形,字符串,浮点值 idc使用auto关键字声明变量,使用extern关键字声 明全局变量 auto var = 1;          //局部变量 extern var2 = 1;      //全局变量 IDC的运算符 idc支持绝大部分c的运算符,但是不支持如+=的复合运算符,并且idc所有整数操作数 均作为有符号处理,移位运算符...
IDA Pro脚本IDC教程
weixin_43767456的博客
11-17 1239
让我们来了解一下什么是IDC脚本IDCIDA Pro中的一种脚本语言,用于自动化处理和操作反汇编的二进制文件。
IDAPro Dex & SO脱壳教程:特征字符串、关键API与方法名判断
- **撤销字符串地址转换**:当IDA自动将字符串地址转换为计算后的值时,可以通过右键选择“撤销转换”(快捷键“U”)恢复原始状态。但需要注意,这样做可能会丢失自定义注释。 - **转换代码**:当反汇编代码出现...
加密与解密 调试篇 静态分析技术 (三)枚举/IDC/插件
m0_64180167的博客
06-25 734
这里我们能发现 sub_401080 是对 sub_401060的解密。可以让IDA在一系列编译器的标准库文件里自动找出调用的函数,使反汇编更加清晰。因为是有规律的 所以我们可以使用枚举类型来表示这个数字。IDC原本就是一种类C语言的脚本控制器、语法和C语言类似。选中 401060的代码 然后U 然后重新选中 按 C。而IDA中FLIRT却可以正确标记所调用的库函数名称。在IDA的反汇编中却成为了没有意义的数字。IDC脚本中都一条包含ida.idc语句。IDA的原始嵌入脚本语言叫做IDC
IDAIDA-Python 学习笔记
skysys的研究小屋
12-26 2802
ida-python 中文教程
IDA.驱动文件逆向工具
04-17
7. **IDC脚本语言**:IDA提供了IDCIDA Control)语言,这是一种内置的脚本语言,用于编写自动化脚本,进行批量处理或自定义分析。 8. **类型信息**:IDA支持手动和自动添加类型信息,比如结构、枚举和函数原型,...
每天一个IDA小技巧(十一)IDA脚本基础和IDC1
08-03
执行脚本的常用方法三个菜单选项 和 一个命令行=. IDA工作区最下方输出窗口下面有一个命令行输入框数据类型学习一门编程语言,首先学习基本的数据类型,满足基本的
IDC(简单)
lwhaaaa的博客
04-24 531
文章目录0x01 IDC 简介0x02 使用方法 0x01 IDC 简介 ​ 它是一种嵌入式语言,IDC 的存在极大地提高了IDA的扩展性,使得 IDA中许多重复的任务可以交由 IDC 来完成,在令其自动化的同时,又可对一些特殊情况进行控制。IDC 本身是一种类 C 的语言的脚本控制器,语法基本与 C 类似,简单易学。所有的 IDC 脚本都有一条包含 idc.idc 文件的语句,其为 IDA 的标准库函数,各函数的含义参考 IDA 帮助文件。变量定义形式为:auto var。其他一些逻辑、循环等语句与
3.1 IDA Pro编写IDC脚本入门
优快云
11-11 6656
IDA Pro内置的IDC脚本语言是一种灵活的、C语言风格的脚本语言,旨在帮助逆向工程师更轻松地进行反汇编和静态分析。IDC脚本语言支持变量、表达式、循环、分支、函数等C语言中的常见语法结构,并且还提供了许多特定于反汇编和静态分析的函数和操作符。由于其灵活性和可扩展性,许多逆向工程师都喜欢使用IDC脚本语言来自动化反汇编和静态分析过程,以提高效率和准确性。
C++-逆向分析-IDA-IDC脚本-修改指定地址的函数名-函数重命名
插件开发
10-19 1230
ida为用户提供了一个很完备的帮助系统,可以使用F1快捷键打开帮助系统,其中点击“index of idc functions”可以看到对应一些idc的函数列表。逆向分析得到函数功能之后,需要对指定函数地址进行命名,如果多人协同工作,就需要在IDA里对函数就行批量命名,这时就必须要用到IDAidc脚本。打开Ida,File–>Script file,选择刚才生成的ida.idc文件,即可批量重命名函数了。idc命令行(菜单栏file->idc command)该脚本函数将参数一地址处的函数命名为参数二。
IDA脚本笔记01
kelxLZ的博客
01-09 1147
Author:ZERO-A-ONE Date:2019-10-29 0x01 读取和修改数据的函数 01 Byte long Byte(long addr) 从虚拟地址addr处读取一个字节值 02 Word long Word(long addr) 从虚拟地址addr处读取一个字(2字节)值 03 Dword long Dword(long addr) 从虚拟地址addr处读取一个双字(4字节)值 04 PatByte void PatchByte(long addr, long val) 设.
一个用于提取内存IDA脚本
parker的专栏
12-28 4313
import struct start = AskAddr(0x2D590 , "start address:") print "start address:%08x"%(start) length = AskLong(0x208 , "length:") print "length:%d"%(length) fn = AskStr("c:\\table.dump" ,"save as:" ) w
IDA脚本IDC的一个简单使用
weixin_34004750的博客
12-12 648
目的:主要是想学习一下IDAIDC脚本使用。这里做了一个小的测试。 这里使用的是VS2015Community来生成文件的。 一、编写测试程序: 这里先生成我们的目标数据。 然后编写测试程序。得到下面的代码。 #include <stdio.h> #include <string.h> //the xor key is 'B' ,异或的ke...
静态分析:IDA逆向代码段说明 text、idata、rdata、data
weixin_30902251的博客
10-17 1046
通常IDA对一个PE文件逆向出来的代码中, 存在四个最基本的段text、idata、rdata、data, 四个段为PE文件的结构中对应的段。 一、text段: 该段位程序代码段,在该段一开始就可以看到: .text:00401000 ; Segment type: Pure code.text:00401000 ; Segment permissions: Read/Execute ...
IDA-逆向分析-反汇编导航-双击导航-跳转地址-调用约定-局部变量-栈视图-搜索-工具教程
插件开发
10-25 3557
IDA脚本基础:IDCIDAPython实战
"本文介绍了IDA软件中的脚本基础,特别是IDA脚本语言IDC,并提到了IDAPython作为另一种脚本编写选项。文章讨论了执行脚本的常见方式,包括通过菜单选项和命令行,以及IDC的基本数据类型和变量声明。此外,还简单提及...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

AppNinja

你的鼓励是我创作最大的动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值