如何使用FindFunc在IDA Pro中寻找包含指定代码模式的函数代码

最新推荐文章于 2025-07-20 10:25:27 发布
原创 最新推荐文章于 2025-07-20 10:25:27 发布 · 1.2k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#git

FindFunc是一款IDAPro插件,它利用规则过滤帮助研究人员在二进制文件中找到特定函数。功能包括代码模式匹配、常量搜索、字节模式匹配及高级代码复制。该工具基于Python,支持IDAPro7.6及以上版本,适用于x86/x64架构。用户可通过GitHub获取源码并将其添加到IDAPro的插件目录中。

关于FindFunc

FindFunc是一款功能强大的IDA
Pro插件,可以帮助广大研究人员轻松查找包含了特定程序集、代码字节模式、特定命名、字符串或符合其他各种约束条件的代码函数。简而言之,FindFunc的主要目的就是在二进制文件中寻找已知函数。

使用规则过滤

FindFunc的主要功能是让用户指定IDA Pro中的代码函数必须满足的一组“规则”或约束。FindFunc随后将查找并列出满足所有规则的所有函数。

FindFunc会以智能化的形式对规则进行计划和排序,功能概述如下:

1、目前有六条规则可用;

2、代码匹配考虑寻址大小前缀和操作数大小前缀;

3、函数识别模块;

4、性能规则的智能调度;

5、以简单ASCII格式将规则存储/加载到文件;

6、提供了用于实验的单独选项页;

7、通过剪贴板在选项页之间复制规则(格式与文件格式相同);

8、将整个会话(所有选项页)保存到文件;

9、指令字节的高级复制;

工具要求

IDAPro 7.x(7.6+)

Python 3

x86/x64架构

工具下载

FindFunc是一个IDA Pro插件,基于Python开发,而且不需要安装其他的依赖组件包。广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/FelixBer/FindFunc.git

接下来,将项目中的findfuncmain.py文件拷贝到IDA Pro的插件目录中即可。

可用规

最低0.47元/天 解锁文章
白帽Allen
关注
反汇编工具IDA使用详解(使用IDA查看二进制文件的汇编代码以及使用IDA分析崩溃问题实例分享)
dvlinker的技术专栏
10-07 6万+
本文详细介绍一下IDA反汇编工具,介绍如何使用IDA反汇编工具查看二进制文件的汇编代码,并分享一个使用IDA排查程序崩溃的实例。
使用反汇编工具IDA查看动态库的汇编代码上下文,结合安卓系统生成的Tombstone文件,快速定位安卓app程序底层C++库的崩溃问题
dvlinker的技术专栏
08-14 3万+
使用IDA反汇编工具查看汇编代码上下文,结合安卓系统自动生成的Tombstone文件,去分析安卓app程序底层C++模块的崩溃问题。
6.3 IDA Pro高级静态分析(函数识别、交叉引用追踪)
最新发布
勤奋的码农
07-20 1066
本文深入解析了IDA Pro在Windows环境下的高级静态分析技术,重点探讨函数识别和交叉引用追踪两大核心功能。在函数识别方面,详细介绍了入口特征匹配、控制流分析等原理,并针对混淆代码提出了碎片化函数检测、动态解密监控等对抗策略。交叉引用追踪部分则系统梳理了调用流、跳转流、读写流等引用类型,并讲解了递归引用、路径敏感分析等高级技巧。此外,文章还结合勒索软件逆向案例,展示了从函数识别到控制流脱混淆的完整分析流程,并展望了AI辅助分析和硬件协同防御的未来趋势。全文技术细节丰富,为逆向工程和漏洞挖掘提供了实用方
如何在IDA软件中找到自己需要的目标函数(关键函数)
半岛铁盒的博客
11-30 2万+
这个问题很困扰我们这些初学者 特此记录~~~ 一. 提前要记住IDA的基操~~ 1.shift+F12 查看string信息 (通常可以看到重要的信息 ) 2.Alt + T 查找带有目标字符串的函数 3. F5 查看 C代码 4. Ctrl + F 在函数框中 搜索函数 5. 空格键 流程图与代码 来回切换. 二.讲解 从题目下下载好附件后在IDA中打开,发现没有main函数(即关键代码所在的函数); 这时候我们按 Ctrl + F12 看到了flag, wrong, 但是发现了一个
IDA pro
2302_79344173的博客
10-24 4618
静态分析界面动调分析界面。
13.IDA-显示正确的函数名称(去掉c++后缀命名)
hgy413的专栏
01-26 8215
随便看一段IDA的反汇编: C++编译器用于区分重载函数的机制。为了给重载函数生成唯一的名称,编译器用其他字符来修饰函数名称 图左就是C++的后缀命名法,图右是正常的函数名字 为了显示正常的函数名字,使用Options▶Demangled Names 比如,我们选中Names,反汇编将显示为: 附 如果一个二进制文件使用了后缀命名,IDA的取消改编功能会立即展示函数的参数类型和返回
IDA反汇编/反编译静态分析iOS模拟器程序(三)函数表示与搜索函数
心流汇聚之地
05-14 1万+
打开IDA一般都是去搜索函数,可以说函数IDA工程的基本单位吧,数据结构什么的都是为函数服务而已。函数列表在界面左侧的Functions Window: 可以看到,UIKit有27789个函数呢。在搜索前要先知道函数的表示方式。 Objective-C函数的表示: 拿UIView来做例子吧。在xcode documentation中,UIView的函数会有这样的表示: + (
使用反汇编工具IDA查看发生异常的汇编代码的上下文去辅助分析C++软件异常
dvlinker的技术专栏
08-08 3万+
本文详细介绍如何使用反汇编工具IDA查看发生异常的汇编代码的上下文去辅助分析C++软件异常,并给出了问题分析实例。
IDApro权威指南》个人学习笔记
10-11
IDApro提供了红色指令代码功能,可以自动识别程序中的错误,并将其标注在红色指令代码中。 Edit-Function- IDApro提供了Edit-Function-功能,可以对函数进行编辑,包括添加新的函数块、删除函数块、修改函数块等。
IDA Pro 权威指南学习笔记(九) - 数据搜索
andiao1218的博客
08-21 3393
Search -> Next Code 命令将光标移动到下一个包含指令的位置 Jump -> Jump to Function 命令可以打开所有函数,可以迅速选择一个函数并导航到该函数所在的位置 文本搜索 IDA 文本搜索相当于对反汇编列表窗口进行子字符串搜索 通过 Search -> Text 命令启动文本搜索,快捷键为 Alt+T IDA 允许搜索 P...
IDA.Pro代码破解揭秘 源代码 示例
11-04
IDA.Pro代码破解揭秘 书中的所有样例。程序。源代码。 好不容易找到的。收5币
ida反编译后查找函数外部哪个库方法
SkYe's Blog
02-16 1858
研究路由器固件时,这个函数调用外部函数库中的 usrGetPass : 切换到固件根目录后: grep -rn "usrGetPass" 匹配出含有 usrGetPass 的文件,第一个是分析的文件,第二个就是要找的动态函数库。 在 ida 开头也有记录需要哪些外部函数库: ...
IDA 中的大规模路径搜索方法
有价值炮灰
11-07 806
本文主要是记录和分享了一种在 IDA 中通过非递归去实现的路径搜索算法,其算法核心是将递归的搜索替换为栈+循环的方式,可以应用在大规模的程序中避免递归内存耗尽。另外通过修改 `get_neighbors` 方法也可以方便地拓展到 Ghidra 或者 BinaryNinja 中。其实这也不算什么很新颖的东西,不过能将算法应用到自己写的脚本中感觉还是很奇妙的。
【Tech-so】So文件静态分析Step by Step(一) --------入门,利用IDA pro查看代码
进击中的Park哥
11-24 4655
之前搞腾了两个月的Cocos-Lua , 主要是把java的代码导出去给于Lua项目组调用,过程那个叫苦呀,其实到最后才发现,那是一个很简单的原理。 因为之前提及过,Lua与Java的互调要使用中间层C/C++来衔接,所以过程中也接触了一版的C/C++的代码,也了解了一下其静态库与动态库的链接。 由于中间层主要是使用NDK来编写,编写是没有问题的,毕竟无论是Eclipse还是A
代码恢复:使用IDA Pro反汇编obj文件
iMatt的专栏
06-11 3383
有时候系统或环境出错导致代码丢失或恶意篡改,如果这发生在提交源代码管理之前,那么只能自己恢复了。 打开IDAPro.
ida pro 查看简易 Android .so 文件伪代码
vistaup的博客
03-12 1724
当然,这个是最简单的so的结构,稍微复杂点的可能就搜索不到JAVA,后面再来填坑。注意,这篇只是我的简单记录,要学习详细使用,请参考其他大佬的。在函数窗口按 Ctrl + F 搜索 “JAVA” ,双击结果。点击 F5 ,借助F5 插件查看伪代码。直接把需要的文件拖到 IDA 中。让我们打开神器 IDA
Android IDA So的动态调试大法
热门推荐
雪一梦的博客
10-05 4万+
今天已是国庆的第五天,白天去武馆训练过后,晚上回来品一杯西湖龙井,更一篇博客,一来帮助需要之人,二来加深自己的理解。 下面就说关于在IDA中Android so的动态调试的问题以及在so的三个层次下断点的操作。 问题篇: 1.动态调试的作用以及与我们常说的脱壳区别之处? 2.IDA的下断点调试的原理? 3.有无反调试的步骤区别?以及原理? 4.反调试与反附加的区别? 5.I...
最强辅助!IDA 辅助工具Karta——二进制文件中搜索开源代码
Appleteachers的博客
05-11 1840
介绍 “ Karta”是IDA的python插件,其功能是在已经编译过的二进制文件中搜索是否使用了开源的代码。该插件是为了匹配大体积二进制文件中的开放源代码库的开源代码(通常是查找固件)。对于每天处理固件的人来说,反复的执行net-snmp显然是在浪费时间。所以需要一个工具来识别二进制文件所使用的开源,并在IDA中自动匹配。 这个插件的初衷是加快匹配的过程。用几个小时去匹配一个包含300个函数的库是很低效的一件事,更何况实际工作过程中逆向的工程会远大于此,比如超过100,000个函数的体积。当然,结合逆向工
利用ida pro的flare功能识别静态链接函数签名
jmp esp
07-07 4908
前言在逆向分析的过程中,如果一个静态链接文件被去除了函数签名,那么整个文件将会变得极其难以识别,我们很难通过手动去识别各个库函数。好在ida pro提供了利用模式识别方式进行识别的功能,使得我们可以很快速的得到很多函数的签名。FLIRTIDA拥有一个FLIRT技术,全称Fast Library Identification and Recognition Technology,即快速库识别和检测技术
win10如何使用IDA Pro分析IPA文件中的二进制代码
06-07
要在Windows 10上使用IDA Pro分析IPA文件中的二进制代码,请按照以下步骤进行操作: 1. 下载并安装IDA Pro:您可以从IDA Pro的官方网站(https://www.hex-rays.com/products/ida/support/download.shtml)下载并...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值