IDA 字符串解密脚本

最新推荐文章于 2025-05-30 12:47:54 发布
原创 最新推荐文章于 2025-05-30 12:47:54 发布 · 5.6k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

.text:10116143 BF 20 A1 18 10                    mov     edi, offset unk_1018A120

.text:10116148 BA 28 B1 18 10                    mov     edx, offset aKLVljqKqvyTy ; "k]L}VLJQ]KqVy[Ty"

这两个地址字符串被加密了

用如下脚本解密:


#include<idc.idc>
static main()
{
	auto nSrc,from;
	from=ScreenEA();
	from++;
	
	from=Dword(from);
	Message("%08x\n",from);
	nSrc=Byte(from);
	while(nSrc)
	{
		Message("%02x,0x%08.x\n",nSrc,from);
		PatchByte(from,nSrc^0x35);
		from++;
		nSrc=Byte(from);
	}
}


软件逆向破解入门系列(2)—静态分析利器IDA使用方法及爆破初探
Think88666的博客
07-07 4484
ida,静态分析,破解
IDA系列--插件开发-Python版
最新发布
Tasfa的博客
07-02 576
本文介绍了基于Python的IDA Pro插件开发技术,主要内容包括:开发环境配置(IDA Pro 7.0+及内置Python)、核心架构设计(事件处理、UI组件等)、关键API分类(控制流分析、反汇编操作等)、典型开发流程(插件生命周期管理、菜单集成等)。文章还深入讲解了高级功能开发(二进制补丁、自动重命名、图可视化)、调试技巧(日志输出、热重载)以及发布部署和安全注意事项。最后通过字符串解密器等典型案例,展示了Python插件开发的实用技巧和最佳实践。全文提供了详细的代码示例和架构图,帮助开发者快速掌握
ida flare_emu模拟执行批量解密字符串(Orchard_Botnet)
jentle8的博客
11-02 826
使用模拟执行批量解密堆栈字符串 ida flare-emu
使用IDAPython解密被加密函数名
liuhaidon1992的博客
12-04 1516
最近分析一款病毒,输入表是空的,并且搜字符串,搜不到函数名,函数名被加密了。 就写了个脚本把函数名都解密起来,并加注释,方便在IDA中查看。 完整脚本如下: def get_string(addr): out = "" sourceString = "amNFHufoTRn0P3vI8xBS4t6jM9CqXeibUDEpQ1ZGYywJzAg7sk2lc5WLOrKdhV.?...
IDA dumpdex经典脚本(记录)
qq_37567841的博客
05-30 229
IDA dumpdex经典脚本(记录)
java 对字符串的加密解密
城墙上奔跑de二帅
05-12 1万+
import java.security.Key; import java.security.spec.AlgorithmParameterSpec; import javax.crypto.Cipher; import javax.crypto.SecretKeyFactory; import javax.crypto.spec.DESKeySpec; import javax.crypto.
攻防世界 流浪者
沈理大学牲的博客
10-23 122
没有发现main函数,可以从字符串入手,找到对应的函数。然后根据第一个解释逆推写出第二个脚本。首先逆推出v5也就是a1这个数组。点进一个字符串,两个都一样。ctrl+x找到所属函数。找到调用此函数的函数。
lua脚本的加密与解密简单介绍
热门推荐
douluo998的博客
03-15 1万+
这里有个小技巧,当有很多so文件的时候,一般最大的文件是我们的目标(文件大是因为集成了lua引擎)。其中lua是明文代码,直接用记事本就能打开,luac是lua编译后的字节码,文件头为0x1B 0x4C 0x75 0x61 0x51,lua虚拟机能够直接解析lua和luac脚本文件,而luaJIT是另一个lua的实现版本(不是原作者写的),JIT是指Just-In-Time(即时解析运行),luaJIT相比lua和luac更加高效,文件头是0x1B 0x4C 0x4A。
如何在ida里面使用之花指令的操作+python插件进行运行脚本 以[MoeCTF 2022]chicken_soup为例
2302_81097378的博客
05-25 1152
(也就是说是到倒数第二个就结束了)我们就得到了如下的解密代码。
字符串提取与修改】:VS中从.exe文件提取和编辑隐藏字符串
![【字符串提取与修改】:VS中从.exe文件提取和编辑隐藏字符串](https://cdn.afterdawn.fi/screenshots/normal/14755.jpg) ...# 1. 字符串提取与修改的基础概念 ...通过对程序代码中的字符串进行提取,我们
白日门手游luac文件加密怎么解密_浅析android手游lua脚本的加密与解密
weixin_28877505的博客
02-05 3820
2018.05.02更新这段时间在翻备份的硬盘,突然发现了以前的分析项目和代码,从里面提取了之前附件的内容,现在上传给大家,真是柳暗花明又一村啊。附件包括201703版本的梦幻手游里面提取的so文件和一些加密后的资源文件(包括lua脚本),并包括了2个扑鱼APK文件,最后还打包了解密代码,供大家参考。附件太大,快100MB,上传不来论坛,我又放到百度网盘了......链接:https://pan....
国科大软件安全漏洞分析与发现第一次作业key1
灵魂画师牧码
03-16 1869
使用的是IDA Pro 6.6,导入homework1.exe之后,在Strings window窗口中可以看到以下信息 也就是please input key1:输出前的一个字符串xipbsfzpv@,这个字符串即是经过加密的字符串,接下来要做的工作就是将其解密,双击该处的字符串,跳转到了如下图位置 在_main+27那个位置点击右键,选择jump to operand,跳转到了如下图的位
Tool_RE_IDA基础字符串修改
CheAyuki13的博客
07-31 3864
字符串查找按住键盘组合键 shift + f12 打开字符串窗口,包含所有字符串,双击进去会找到选定字符串的内存地址,字符串修改1.选中字符串,在Hex dump修改对应内存地址内容(PS关于16进制可以在百度百科搜索ascii码表2.要将hello 52pojie!对应的hex是:68 65 6C 6C 6F 20 35 32 70 6F 6A 69 65 21改成hello world!在a...
ida字符串存储的小端序陷阱
amber_o0k的博客
10-08 998
小端序,英文名little endian 在ida f5查看伪代码后,如果看到 _DWORD v4[7]; v4[0] = 0xD6C0B67; v4[1] = 0x175F4078; v4[2] = 0x3302058; v4[3] = 0x725D1244; v4[4] = 0x2E1F3441; v4[5] = 0x6847404D; v4[6] = 0x1B; 注意最开始的数据类型,这个数组不光要按照4字节左侧补零对齐,还要将每一组数据翻转才能得到正确的字符串 ...
IDA Pro 代码破解解密》笔记一
Fly20141201. 的专栏
11-14 5762
return 0;  C语言返回0语句的汇编形式 Intel-32汇编: leave xor eax, eax ret AT&T汇编: leave xorl %eax, %eax ret 从汇编的结果可以看出,返回0的C语言语句,在编译器生成的汇编语句中并没有包含常量,这是编译器优化的结果,它认为复制零的操作比执行异或的运算更耗资源。 操作码与S
IDA6.8 脚本学习:
hjjdebug的专栏
08-25 5698
IDA6.8 脚本学习: author:hjjdebug 自己的一个小经历, 留个纪念吧! 看见IDA 在调试时,有一个默认python 的交换调试窗口. 点击它,可以改为IDC 脚本对话窗口. 然后可以在这个窗口中输入命令: 输入什么呢? 先来个hello, world 吧 输入: print "hello" 提示说: missing semicolon I
《教我兄弟学Android逆向07 IDAPro破解第一个so》
会飞的丑小鸭的博客
06-01 2805
上一篇 《教我兄弟学Android逆向06 用AndroidStudio编写第一个so》我带你用AS编写了第一个so 现在回顾一下 首先我创建了一个myJNI类 里面包含一个Native的sayHello方法 这个方法在native层返回一句话 hello 52pojie! 然后我在java层通过Log函数调用并输入了sayHello方法完成了第一个so的编写。 课程写到这我已经不再是面向旭一个人...
ida 脚本编写
weixin_34204722的博客
08-01 1274
win下 python 版直接放到\IDA_Pro_v6.8\plugins //test.py import idaapi class myplugin_t(idaapi.plugin_t): flags = idaapi.PLUGIN_UNL comment = "This is a comment" help = "This is help" wan...
请告诉我一个模拟执行还原ollvm混淆的字符串的方法,我是新手,越方便越好。
04-01
<think>嗯,用户想了解如何模拟执行还原OLLVM混淆的字符串,而且他是新手,需要越方便越好的方法。首先,我需要回忆一下OLLVM的混淆方式,尤其是字符串混淆部分。OLLVM通常会用控制流平坦化、虚假控制流等手段,字符串可能被加密或拆分,运行时动态组合。 新手可能对逆向工程工具不熟悉,所以推荐简单易用的工具是关键。首先想到的是使用模拟执行框架,比如Unicorn Engine,因为它可以执行二进制代码片段,方便动态获取解密后的字符串。但Unicorn可能需要编写脚本,对新手来说可能有点难度。 或者,有没有更简单的工具?比如,Frida这样的动态插桩工具,可以挂钩函数,在运行时获取字符串的值。或者使用GDB/LLDB调试器,设置断点,在解密函数执行后查看内存。不过手动调试可能比较繁琐。 另外,有没有现成的反混淆工具?比如deollvm这样的项目,但可能不支持所有情况,或者需要配置复杂的环境。可能需要结合具体例子来说明步骤。 用户可能需要一步步的指导,所以应该分步骤讲解。例如,先定位加密字符串的位置,找到解密函数,然后模拟执行解密过程,或者动态获取解密后的字符串。可能需要用radare2或Ghidra进行静态分析,找到解密函数地址,然后用Unicorn模拟执行解密函数,传入加密字符串的地址,获取结果。 还要考虑是否需要准备样本,比如一个被OLLVM处理过的二进制文件,里面包含加密字符串。然后通过示例代码展示如何操作,比如Python脚本调用Unicorn,设置内存和寄存器,执行解密函数,最后读取内存中的明文字符串。 可能需要注意的问题包括确定解密函数的参数和返回方式,处理内存布局,确保模拟环境与实际运行环境一致。对于新手,可能需要简化这些步骤,比如假设解密函数是简单的异或操作,或者提供示例脚本供参考。 总结下来,步骤可能是: 1. 使用静态分析工具(如Ghidra)定位加密字符串和对应的解密函数。 2. 编写模拟执行脚本(使用Unicorn),设置上下文,加载解密函数和加密数据。 3. 执行解密函数,获取解密后的字符串。 需要详细说明每一步,并给出具体的例子和代码片段,让新手能够跟随操作。同时提醒可能遇到的坑,比如函数参数识别、内存映射等,以及如何解决这些问题。可能还需要推荐一些学习资源,比如Unicorn的文档或简单教程,帮助用户进一步学习。</think>以下是一个适合新手的OLLVM字符串还原模拟执行方案(分步骤说明): 1. 准备工具 - 安装Qiling框架(比Unicorn更简单): ```bash pip install qiling ``` 2. 定位解密函数 用IDA/Ghidra查找特征: $$mov eax, [加密字符串地址]$$ $$call 解密函数$$ 3. 编写模拟脚本(示例): ```python from qiling import Qiling ql = Qiling(["混淆程序"], rootfs="/tmp") encrypted_str_addr = 0x08048000 # 替换为实际地址 key = 0xAA # 替换为实际密钥 # Hook解密函数 def decrypt_hook(ql): encrypted = ql.mem.read(encrypted_str_addr, 16) # 读取加密数据 decrypted = bytes([b ^ key for b in encrypted]) # 模拟异或解密 print(f"解密结果:{decrypted.decode()}") ql.hook_address(decrypt_hook, 0x08048400) # 挂钩解密函数地址 ql.run() ``` 4. 执行流程: - 运行脚本自动触发解密函数 - 内存中的加密数据会被动态解密 - 控制台输出还原后的原始字符串 新手注意事项: 1. 密钥查找技巧:在解密函数中寻找重复出现的XOR/ADD/SHL等指令 2. 地址定位:使用交叉引用(xref)找到字符串被调用的位置 3. 测试建议:先用简单样本(如自写demo程序)练习 4. 进阶工具:可配合angr符号执行实现自动化(需Python基础) 优势说明: Qiling框架自动处理: - 内存映射 - 系统调用 - 库函数依赖 相比传统Unicorn方案减少70%的配置代码
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值