IDAPython基础教程4

最新推荐文章于 2025-03-19 13:58:09 发布
原创 最新推荐文章于 2025-03-19 13:58:09 发布 · 1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了如何使用IDAPython进行代码搜索,包括字节序列、字符串和数值的查找,以及如何判断地址类型,适用于逆向工程和恶意软件分析。

给出的文件名为rabbithole
在这里插入图片描述
首先使用file命令查看一下
在这里插入图片描述
可以看到是64位的可执行文件
接下来我们切换到win,使用IDApro,以此文件为样例,学习IDAPython的用法。
通过前面的学习我们已经能够通过遍历所有已知的函数及其指令来达到一种基本的搜索效果,这当然很有用,不过有时候我们需要搜索一些特定的字节,比如0x48 0xff 0xc2,这3个字节代表的汇编代码为inc rdx
在这里插入图片描述
我们可以选中该指令后右键-》synchronized with->hex view 1,可以看到对应的字节
在这里插入图片描述
我们可以使用idc.FindBinary(ea,flag,searcstr,radix=16)来进行字节或者二进制的搜索,flag代表搜索方向或条件,常用的包括:
SEARCH_UP,SEARCH_DOWN 用来指明搜索方向
SEARCH_NEXT 用来获取下一个已经找到的对象
SEARCH_CASE用来指明是否区分大小写
SEARCH_NOSHOW 用来指明是否显示搜索的进度
SEARCH_UNICODE用于将所有搜索字符串视为Unicode
Searchstr是我们要查找的形态,radix参数在写处理器模块时使用,

最低0.47元/天 解锁文章
Elwood Ying
关注
IDAPython入门基础语法
OrientalGlass的博客
04-24 1361
IDAPython拥有强大的功能,在使用IDA分析程序时非常有用,可以简化许多操作例如花指令的特征码匹配修改学习IDAPython需要了解一点Python语言的基本知识以及查询IDAPython文档IDAPython官方文档:直接在搜索框搜索即可匹配相关项。
IDAPython基础教程
ChuMeng1999的博客
10-31 552
目录预备知识1.关于IDA2.IDAPython实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 1.关于IDA IDA Pro(简称IDA)是DataRescue公司(www.datarescue.com)出品的一款交互式反汇编工具,它功能强大、操作复杂,要完全掌握它,需要很多知识。IDA最主要的特性是交互和多处理器。操作者可以通过对IDA的交互来指导IDA更好地反汇编,IDA并不自动解决程序中的问题,但它会按用户的指令找到可疑之处,用户的工作是通知IDA怎样去做。比如人工指定编译器类型,对变量名
IDA Python 使用总结
sky123博客
08-29 9688
运行 IDA 安装目录下的,选择使用的 python 解释器。
idapython
m0_53342264的博客
10-23 2560
idapython笔记 api汇总
idapython 使用--一些函数用法
kkllzzyy的博客
11-27 2775
idapython 使用 idapro 7.5 本篇笔记来总结一下近期写idapython时使用到的一些idapython的函数用法 通过变量名字找变量的二进制地址 addr = get_name_ea_simple("outputfile") 返回地址(int型) 寻找程序的起始地址和结束地址 min_ea = inf_get_min_ea() #起始地址 max_ea = inf_get_max_ea() #结束地址 寻找程序中指定段的起始地址和结束地址 seg = get_segm
用 IDC 脚本剔除花指令:IDA Pro 逆向分析的进阶技巧
m0_57836225的博客
02-07 1895
在 IDA Pro 这款强大的逆向工程工具中,IDC 脚本功能为我们提供了自动化处理代码的能力,其中剔除花指令就是一项十分实用的操作。花指令是程序开发者为了增加逆向分析难度而插入的无用代码,剔除它们有助于我们更清晰地理解程序逻辑。接下来,让我们深入了解如何使用 IDC 脚本进行花指令剔除。
IDAPython基础教程5.pdf
06-11
IDAPython基础教程5 给出的⽂件名为rabbithole ⾸先使⽤file命令查看⼀下 可以看到是64位的可执⾏⽂件 接下来我们切换到win,使⽤IDApro,以此⽂件为样例,学习IDAPython的⽤法。 不是所有时候我们都需要写⼀段代码...
IDAPython基础教程
ChuMeng1999的博客
10-28 740
目录预备知识1.关于IDA2.IDAPython实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 1.关于IDA IDA Pro(简称IDA)是DataRescue公司(www.datarescue.com)出品的一款交互式反汇编工具,它功能强大、操作复杂,要完全掌握它,需要很多知识。IDA最主要的特性是交互和多处理器。操作者可以通过对IDA的交互来指导IDA更好地反汇编,IDA并不自动解决程序中的问题,但它会按用户的指令找到可疑之处,用户的工作是通知IDA怎样去做。比如人工指定编译器类型,对变量名
IDAPython基础教程3
Yale的博客
01-17 1536
给出的文件名为rabbithole 首先使用file命令查看一下 可以看到是64位的可执行文件 接下来我们切换到win,使用IDApro,以此文件为样例,学习IDAPython的用法。 操作数在逆向分析中经常被使用,所以了解所有的操作数对逆向分析非常有帮助。我们可以使用idc.GetOpTye(ea,n)来获取操作数类型,ea是一个地址,n是一个索引,从0开始。操作数一共有八种不同的类型。 O...
逆向辅助工具
LH1013886337的博客
12-09 1687
IDA的插件,写脚本的在逆向分析过程中,如果可以读取或修改二进制数据是非常有帮助的汇编指令,最左边的是指令地址,右边是汇编语句,中间则是汇编指令的16进制数据在获取数据之前,需要确定两个信息:想获取数据的单位大小以及地址here()函数可以获取当前光标所在的地址,再通过 idc.GetDisasm(ea)即可获取该地址处的汇编语句当知道一个地址时,便可以通过函数 idc.NextHead(ea)/idc.PrevHead(ea)来获取下一条指令/上一条指令。
ida导出汇编函数脚本
08-30
如果想将ida里面的函数提取出来,就需要用这个脚本文件
恶意代码分析与实战lab5
qq_74420726的博客
10-21 1158
实验目的 (1)完成教材上lab5的题目; (2)在样本分析结果的基础上,编写样本的Yara检测规则。 (3)尝试编写IDA Python脚本来辅助样本分析。 实验原理 IDA Python 是 IDA Pro 的强大脚本接口,它允许我们通过 Python 语言与 IDA 的各种分析功能进行交互。IDA Python 提供了丰富的 API 和库来辅助逆向工程和二进制分析。以下是一些常用的 IDA Python 特有函数和库: 1. idc 模块 idc 模块包含了 IDA 中很多通用的低层次函数,例如操作字
idc例子
最新发布
要把所有那些负面的信息当做对自身行为的评价,而不是对自身价值的评判。
03-19 128
【代码】idc例子。
IDA 使用记录
liuzejie1的博客
03-28 1504
U x2 = x;
idapython 记录
qq_39153421的博客
05-30 1505
idapython 版本api变化 api变化 基础api idc.ScreenEA()--> idc.get_screen_ea() 获取当前光标所在行的地址, 返回一个 int 类型 idc.MaxEA()--> ida_ida.inf_get_min_ea() 获取当前idb 的最小地址 和 最大地址 idc.SegName(ea) --> idc.get_segm_name(ea) ea是一个变量存储当前地址, 这个api 是获取当前地址所在的段 idc.GetDisasm
IDA脚本笔记01
kelxLZ的博客
01-09 1148
Author:ZERO-A-ONE Date:2019-10-29 0x01 读取和修改数据的函数 01 Byte long Byte(long addr) 从虚拟地址addr处读取一个字节值 02 Word long Word(long addr) 从虚拟地址addr处读取一个字(2字节)值 03 Dword long Dword(long addr) 从虚拟地址addr处读取一个双字(4字节)值 04 PatByte void PatchByte(long addr, long val) 设.
IDAPython详细版(一)
SXXYNHHXX的博客
01-01 3360
一旦我们在列表中有了指令,我们使用idautil . functions()和get_func_attr(ea, FUNCATTR_FLAGS)的组合来获得所有适用的函数,同时忽略库和thunks。idc.get_func_attr(ea,FUNCATTR_START)和idc.get_func_attr(ea,FUNCATTR_END)访问函数边界。如果我们有一个函数的地址,我们能够使用idautils.Funcltems(ea)获取列表中所有地址(前提是必须在函数内,会显示改函数所有指令的地址)
IDAPython详细版(二)
SXXYNHHXX的博客
01-05 1736
第一个参数是包含将要被标记的偏移量的指令的地址(ea)。第二个参数是操作数,在下面的例子中,因为我们想要更改mov eax, fs:[ecx+30h]中的0x30标签,我们需要为第二个参数传递一个值1。第三个参数是类型id,第四个参数通常是0.
IDApython编写脚本
02-27
除了官方文档外,还有专门针对该项目编写的教程可供查阅,这些材料有助于深入了解 IDAPython 的目录结构及其内部工作原理等内容[^3]。此外,网络上也有不少实战案例分享,比如有文章介绍了如何借助 MoeCTF 挑战赛中...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值