IDAPython基础教程4

最新推荐文章于 2025-03-19 13:58:09 发布
最新推荐文章于 2025-03-19 13:58:09 发布
阅读量988 收藏 1
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yalecaltech/article/details/104025115
本文详细介绍了如何使用IDAPython进行代码搜索,包括字节序列、字符串和数值的查找,以及如何判断地址类型,适用于逆向工程和恶意软件分析。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

给出的文件名为rabbithole
在这里插入图片描述
首先使用file命令查看一下
在这里插入图片描述
可以看到是64位的可执行文件
接下来我们切换到win,使用IDApro,以此文件为样例,学习IDAPython的用法。
通过前面的学习我们已经能够通过遍历所有已知的函数及其指令来达到一种基本的搜索效果,这当然很有用,不过有时候我们需要搜索一些特定的字节,比如0x48 0xff 0xc2,这3个字节代表的汇编代码为inc rdx
在这里插入图片描述
我们可以选中该指令后右键-》synchronized with->hex view 1,可以看到对应的字节
在这里插入图片描述
我们可以使用idc.FindBinary(ea,flag,searcstr,radix=16)来进行字节或者二进制的搜索,flag代表搜索方向或条件,常用的包括:
SEARCH_UP,SEARCH_DOWN 用来指明搜索方向
SEARCH_NEXT 用来获取下一个已经找到的对象
SEARCH_CASE用来指明是否区分大小写
SEARCH_NOSHOW 用来指明是否显示搜索的进度
SEARCH_UNICODE用于将所有搜索字符串视为Unicode
Searchstr是我们要查找的形态,radix参数在写处理器模块时使用,一般用不到,留空即可
接下来看看如何搜索前面提到的那几个字节,其实在这里我用两个字节就可以精确查找了
import idautils
pattern =‘48 ff’
addr = MinEA()
for x in range(0,5):
addr = idc.FindBinary(addr,SEARCH_DOWN,pattern)
if addr != idc.BADADDR:
print hex(addr),idc.GetDisasm(addr)
在这里插入图片描述首先是将pattern置为对应的字节,然后使用MinEA()获取可执行文件的最开始的地址,然后将idc.FindBinary的返回结果设置为addr变量。拿到结果后,我们首先将其与idc.BADADDR进行比较,然后打印出该地址和该地址的反汇编结果。

通过字节序列来搜索确实很有用,可是有时候我们要查找“check_value”这种字符串呢?我们可以使用FindText(ea,flag,y,x,searcher),ea是地址,flag是搜索方向和搜索类型,y是从ea开始搜索的行数,x是行中的坐标,这两个参数一般置0,现在我们来尝试查找check_value
import idautils
pattern = “check_value”
cur_addr =MinEA()
end = MaxEA()
while cur_addr < end:
cur_addr = idc.FindText(cur_addr,SEARCH_DOWN,0,0,pattern)
if cur_addr == idc.BADADDR:
break
else:
print hex(cur_addr),idc.GetDisasm(cur_addr)
cur_addr = idc.NextHead(cur_addr)
在这里插入图片描述代码中cur_addr标记当前地址,end标记搜寻idb的结束地址,通过函数FindText进行搜索。我们在最后一行cur_addr = idc.NextHead(cur_addr)将每次操作的当前地址更新为下一行地址。这样就可以搜索出全部的check_value.

现在我们知道可以搜索各种类型的地址,那么我们在使用前就需要确定地址是什么类型的,IDAPython已经提供了这组方法,返回的结果是布尔类型,包括:
Idc.isCode(f):如果该地址为代码则返回True
Idc.isData(f):如果为数据返回true
Idc.idUnknown(f):无法鉴别是数据还是代码则返回true
Idc.isHead(f):如果为函数开头则返回true
Idc.isTail(f):如果为函数结尾则返回true
需要注意,这一系列函数是不能直接传递地址的,需要通过GetFlags(ea)对地址进行转换
我们将光标定位到inc上,代码如下
import idautils
ea = idc.ScreenEA()
print hex(ea),idc.GetDisasm(ea)
print idc.isCode(idc.GetFlags(ea))
在这里插入图片描述返回为true,用的是isCode,所以说明这是该地址是代码

我们可以通过idc.FindCode(ea,flag)获取下一个代码指令的地址,比如当我们需要获取某一块数据的结尾时,如果当前的ea是代码地址,idc.FindCode将会返回下一个代码指令的地址。
代码如下
import idautils
ea = idc.ScreenEA()
print hex(ea),idc.GetDisasm(ea)
addr = idc.FindCode(ea,SEARCH_DOWN|SEARCH_NEXT)
print hex(addr),idc.GetDisasm(addr)
在这里插入图片描述0x56218是某个数据的地址,我们将idc.FindCode(ea,SEARCH_DOWN|SEARCH_NEXT)的返回值赋给addr,然后打印出该地址和它的反汇编代码。

我们可以通过idc.FindData(ea,flag)获取下一个数据块类型地址的起始。在之前脚本中将FindCode换成这个函数就行了。
import idautils
ea = idc.ScreenEA()
print hex(ea),idc.GetDisasm(ea)
addr = idc.FindData(ea,SEARCH_DOWN|SEARCH_NEXT)
print hex(addr),idc.GetDisasm(addr)
在这里插入图片描述如果我们需要按照某一数值进行搜索的话则可以使用
FindImmediate(ea,flag,value),我们以0a为例,搜寻所有带0a的地址
下面的代码中没有用到新的函数,就不再解释了
import idautils
addr = MinEA()
while True:
addr,operand = idc.FindImmediate(addr,SEARCH_DOWN|SEARCH_NEXT,0x0A)
if addr != BADADDR:
print hex(addr),idc.GetDisasm(addr),“Operand”,operand
else:
break

在这里插入图片描述

Elwood Ying
关注
IDAPython基础教程
ChuMeng1999的博客
10-31 508
目录预备知识1.关于IDA2.IDAPython实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 1.关于IDA IDA Pro(简称IDA)是DataRescue公司(www.datarescue.com)出品的一款交互式反汇编工具,它功能强大、操作复杂,要完全掌握它,需要很多知识。IDA最主要的特性是交互和多处理器。操作者可以通过对IDA的交互来指导IDA更好地反汇编,IDA并不自动解决程序中的问题,但它会按用户的指令找到可疑之处,用户的工作是通知IDA怎样去做。比如人工指定编译器类型,对变量名
IDAPython基础教程
ChuMeng1999的博客
10-28 718
目录预备知识1.关于IDA2.IDAPython实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 1.关于IDA IDA Pro(简称IDA)是DataRescue公司(www.datarescue.com)出品的一款交互式反汇编工具,它功能强大、操作复杂,要完全掌握它,需要很多知识。IDA最主要的特性是交互和多处理器。操作者可以通过对IDA的交互来指导IDA更好地反汇编,IDA并不自动解决程序中的问题,但它会按用户的指令找到可疑之处,用户的工作是通知IDA怎样去做。比如人工指定编译器类型,对变量名
idapython 使用--一些函数用法
kkllzzyy的博客
11-27 2637
idapython 使用 idapro 7.5 本篇笔记来总结一下近期写idapython时使用到的一些idapython的函数用法 通过变量名字找变量的二进制地址 addr = get_name_ea_simple("outputfile") 返回地址(int型) 寻找程序的起始地址和结束地址 min_ea = inf_get_min_ea() #起始地址 max_ea = inf_get_max_ea() #结束地址 寻找程序中指定段的起始地址和结束地址 seg = get_segm
IDAPython入门基础语法
OrientalGlass的博客
04-24 1292
IDAPython拥有强大的功能,在使用IDA分析程序时非常有用,可以简化许多操作例如花指令的特征码匹配修改学习IDAPython需要了解一点Python语言的基本知识以及查询IDAPython文档IDAPython官方文档:直接在搜索框搜索即可匹配相关项。
恶意代码分析与实战lab5
qq_74420726的博客
10-21 922
实验目的 (1)完成教材上lab5的题目; (2)在样本分析结果的基础上,编写样本的Yara检测规则。 (3)尝试编写IDA Python脚本来辅助样本分析。 实验原理 IDA Python 是 IDA Pro 的强大脚本接口,它允许我们通过 Python 语言与 IDA 的各种分析功能进行交互。IDA Python 提供了丰富的 API 和库来辅助逆向工程和二进制分析。以下是一些常用的 IDA Python 特有函数和库: 1. idc 模块 idc 模块包含了 IDA 中很多通用的低层次函数,例如操作字
idc例子
最新发布
要把所有那些负面的信息当做对自身行为的评价,而不是对自身价值的评判。
03-19 107
【代码】idc例子。
IDA脚本笔记01
kelxLZ的博客
01-09 1088
Author:ZERO-A-ONE Date:2019-10-29 0x01 读取和修改数据的函数 01 Byte long Byte(long addr) 从虚拟地址addr处读取一个字节值 02 Word long Word(long addr) 从虚拟地址addr处读取一个字(2字节)值 03 Dword long Dword(long addr) 从虚拟地址addr处读取一个双字(4字节)值 04 PatByte void PatchByte(long addr, long val) 设.
IDAPython基础教程5.pdf
06-11
IDAPython基础教程5 给出的⽂件名为rabbithole ⾸先使⽤file命令查看⼀下 可以看到是64位的可执⾏⽂件 接下来我们切换到win,使⽤IDApro,以此⽂件为样例,学习IDAPython的⽤法。 不是所有时候我们都需要写⼀段代码...
IDAPython基础教程
ChuMeng1999的博客
10-31 576
目录预备知识1.关于IDA2.IDAPython实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 1.关于IDA IDA Pro(简称IDA)是DataRescue公司(www.datarescue.com)出品的一款交互式反汇编工具,它功能强大、操作复杂,要完全掌握它,需要很多知识。IDA最主要的特性是交互和多处理器。操作者可以通过对IDA的交互来指导IDA更好地反汇编,IDA并不自动解决程序中的问题,但它会按用户的指令找到可疑之处,用户的工作是通知IDA怎样去做。比如人工指定编译器类型,对变量名
IDAPython手册(中文版)
11-03
手册中还包含了一个免责声明,指出其内容并不旨在取代正式的IDA或IDAPython教程,而是一个补充材料。 最后,手册中包含了一些实用的提示和常见的错误处理方法,比如在代码中使用模块导入,以解决可能出现的Name...
IDAPython手册中文翻译
01-03
IDAPython官方手册的中文翻译, IDAPython开发者必备。
IDA python使用笔记
dengliang7440的博客
03-29 409
pattern='20 E5 40 00' addr=MinEA() for x in range(0,5): addr=idc.FindBinary(addr,SEARCH_DOWN,pattern) if addr!=idc.BADADDR: print hex(addr), idc.GetDisasm(addr)#搜寻制定的字符串#将其保存到指定的脚步...
IDAPython类库---idc.py的源码
Fly20141201. 的专栏
03-20 8170
#!/usr/bin/env python #--------------------------------------------------------------------- # IDAPython - Python plugin for Interactive Disassembler # # Original IDC.IDC: # Copyright (c) 1990-2010 Il
IDApython学习笔记(一)
至臻求学,胸怀云月
03-29 1949
文章目录IDApython 简介安装测试背景基础 IDApython 简介 安装 需提前安装python2.7 ida pro7.0 百度网盘链接 链接:https://pan.baidu.com/s/1XQX1w8QgFGQMef6jSaCnBQ 提取码:xe1t 可直接下载使用,无需配置 测试 使用IDA打开任意二进制文件 在输出窗口,选择python,并打印任意字符 观察是否能正常运...
【移动安全】ida idc脚本实现加密指令修改
Walter的专栏
11-11 4721
移动应用中对so文件,有些函数用了mprotect进行保护,即将加密数据解密后再在内存执行,然后再将内存数据加密后写回原位置,通常解密后数据具有反调试功能。 破解应对措施:ida调试跟踪后内存加密数据解密还原及加密算法提取完毕后,将密钥的内存数据和修改后的内存数据地址作为idc脚本输入,打印输出生成的加密数据或指令,从而利用UE修改so,实现永久修改的目的,后续直接跟踪调试so即可。将下面的脚本保
python中dword类型_Python idc.Dword方法代碼示例
weixin_39701735的博客
02-09 465
# 需要導入模塊: import idc [as 別名]# 或者: from idc import Dword [as 別名]def fix_vxworks_idb(load_address, vx_version, symbol_table_start, symbol_table_end):current_image_base = idaapi.get_imagebase()symbol_int...
5.IDA-文本搜索、二进制搜索(16进制字节序列)、替换16进制
热门推荐
hgy413的专栏
11-10 4万+
1.文本搜索 IDA文本搜索相当于对反汇编列表窗口进行子字符串搜索。通过Search▶Text(热键:ALT+T)命令启动文本搜索 选择Find all occurences(查找所有结果),IDA将在一个新的窗口中显示搜索结果,最后,使用CTRL+T或Search▶Next Text(Ctrl+T)命令可重复前一项搜索,以找到下一个匹配结果 2.二进制搜索 使用Sea
ida 插件编写
我这发烧的青春
11-23 1448
Ida中的IDC 脚本 ,python 脚本 还有插件功能给我们提供了很强大的扩展性,我们在分析二进制代码的时候总会有些时候需要写些脚本来给我们提供自动化的分析来释放我们的双手。 脚本已经很方便了,但有些时候为了效率我们还是需要编写下插件的。现在就来介绍下ida 插件的编写: 下面写一个arm elf 中遍历 svc call  int search_svc_call(ea_t st
查找binary_search和find
残梦听雨
01-13 896
//binary_search 二分查找 //find 查找 #include&lt;iostream&gt; #include&lt;algorithm&gt; using namespace std; int main(){ int a[]={1,3,5,7,9,2,4,6,8,0}; sort(a,a+10); cout&lt;&lt;binary_search(a,a+10,6...
IDApython编写脚本
02-27
### 使用 IDA Python 编写插件脚本 #### 插件开发环境准备 为了编写和调试 IDA Pro 的 Python 脚本,需先安装好 IDAPython 这一插件。该工具集成了Python 解释器到IDA环境中,允许访问Python的数据处理能力以及所有可用的Python库[^1]。 对于不同版本的支持情况,当前IDAPython兼容从IDA 6.6至IDA 7.4之间的多个版本[^2]。这意味着开发者可以根据所使用的IDA具体版本来决定是否能够顺利集成并利用此强大的扩展功能。 #### 创建简单的插件脚本实例 下面给出一段基础代码作为入门例子: ```python import idaapi class MyPlugin(idaapi.plugin_t): flags = idaapi.PLUGIN_KEEP comment = "这是一个简单插件" help = "显示一条消息框" wanted_name = "My First Plugin" wanted_hotkey = "" def init(self): print("初始化插件") return idaapi PLUGIN_OK def run(self, arg): ida_kernwin.warning("欢迎来到我的第一个IDA Python插件!") def term(self): print("终止插件") def PLUGIN_ENTRY(): return MyPlugin() ``` 上述代码定义了一个名为 `MyPlugin` 的类继承自 `idaapi.plugin_t` 类型,并实现了三个主要方法:`init()`用于初始化操作;`run(arg)`负责执行核心逻辑;而`term()`则是在卸载时调用以清理资源。最后通过函数`PLUGIN_ENTRY()`返回新创建的对象给IDA加载器。 当这个脚本被成功加载之后,每当启动IDA都会自动触发一次警告对话框展示预设的消息字符串。 #### 获取更多学习资料 除了官方文档外,还有专门针对该项目编写的教程可供查阅,这些材料有助于深入了解 IDAPython 的目录结构及其内部工作原理等内容[^3]。此外,网络上也有不少实战案例分享,比如有文章介绍了如何借助 MoeCTF 挑战赛中的题目实践逆向工程技巧,从中也能学到很多实用的知识点[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值