IDAPython基础教程5

最新推荐文章于 2025-04-06 00:24:26 发布
最新推荐文章于 2025-04-06 00:24:26 发布
阅读量1.3k 收藏 1
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yalecaltech/article/details/104025160
本文介绍如何使用IDAPython进行代码注释自动化,包括选择代码区域、自动注释xor指令、函数注释添加与查看,以及IDAPython在逆向工程中的应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

给出的文件名为rabbithole
在这里插入图片描述
首先使用file命令查看一下
在这里插入图片描述
可以看到是64位的可执行文件
接下来我们切换到win,使用IDApro,以此文件为样例,学习IDAPython的用法。
不是所有时候我们都需要写一段代码来实现自动化的代码或者数据的查找,在有些情况下我们已经知道了目标代码或数据的位置,我们仅仅获取指定区域的代码,这时候可以使用idc.SelStart()和idc.SelEnd()
比如我们选中如下的范围
在这里插入图片描述使用以下脚本获取所选区域地址
import idautils
start = idc.SelStart()
print hex(start)
end = idc.SelEnd()
print hex(end)

在这里插入图片描述脚本中start为所选区域的起始地址,end被赋值为该区域结束地址的下一条地址。当然还有个更专业的函数idaapi.read_selection(),该函数返回一个3元组,元组的第一个参数为布尔值,标记所选区域是否可读,第二和第三个参数为所选区域的起始和结束地址。
在这里插入图片描述上图是同一个区域使用idaapi.read_selection返回的结果

我们在使用IDA时常会添加注释,注释有助于理解代码的结构和功能。
比如一条简单的异或xor置零指令:xor eax eax,相当于就是给eax置0
在这里插入图片描述
我们以这个为例,实现一个简单的功能,就是自动给这种指令添加注释
添加的注释内容为eax = 0
import idautils
for func in idautils.Functions():
flags = idc.GetFunctionFlags(func)
if flags & FUNC_LIB or flags & FUNC_THUNK:
continue
dism_addr = list(idautils.FuncItems(func))
for ea in dism_addr:
if idc.GetMnem(ea) == “xor”:
if idc.GetOpnd(ea,0) == idc.GetOpnd(ea,1):
comment = “% s = 0” % (idc.GetOpnd(ea,0))
idc.MakeComm(ea,comment)
在这里插入图片描述代码解释:首先通过idautils.Function()循环遍历所有函数,之后通过list(idautils.FuncItems(func))将每一个函数对应的所有指令放到一个list列表中汇总,通过idc.GetMnem(ea)获取list中每一条指令的操作码,并判断该操作码是否为“xor”,之后通过函数idc.GetOpnd(ea,n)获取该条指令的两个操作数,并判断这两个操作数是否相等,若相等则给该指令添加注释。

运行结果如下

在这里插入图片描述IDAPython可以写注释,那么则呢么查看注释呢?通过GetCommentEx(ea,repeatable)函数可以获取到当前地址的注释内容,其中ea为指定的地址,repeatable是一个布尔值
import idautils
for func in idautils.Functions():
flags = idc.GetFunctionFlags(func)
if flags & FUNC_LIB or flags & FUNC_THUNK:
continue
dism_addr = list(idautils.FuncItems(func))
for ea in dism_addr:
if idc.GetMnem(ea) == “xor”:
if idc.GetOpnd(ea,0) == idc.GetOpnd(ea,1):
comment = “% s = 0” % (idc.GetOpnd(ea,0))
idc.MakeComm(ea,comment)
print idc.GetCommentEx(ea,False)
在这里插入图片描述我们前面是在给指令写注释,那么怎么给函数写注释呢。我们通过idc.SetFunctionCmt(ea,cmt,bool)进行函数注释。Wa为函数体中任意一处指令的地址,cmt为需要注释的内容,bool为布尔值,false表示重复注释,true为普通注释。重复注释的意思就是生效之后,其他引用的地方也会自动生成注释。
以给check_value函数添加注释为例,定位到函数体重
在这里插入图片描述代码如下
import idautils
ea = idc.ScreenEA()
print hex(ea),idc.GetDisasm(ea)
print idc.GetFunctionName(ea)
idc.SetFunctionCmt(ea,“function comment test”,1)
在这里插入图片描述运行后可以看到check_value的注释已经生成了

在这里插入图片描述因为使用的是重复注释,所以交叉引用时可以看到引用处函数也都进行了注释
在这里插入图片描述同样的,我们使用idc.GetFunctionCmt来获取注释某一行指令所在函数对应的注释,代码如下
import idautils
ea = idc.ScreenEA()
print hex(ea),idc.GetDisasm(ea)
print idc.GetFunctionName(ea)
print idc.GetFunctionCmt(ea,1)
在这里插入图片描述在代码中我们打印出当前指令对应的汇编指令形式及地址,函数名和对应的注释。

Elwood Ying
关注
IDAPython基础教程
ChuMeng1999的博客
10-31 508
目录预备知识1.关于IDA2.IDAPython实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 1.关于IDA IDA Pro(简称IDA)是DataRescue公司(www.datarescue.com)出品的一款交互式反汇编工具,它功能强大、操作复杂,要完全掌握它,需要很多知识。IDA最主要的特性是交互和多处理器。操作者可以通过对IDA的交互来指导IDA更好地反汇编,IDA并不自动解决程序中的问题,但它会按用户的指令找到可疑之处,用户的工作是通知IDA怎样去做。比如人工指定编译器类型,对变量名
IDAPython基础教程
ChuMeng1999的博客
10-28 718
目录预备知识1.关于IDA2.IDAPython实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 1.关于IDA IDA Pro(简称IDA)是DataRescue公司(www.datarescue.com)出品的一款交互式反汇编工具,它功能强大、操作复杂,要完全掌握它,需要很多知识。IDA最主要的特性是交互和多处理器。操作者可以通过对IDA的交互来指导IDA更好地反汇编,IDA并不自动解决程序中的问题,但它会按用户的指令找到可疑之处,用户的工作是通知IDA怎样去做。比如人工指定编译器类型,对变量名
IDAPython中文教程手册
10-18
IDAPython中文教程手册,翻译自英文文档,密码:123。
Python 逆向实战:IDA Python 与仿真器的深度应用
最新发布
m0_57836225的博客
04-06 1409
在前面的章节中,我们全方位地探索了 Python 在网络安全与逆向工程领域的多种应用,从开发环境搭建到调试器、钩子与注入技术,再到 Fuzzing 测试技术。这一章,我们将聚焦 IDA Python 与仿真器。IDA Pro 作为全球顶尖的反汇编工具,配合 IDA Python 脚本,能极大提升逆向工程的效率;而仿真器则为安全研究人员提供了一个安全可控的环境,模拟程序运行,助力分析复杂的二进制文件。
IDAPython 初学者指南
05-27
IDAPython 初学者指南 IDAPython 初学者指南 IDAPython 初学者指南
ida-idapython
qq_43390703的博客
10-08 547
IDAPython IDAPython是Gergely Erfelyi开发的一个插件,在IDA中集成了python解释器,并且IDAPython还具有IDA SDK大部分功能,所以它能比IDC写出功能更加强大的脚本。但是IDAPython能够参考的文档较少。 我们可以通过IDA目录下python子目录关于IDAPython的三个模块进行学习。 实例 代码来自《揭秘家用路由器0day漏洞挖掘技术》。 #源代码 IDAPython处理危险函数交叉引用 def getFuncAddr(fname): retur
IDA python(简单)
lwhaaaa的博客
04-25 1799
文章目录0x01 简介0x02 使用方法0x03 相关语法 0x01 简介 ​ IDA python 是一个 IDA 的插件,其功能作用和 IDC 差不多,但 IDC 功能并没有 IDA python 强大。 0x02 使用方法 ​ IDA 6.8 后好像便自带了。和 IDC 类似,使用 python 语句写一段代码,然后放入命令中,运行即可。打开如下 0x03 相关语法 ​ IDA python 主要由 3 个模块组成: idc,idautils 和 idaapi。 idaapi,及idaap
IDAPython基础教程5.pdf
06-11
IDAPython基础教程5 给出的⽂件名为rabbithole ⾸先使⽤file命令查看⼀下 可以看到是64位的可执⾏⽂件 接下来我们切换到win,使⽤IDApro,以此⽂件为样例,学习IDAPython的⽤法。 不是所有时候我们都需要写⼀段代码...
IDAPython基础教程
ChuMeng1999的博客
10-31 575
目录预备知识1.关于IDA2.IDAPython实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 1.关于IDA IDA Pro(简称IDA)是DataRescue公司(www.datarescue.com)出品的一款交互式反汇编工具,它功能强大、操作复杂,要完全掌握它,需要很多知识。IDA最主要的特性是交互和多处理器。操作者可以通过对IDA的交互来指导IDA更好地反汇编,IDA并不自动解决程序中的问题,但它会按用户的指令找到可疑之处,用户的工作是通知IDA怎样去做。比如人工指定编译器类型,对变量名
IDAPython手册(中文版)
11-03
手册中还包含了一个免责声明,指出其内容并不旨在取代正式的IDA或IDAPython教程,而是一个补充材料。 最后,手册中包含了一些实用的提示和常见的错误处理方法,比如在代码中使用模块导入,以解决可能出现的Name...
《IDA Pro权威指南》与《IDAPython 初学者指南》.zip
06-13
《IDA Pro权威指南》作者:Chris Eagle,翻译:石华耀、段桂菊 《IDAPython 初学者指南》作者:Alexander Hanel,翻译:foyjog
IDA Python
01-20
详细阐述了IDA Python使用细节,介绍了IDA Python的调用惯例,基本类和常用类的使用方法。
IDA与python接口
04-25
IDA与python接口,包括多个版本: idapython-1.2.0_ida5.4_py2.5_win32 idapython-1.5.2_ida6.1_py2.6_win32 idapython-1.5.3_ida6.2_py2.6_win32 idapython-1.5.3_ida6.2_py2.7_win32
idapython api chm
01-27
idapython api 文档,从网站上爬出来的,方便离线查看
idapython
m0_53342264的博客
10-23 2309
idapython笔记 api汇总
IDA Python 使用总结
sky123博客
08-29 8656
运行 IDA 安装目录下的,选择使用的 python 解释器。
IDA Python的介绍
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
05-14 1771
然而,IDA Python的使用也需要一定的编程基础和IDA Pro的API知识,需要不断学习和实践才能掌握。通过IDA Python,用户可以访问IDA Pro的API,调用IDA Pro的功能和命令,以实现自动化分析和修改。例如,IDA Python包含一些特殊的库和函数,例如idaapi、idautils和ida_hexrays等。接着,使用idautils.Functions()函数获取程序中的所有函数地址,然后使用idaapi.get_func_name()函数获取函数名,并打印输出。
IDAPython 学习笔记
c/c++、x86汇编、Win32汇编、逆向、破解
10-15 822
相关文章: http://www.vuln.cn/6249 中文翻译 英文原教程: https://researchcenter.paloaltonetworks.com/2016/06/unit42-using-idapython-to-make-your-life-easier-part-6/ https://researchcenter.paloaltonetworks.com/201...
IDApython编写脚本
02-27
### 使用 IDA Python 编写插件脚本 #### 插件开发环境准备 为了编写和调试 IDA Pro 的 Python 脚本,需先安装好 IDAPython 这一插件。该工具集成了Python 解释器到IDA环境中,允许访问Python的数据处理能力以及所有可用的Python库[^1]。 对于不同版本的支持情况,当前IDAPython兼容从IDA 6.6至IDA 7.4之间的多个版本[^2]。这意味着开发者可以根据所使用的IDA具体版本来决定是否能够顺利集成并利用此强大的扩展功能。 #### 创建简单的插件脚本实例 下面给出一段基础代码作为入门例子: ```python import idaapi class MyPlugin(idaapi.plugin_t): flags = idaapi.PLUGIN_KEEP comment = "这是一个简单插件" help = "显示一条消息框" wanted_name = "My First Plugin" wanted_hotkey = "" def init(self): print("初始化插件") return idaapi PLUGIN_OK def run(self, arg): ida_kernwin.warning("欢迎来到我的第一个IDA Python插件!") def term(self): print("终止插件") def PLUGIN_ENTRY(): return MyPlugin() ``` 上述代码定义了一个名为 `MyPlugin` 的类继承自 `idaapi.plugin_t` 类型,并实现了三个主要方法:`init()`用于初始化操作;`run(arg)`负责执行核心逻辑;而`term()`则是在卸载时调用以清理资源。最后通过函数`PLUGIN_ENTRY()`返回新创建的对象给IDA加载器。 当这个脚本被成功加载之后,每当启动IDA都会自动触发一次警告对话框展示预设的消息字符串。 #### 获取更多学习资料 除了官方文档外,还有专门针对该项目编写的教程可供查阅,这些材料有助于深入了解 IDAPython 的目录结构及其内部工作原理等内容[^3]。此外,网络上也有不少实战案例分享,比如有文章介绍了如何借助 MoeCTF 挑战赛中的题目实践逆向工程技巧,从中也能学到很多实用的知识点[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值