2018-07-14 IDA-脚本编写
执行脚本的常识:
- 访问IDA的脚本引擎
图片.png
图片.png - script Flie:表示 独立的一个脚本
最近使用过的脚本
如下图所示:
双击:表示运行脚本
recent scripts窗口
options->General->misc:指定编辑器。
指定编辑器
IDC语言:
IDC脚本语言借用了很多C语言的许多的语法。
IDC变量:
- auto:
IDC关键字auto用于引入一个局部变量。
auto例子
1:IDC认可使用/* */的c语言风格进行多行注释。
2:也使用//的C++风格进行行尾注释
3:使用;作为终止符(和c语言中一样)
4:IDC并不支持c风格数组类型,指针,结构体,联合之类,复杂的数据类型 - extern:
IDA使用extern关键字引入全局变量公告。
可以在任何函数定日的内部和外部申明全局变量,但蹦年子啊公告全局变量的是时候为其提供初始值
例子程序
IDC表达式:
IDC支持c中的所有表达式和逻辑运算符,包括三元运算符(?:)。
- 支持逗号运算符
但是 不支持 op=(+=,*=,>>=等)符合赋值运算符。 - 不支持算术移位,假如要移位只能修改最高位和最低位。如下所示:
移位操作
提供分片运算,
使用方法:使用方括号和其实索引(包括)与结束索引(不包括)来指定至少一个索引。如下图所示:
数组,解决字符串
IDC语句
- 语句以分号结尾,但是不支持复合语句。
- 引入try/catch块和相关的throw语句,相当与C++的异常解决。
- 使用和C语言一样的花括号和语义。在花括号中可以申明变量,申明变量必需位于花括号内的第一条语句。
- Message相似于c语言中的print
注意:
如下所示:我们能同时打印x,y的值(即便未执行到y代码块),但是只能打印出同一函数,但是不能打印不同函数的值。
图片.png
IDC函数:
- .idc文件支持客户定义的函数。
- IDC命令对话框不支持客户定义的函数。
- 使用static公告客户定义的函数。
- 函数的参数列表以逗号隔开。
函数公告 - 采用传值的方式(call-by-value)传递(ida5.6以前)
- 采用传地址的方式(call-by-reference),(ida5.6以后)
- 传地址采用& ,这和C语言一样。
函数传地址
- 传地址采用& ,这和C语言一样。
- 若需要返回值 ,使用return
可以将函数的引用作为参数传递给另外一个函数,并将函数引用的作为函数的结果返回。
函数的引用
IDC对象:
- IDC定义一个称为object的根类,支持单一继承。
- 不使用访问说明符(像public与private),所有类成员均为有效公共类。
- 在类中创立数据成员,使用赋值语句赋值给创立的数据成员,就可。
对象赋值
IDC程序:
- 当执行大量的IDC语句的时候,需要创立一个独立的IDC程序文件。
- IDC程序文件,至少定义一个没有参数的main函数。
- IDC文件必需包含#include <idc.idc>这个文件,由此取得宏定义。
脚本文件示例
IDC认可以下C预解决指令:
- #include<名称>,将指定的文件加载到当前文件里
- #define<宏名称>[可选值]:创立一个宏,可以指定一个值
define宏定义 - #ifdef<名称>:测试执行的宏能否存在,假如该宏存在,可以选择解决其后的任何语句。
- #endif #ifde或者#ifdef/#else块所需的终止符。
- #undef<名称> 删除指定的宏。
IDC 错误解决
主要产生两种错误:解析错误和运行错误。
- 解析错误:指令无法运行错误,语法错误,引用未定义的变量,函数参数数量错误。
- 运行时的错误:这种错误较少,运行错误解使脚本立即终止。
关键IDC脚本与热键
使用 AddHotkey函数调用,将特定的热键与IDC脚本关联起来。如下图所示:
热键
注意:
- idc脚本标准存储目录为<IDADIR>/idc;
- 不能将脚本函数命名为main。由于ida.idc中的main函数相冲突。
IDC函数
void MakeUnkn(long addr, long flags)
图片.png
MakeUnkn// Convert the current item to an explored item// ea - linear address// expand - 0: just undefine the current item// 1: undefine other instructions if the removal of the// current instruction removes all references to them.// (note: functions will not be undefined even if they// have no references to them)void MakeUnkn (long ea,long expand); // convert to 'unknown' // expand!=0 => undefine consequent // instructions too
清理反编译
// Clean up the disassembly so it looks nicerMakeUnknown(tea1, tea2-tea1, DOUNK_EXPAND|DOUNK_DELNAMES);
函数众多 待续
IDApython:
- IDAPython在IDA中集成了Python解释器,除了提供了Python功能外,使用这个插件还可以编写实现IDC脚本语言的所有Python脚本。
- IDAPython明显优势在于,它可以充分利用Python强大的数据解决能力及所有的Python模块。
- IDAPython还具备IDA SDK的大部分功能,与IDC相比,使用它可以编写功能更增强大的脚本。
- IDAPython有一个缺点就是文档资源太少,容易造成障碍。
IDApython是一个插件,在IDA中继承了python插件。
以下为WOW的IDC脚本:
#include <idc.idc>static main(){ auto ptr, i, a, b, k, x; auto y,ss="",dd=""; k = 0; ptr = 0x40087F; i = 0; while(1) { a = Byte(ptr+i); b = Byte(ptr+i+1); for (x = 0; x <= 255; x++) { if(((a^x) == 0xFB)&&((b^x) == 0x90)) { Message("%x\n",ptr+i); Message("xxxxxx%d\n",x); y=ltoa(x,16); //Message("%c\n",y); ss= ss + x; dd= dd + y; //Message("xxxxxx%s\n",dd); k++; break; } } if (k == 6)break; i++; } Message("good job\n"); Message("%s\n", "Hello world!"); Message("dddddd%s\n",dd); Message("+++++%s\n",ss); //Message("/////%c%c%c%c%c%c\n",ss[0:2],ss[2:4],ss[4:6],ss[6:8],ss[8:10],ss[10:12]); }
IDA python有三个独立的模块组成:
1. idc:这是兼容idc函数的模块 2. idautils:很使用的一个模块,大多数解决都是需要依托于这个模块 3. idaapi:允许使用者通过类的形式,访问更多底层的数据
- IDC模块负责提供IDC所有的函数
- idaapi模块负责访问核心IDA API
- idautils:提供大量的实用函数,其中许多函数可以生成各种数据库的相关对象(如函数和交叉引用)的python列表。
- IDAPython脚本会自动导入idc和idautils模块。
- idaapi模块,需要手动导入。
以wow为例,写一个练习脚本:
import idc#ida 6.8def test_char(beginEa): retInt=0 for i in range(0,100): curEa=beginEa+i prevByte=idc.Byte(curEa-1) curByte=idc.Byte(curEa) xorPrev=(prevByte^0xfb) xorcur=(curByte^0x90) if xorPrev==xorcur: print hex(curEa),hex(xorPrev),chr(xorPrev) retInt=xorPrev break return retInt str_in=""x0=test_char(0x40087f)//print x0str_in+=chr(x0)x1=test_char(0x4008c9)//print x1str_in+=chr(x1^x0)x2=test_char(0x400910)str_in+=chr(x2^x1)x3=test_char(0x400957)str_in+=chr(x3^x2)x4=test_char(0x40099e)str_in+=chr(x4^x3)str_in+=chr(0xf^x4)print str_in
参考链接:
IDApython函数库:https://www.hex-rays.com/products/ida/support/idapython_docs/
灰帽子之旅:https://wizardforcel.gitbooks.io/grey-hat-python/content/48.html
说明
1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是摆设,本站源码仅提供给会员学习使用!
7. 如遇到加密压缩包,请使用360解压,如遇到无法解压的请联系管理员
开心源码网 » 2018-07-14 IDA-脚本编写
1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是摆设,本站源码仅提供给会员学习使用!
7. 如遇到加密压缩包,请使用360解压,如遇到无法解压的请联系管理员
开心源码网 » 2018-07-14 IDA-脚本编写