2018-07-14 IDA-脚本编写

作者 : 开心源码 本文共3760个字,预计阅读时间需要10分钟 发布时间: 2022-05-13 共172人阅读

执行脚本的常识:

  • 访问IDA的脚本引擎
    图片.png
    图片.png
  • script Flie:表示 独立的一个脚本
    最近使用过的脚本

如下图所示:

  • 双击:表示运行脚本

    recent scripts窗口

  • options->General->misc:指定编辑器。

    指定编辑器

IDC语言:

IDC脚本语言借用了很多C语言的许多的语法。

IDC变量:

  • auto
    IDC关键字auto用于引入一个局部变量。
    auto例子
    1:IDC认可使用/* */的c语言风格进行多行注释。
    2:也使用//的C++风格进行行尾注释
    3:使用;作为终止符(和c语言中一样)
    4:IDC并不支持c风格数组类型,指针,结构体,联合之类,复杂的数据类型
  • extern
    IDA使用extern关键字引入全局变量公告。

可以在任何函数定日的内部和外部申明全局变量,但蹦年子啊公告全局变量的是时候为其提供初始值

例子程序

IDC表达式:

IDC支持c中的所有表达式和逻辑运算符,包括三元运算符(?:)。

  • 支持逗号运算符
    但是 不支持 op=(+=,*=,>>=等)符合赋值运算符。
  • 不支持算术移位,假如要移位只能修改最高位和最低位。如下所示:
    移位操作
    提供分片运算
    使用方法:使用方括号和其实索引(包括)与结束索引(不包括)来指定至少一个索引。如下图所示:
    数组,解决字符串

IDC语句

  • 语句以分号结尾,但是不支持复合语句。
  • 引入try/catch块和相关的throw语句,相当与C++的异常解决。
  • 使用和C语言一样的花括号和语义。在花括号中可以申明变量,申明变量必需位于花括号内的第一条语句
  • Message相似于c语言中的print

注意:
如下所示:我们能同时打印x,y的值(即便未执行到y代码块),但是只能打印出同一函数,但是不能打印不同函数的值。

图片.png

IDC函数:

  • .idc文件支持客户定义的函数。
  • IDC命令对话框不支持客户定义的函数。
  • 使用static公告客户定义的函数。
  • 函数的参数列表以逗号隔开。
    函数公告
  • 采用传值的方式(call-by-value)传递(ida5.6以前)
  • 采用传地址的方式(call-by-reference),(ida5.6以后)
    • 传地址采用& ,这和C语言一样。
      函数传地址
  • 若需要返回值 ,使用return
    • 可以将函数的引用作为参数传递给另外一个函数,并将函数引用的作为函数的结果返回。

      函数的引用

IDC对象:

  • IDC定义一个称为object的根类,支持单一继承
  • 不使用访问说明符(像public与private),所有类成员均为有效公共类。
  • 在类中创立数据成员,使用赋值语句赋值给创立的数据成员,就可。
    对象赋值

IDC程序:

  • 当执行大量的IDC语句的时候,需要创立一个独立的IDC程序文件。
  • IDC程序文件,至少定义一个没有参数的main函数。
  • IDC文件必需包含#include <idc.idc>这个文件,由此取得宏定义。
    脚本文件示例

IDC认可以下C预解决指令:

  • #include<名称>,将指定的文件加载到当前文件里
  • #define<宏名称>[可选值]:创立一个宏,可以指定一个值
    define宏定义
  • #ifdef<名称>:测试执行的宏能否存在,假如该宏存在,可以选择解决其后的任何语句。
  • #endif #ifde或者#ifdef/#else块所需的终止符。
  • #undef<名称> 删除指定的宏。

IDC 错误解决

主要产生两种错误:解析错误运行错误

  • 解析错误:指令无法运行错误,语法错误,引用未定义的变量,函数参数数量错误。
  • 运行时的错误:这种错误较少,运行错误解使脚本立即终止。

关键IDC脚本与热键

  • 使用 AddHotkey函数调用,将特定的热键与IDC脚本关联起来。如下图所示:

    热键

注意:

  • idc脚本标准存储目录为<IDADIR>/idc;
  • 不能将脚本函数命名为main。由于ida.idc中的main函数相冲突。

IDC函数

  • void MakeUnkn(long addr, long flags)

    图片.png

MakeUnkn// Convert the current item to an explored item//      ea     - linear address//      expand - 0: just undefine the current item//               1: undefine other instructions if the removal of the//                  current instruction removes all references to them.//                  (note: functions will not be undefined even if they//                         have no references to them)void    MakeUnkn        (long ea,long expand);  // convert to 'unknown'                                                // expand!=0 => undefine consequent                                                // instructions too

清理反编译

// Clean up the disassembly so it looks nicerMakeUnknown(tea1, tea2-tea1, DOUNK_EXPAND|DOUNK_DELNAMES);

函数众多 待续

IDApython:

  • IDAPython在IDA中集成了Python解释器,除了提供了Python功能外,使用这个插件还可以编写实现IDC脚本语言的所有Python脚本。
  • IDAPython明显优势在于,它可以充分利用Python强大的数据解决能力及所有的Python模块。
  • IDAPython还具备IDA SDK的大部分功能,与IDC相比,使用它可以编写功能更增强大的脚本。
  • IDAPython有一个缺点就是文档资源太少,容易造成障碍。
    IDApython是一个插件,在IDA中继承了python插件。
    以下为WOW的IDC脚本:
#include <idc.idc>static main(){    auto ptr, i, a, b, k, x;    auto y,ss="",dd="";    k = 0;    ptr = 0x40087F;    i = 0;    while(1)    {        a = Byte(ptr+i);        b = Byte(ptr+i+1);        for (x = 0; x <= 255; x++)        {            if(((a^x) == 0xFB)&&((b^x) == 0x90))            {                Message("%x\n",ptr+i);                Message("xxxxxx%d\n",x);                y=ltoa(x,16);                //Message("%c\n",y);                ss= ss + x;                dd= dd + y;                //Message("xxxxxx%s\n",dd);                k++;                break;            }        }        if (k == 6)break;        i++;    }    Message("good job\n");        Message("%s\n", "Hello world!");    Message("dddddd%s\n",dd);    Message("+++++%s\n",ss);    //Message("/////%c%c%c%c%c%c\n",ss[0:2],ss[2:4],ss[4:6],ss[6:8],ss[8:10],ss[10:12]);    }

IDA python有三个独立的模块组成:

 1. idc:这是兼容idc函数的模块    2. idautils:很使用的一个模块,大多数解决都是需要依托于这个模块    3. idaapi:允许使用者通过类的形式,访问更多底层的数据  
  • IDC模块负责提供IDC所有的函数
  • idaapi模块负责访问核心IDA API
  • idautils:提供大量的实用函数,其中许多函数可以生成各种数据库的相关对象(如函数和交叉引用)的python列表。
    • IDAPython脚本会自动导入idc和idautils模块。
    • idaapi模块,需要手动导入。
      以wow为例,写一个练习脚本:
import idc#ida 6.8def test_char(beginEa):    retInt=0    for i in range(0,100):        curEa=beginEa+i        prevByte=idc.Byte(curEa-1)        curByte=idc.Byte(curEa)        xorPrev=(prevByte^0xfb)        xorcur=(curByte^0x90)        if  xorPrev==xorcur:            print hex(curEa),hex(xorPrev),chr(xorPrev)            retInt=xorPrev            break    return retInt  str_in=""x0=test_char(0x40087f)//print x0str_in+=chr(x0)x1=test_char(0x4008c9)//print x1str_in+=chr(x1^x0)x2=test_char(0x400910)str_in+=chr(x2^x1)x3=test_char(0x400957)str_in+=chr(x3^x2)x4=test_char(0x40099e)str_in+=chr(x4^x3)str_in+=chr(0xf^x4)print str_in

参考链接:

IDApython函数库:https://www.hex-rays.com/products/ida/support/idapython_docs/
灰帽子之旅:https://wizardforcel.gitbooks.io/grey-hat-python/content/48.html

说明
1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是摆设,本站源码仅提供给会员学习使用!
7. 如遇到加密压缩包,请使用360解压,如遇到无法解压的请联系管理员
开心源码网 » 2018-07-14 IDA-脚本编写

发表回复