IDA相关

cllsse

已于 2025-01-21 18:31:04 修改

阅读量709

点赞数 5

CC 4.0 BY-SA版权

分类专栏：逆向与二进制文章标签：逆向

于 2024-07-31 15:52:01 首次发布

本文链接：https://blog.csdn.net/google20/article/details/140825015

逆向与二进制专栏收录该内容

10 篇文章

订阅专栏

IDA相关

看雪论坛搜索IDA Pro 7.7.220118 (SP1) 全插件绿色版
lazyida使用b站无名侠版本

在这里插入图片描述

pip install yara

pip install keystone==24.0.0.0

可以把ida目录里python site-package的内容复制到本机python的lib/site-packages里。

如果插件加载不出来，需要运行idapyswitch.exe，更改python版本，一般得python 3.8

文章目录

IDA相关

1. 常用快捷键

查看

Alt+0：查看IDA输出，可以看到插件输出

Shift+F12：查看所有字符串

F5或Tab：查看C语言伪代码

Alt+T：查找Text，比如查找syscall

ctrl+F：搜索函数，字符串等

空格：切换图形视图&汇编视图

/：在反编译后伪代码的界面中写下注释

x：对着某个函数、变量按该快捷键，可以查看它的交叉引用

修改

n：改变量名或函数名

y：改变量类型

alt+k：修改sp指针

R：ascii码转字符

A：字符串的开头按下，则这段内存被解释成字符串

C：一段内存解释成代码

U：取消定义

p：在一段代码开头按下，创建函数

调试

F2：设置普通软件断点

右键->edit breakpoint 可设置硬件断点

F9：运行直到输入/断点/结束

F8：单步跳过

F7：单步步入

F4：运行到光标处

结构体

shift+F9 开结构体窗口

insert/delete 添加/删除结构体

d 添加结构体成员或切换结构体成员类型(db,dw,dd,dq)

a 添加结构体成员或切换结构体成员类型为数组

* 添加结构体成员或切换结构体成员类型为数组(允许数组成员为结构体类型)

n 结构体成员重命名

u 对最后一个结构体成员使用可删除该成员，对其它结构体成员使用则转为未定义类型

在这里插入图片描述

2. idapython使用

Settings->show All

在这里插入图片描述

show interpreter paths

在这里插入图片描述

import idc
v8=[]
addr1=0x6021C0
print(idc.here())
for i in range(36):
	v8.append(idc.get_wide_byte(addr1+4*i))
print(v8)

直接翻车

在这里插入图片描述

不过在ida里可以执行

在这里插入图片描述

function	Code
获取IDA界面地址
取当前地址	idc.here() 或 idc.get_screen_ea()
获取最小地址（可以使用的）	ida_ida.inf_get_min_ea()
获取最大地址（可以使用的）	ida_ida.inf_get_max_ea()
获取所选范围的起始地址	idc.read_selection_start()
获取所选范围的结束地址	idc.read_selection_end()

获取地址的数值
以1字节为单位获取地址处的值	idc.get_wide_byte(addr)
以2字节(字)的单位获取	idc.get_wide_word(addr)
以4字节的单位获取	idc.get_wide_dword(addr)
以8字节的单位获取	idc.get_qword(addr)
判断是否是字节	ida_bytes.is_byte
得到运行断点之前的寄存器的值	ea=get_reg_value(“eax”)


修改指令数值
修改addr地址的值为value.每次修改1个字节	ida_bytes.patch_byte(addr,value)
每次修改2个字节	ida_bytes.patch_word(addr,value)
每次修改4个字节	ida_bytes.patch_Dword(addr,value)
每次修改8个字节	ida_bytes.patch_Qword(addr,value)
修改寄存器的值	set_reg_value(value, “eip”)

汇编指令操作
获取地址处的汇编语句	idc.GetDisasm(addr) 或 idc.generate_disasm_line(addr,flags)
获取指定地址位置的操作数.参数1是地址.参数2是操作数索引.如 mov ebp,esp中：操作数1是ebp ，操作数2是esp mov则是汇编指令不是操作数	idc.print_operand(addr,index)
获取汇编操作指令（如mov、add）	idc.print_insn_mnem(addr)

段操作
获取段的名字（参数为当前的地址）	idc.get_segm_name(addr)
获取段的开始地址	idc.get_segm_start(addr)
获取段的结束地址	idc.get_segm_end(addr)
获取第一个段	idc.get_first_seg(addr)
获取下一个段	idc.get_next_seg(addr)
返回一个列表记录所有段的地址	idautil.Segments()

函数操作
获取指定地址之间的所有函数	idautils.Functions(startaddr,endaddr)
获取指定地址的函数名	idc.get_func_name(addr)
获取函数的注释	get_func_cmt(addr, repeatable) repeatable:0/1 0是获取常规注释 1是获取重复注释
设置函数注释	idc.set_func_cmt(ea, cmt, repeatable)
弹出框框要求用户进行选择参数则是信息	idc.choose_func(title)
返回: addr 距离函数的偏移形式	idc.get_func_off_str(addr)
寻找函数结尾,如果函数存在则返回结尾地址,否则返回BADADDR	idc.find_func_end(addr)
设置函数结尾	ida_funcs.set_func_end(ea, newend) newend:新的结束地址
设置函数开头	ida_funcs.set_func_start(addr, newstart)
设置地址处的名字	idc.set_name(ea, name, SN_CHECK) Ex函数也使用set_name
获取首个函数	idc.get_prev_func(ea)
获取下一个函数	idc.get_next_func(ea)

数据查询
查找二进制找到返回地址没找到返回-1(BADADDR)	idc.find_binary(ea, flag, searchstr, radix=16, from_bc695=False)
从ea开始寻找下一个数据地址	ida_search.find_data(ea, sflag)
从ea开始寻找下一个代码地址	ida_search.find_code(ea, sflag)
光标跳转到ea位置（不是eip！！！）	ida_kernwin.jumpto(ea)

数据校验
获取标志	ida_bytes.get_full_flags(ea)
判断是否为代码	ida_bytes.is_code(f) f即标志
判断是否为数据	ida_bytes.is_data(f)

交叉引用
获取地址处引用位置 A调用B 对B函数地址使用此函数则找到A调用返回列表.遍历列表则可以找出所有引用位置. 参数1是ea也就是地址,参数2告诉IDA是否跟踪这些代码.	idautils.CodeRefsTo(ea, flow)
返回ea的代码引用了何处的代码. 返回一个列表	idautils.CodeRefsFrom(ea, flow)
返回一个列表告诉ea位置的数据被谁引用了	idautils.DataRefsTo(ea)
告诉我们ea引用了谁.	idautils.DataRefsFrom(ea)

动调脚本化
在指定的地址设置断点	AddBpt(long Address)
获取一个寄存器的名称	GetRegValue(string Register)
设置寄存器的值	SetRegValue(long Value, string Register)
运行到指定的地址，然后停下	RunTo(long Address)
解决python 脚本和调试器执行流异步执行（就是说idapython和断点会在汇编执行前执行，这段代码让它在汇编执行后再执行idapython）	idaapi.step_into() GetDebuggerEvent(WFNE_SUSP, -1)
获取栈内数据（这样，运行到某个位置，获取esp/rsp的值，为栈顶，通过偏移可以获取相对应的栈内地址，然后使用`Byte()`/ `Dword()`来获取相关数据）	RunTo(xxx) GetDebuggerEvent(WFNE_SUSP, -1) stack = GetRegValue(“esp”)