前三部分已经验证了用IDAPython能够让工作变的更简单,这一部分让我们看看逆向工程师如何使用IDAPython的颜色和强大的脚本特性。

分析者经常需要面对越来越复杂的代码,而且有时候无法轻易看出动态执行的时候执行的代码。而通过IDAPython的强大功能,我们不但能静态的标识指令,并且能够统计出对应的指令被使用了多少次。

背景

在这一部分中,我用C语言写了一个简单的程序。下面的代码是为了这次的练习而编写和编译的:

#include "stdafx.h"

#include <stdlib.h>

#include <time.h>

int _tmain(int argc, _TCHAR* argv[])

{

  char* start = "Running the program.";

  printf("[+] %s\n", start);

  char* loop_string = "Looping...";

 

  srand (time(NULL));

  int bool_value = rand() % 10 + 1;

  printf("[+] %d selected.\n", bool_value);

  if(bool_value > 5)

  {

    char* over_five = "Number over 5 selected. Looping 2 times.";

    printf("[+] %s\n", over_five);

    for(int x = 0; x < 2; x++)

      printf("[+] %s\n", loop_string);

  }

  else

  {

    char* under_five = "Number under 5 selected. Looping 5 times.";

    printf("[+] %s\n", under_five);

    for(int x = 0; x < 5; x++)

      printf("[+] %s\n", loop_string);

  }

  return 0;

}

当我们将这个二进制加载到IDA中时,我们可以看到预期的循环与代码重定向语句。如果我们在不知道源码的情况下来看这个例子,通过静态分析能够大概判断代码实现的功能。

然而,如果我们想知道运行的时候执行了哪个区块的代码呢?这个问题可以用IDAPython来解决哦!

编写IDAPYTHON脚本

我们第一个需要处理的难题是如何逐句遍历每一条指令,以下代码将可以帮助我们来解决:(调试信息会输出已经被执行的指令)

RunTo(BeginEA())

event = GetDebuggerEvent(WFNE_SUSP, -1)

EnableTracing(TRACE_STEP, 1)

event = GetDebuggerEvent(WFNE_ANY|WFNE_CONT, -1)

while True:

  event = GetDebuggerEvent(WFNE_ANY, -1)

  addr = GetEventEa()

  print "Debug: current address", hex(addr), "| debug event", hex(event)

  if event <= 1: break

在上面的代码中我们首先启动了调试器并且执行到函数的入口处,通过调用‘RunTo(BeginEA())’函数。接下来调用的GetDebuggerEvent()函数会等待直到断点到达。

接着我们调用EnableTracing()函数来打开IDA的跟踪功能,然后GetDebuggerEvent()函数调用会继续执行调试器,配置跟踪步骤。最后,我们会进入一个循环遍历每一个地址直到遇到结束条件。这个脚本在IDA中的输出如下所示:

下一个步骤是检索出执行的每一行并标识颜色。我们可以使用GetColor()和SetColor()函数来分别解决这两个问题。下面的代码会获取给定行数代码的当前颜色,并决定将代码设置成什么颜色,并进行设定。

在这个例子,我使用四种不同深浅的蓝色。深蓝色表示这一行被重复执行。(读者可以根据跟人喜好修改这部分代码)

def get_new_color(current_color):

  colors = [0xffe699, 0xffcc33, 0xe6ac00, 0xb38600]

  if current_color == 0xFFFFFF:

    return colors[0]

  if current_color in colors:

    pos = colors.index(current_color)

    if pos == len(colors)-1:

      return colors[pos]

    else:

      return colors[pos+1]

  return 0xFFFFFF

  

  

current_color = GetColor(addr, CIC_ITEM)

new_color = get_new_color(current_color)

SetColor(addr, CIC_ITEM, new_color)

运行上面的代码能够将无颜色的行数修改为高亮的蓝色。另外,如果同一行代码运行多次会变成深蓝色。

可以使用下面的代码来删除IDA文件中之前设置的所有颜色。将颜色设置成0XFFFFFF将会变成白色,或者高效的将之前设置的所有颜色删除。

heads = Heads(SegStart(ScreenEA()), SegEnd(ScreenEA()))

for i in heads:

  SetColor(i, CIC_ITEM, 0xFFFFFF)

将所有的代码合到一起,我们会得到如下结果:

heads = Heads(SegStart(ScreenEA()), SegEnd(ScreenEA()))

for i in heads:

  SetColor(i, CIC_ITEM, 0xFFFFFF)

  

def get_new_color(current_color):

  colors = [0xffe699, 0xffcc33, 0xe6ac00, 0xb38600]

  if current_color == 0xFFFFFF:

    return colors[0]

  if current_color in colors:

    pos = colors.index(current_color)

    if pos == len(colors)-1:

      return colors[pos]

    else:

      return colors[pos+1]

  return 0xFFFFFF

  

RunTo(BeginEA())

event = GetDebuggerEvent(WFNE_SUSP, -1)

EnableTracing(TRACE_STEP, 1)

event = GetDebuggerEvent(WFNE_ANY|WFNE_CONT, -1)

while True:

  event = GetDebuggerEvent(WFNE_ANY, -1)

  addr = GetEventEa()

  current_color = GetColor(addr, CIC_ITEM)

  new_color = get_new_color(current_color)

  SetColor(addr, CIC_ITEM, new_color)

  if event <= 1: break

当我在程序用运行这段代码时,我们看到执行过的反汇编指令被高亮了。如下图所示,多次执行的指令被设置成了深蓝色,让我们能够更容易理解代码执行流程。

总结

这一部分演示的例子确实很简单,结合了IDA调试功能与颜色相关API的使用。这项技术能够让分析者在复杂应用代码分析中节省大量的时间。

*原文:Paloaltone,东二门陈冠希/编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

IDApython教程(四)的更多相关文章

  1. CRL快速开发框架系列教程四(删除数据)

    本系列目录 CRL快速开发框架系列教程一(Code First数据表不需再关心) CRL快速开发框架系列教程二(基于Lambda表达式查询) CRL快速开发框架系列教程三(更新数据) CRL快速开发框 ...

  2. 手把手教从零开始在GitHub上使用Hexo搭建博客教程(四)-使用Travis自动部署Hexo(2)

    前言 前面一篇文章介绍了Travis自动部署Hexo的常规使用教程,也是个人比较推荐的方法. 前文最后也提到了在Windows系统中可能会有一些小问题,为了在Windows系统中也可以实现使用Trav ...

  3. C#微信公众号开发系列教程四(接收普通消息)

    微信公众号开发系列教程一(调试环境部署) 微信公众号开发系列教程一(调试环境部署续:vs远程调试) C#微信公众号开发系列教程二(新手接入指南) C#微信公众号开发系列教程三(消息体签名及加解密) C ...

  4. 无废话ExtJs 入门教程四[表单:FormPanel]

    无废话ExtJs 入门教程四[表单:FormPanel] extjs技术交流,欢迎加群(201926085) 继上一节内容,我们在窗体里加了个表单.如下所示代码区的第28行位置,items:form. ...

  5. TFS(Team Foundation Server)敏捷使用教程(四):工作项跟踪(1)

    工作项跟踪(1) 可跟踪性是软件过程的重要能力,TFS主要是以工作项来实现过程的可跟踪性.曾有人问:"你们实际项目里的工作项是怎么样的?能不能让我们看看?"我也一直很好奇别的公司T ...

  6. Android Studio系列教程四--Gradle基础

    Android Studio系列教程四--Gradle基础 2014 年 12 月 18 日 DevTools 本文为个人原创,欢迎转载,但请务必在明显位置注明出处!http://stormzhang ...

  7. Laravel教程 四:数据库和Eloquent

    Laravel教程 四:数据库和Eloquent 此文章为原创文章,未经同意,禁止转载. Eloquent Database 上一篇写了一些Laravel Blade的基本用法和给视图传递变量的几种方 ...

  8. NGUI系列教程四(自定义Atlas,Font)

    今天我们来看一下怎么自定义NGUIAtlas,制作属于自己风格的UI.第一部分:自定义 Atlas1 . 首先我们要准备一些图标素材,也就是我们的UI素材,将其导入到unity工程中.2. 全选我们需 ...

  9. Qt零基础教程(四) QWidget详解篇

    在博客园里面转载我自己写的关于Qt的基础教程,没次写一篇我会在这里更新一下目录: Qt零基础教程(四) QWidget详解(1):创建一个窗口 Qt零基础教程(四) QWidget详解(2):QWid ...

  10. Qt零基础教程(四)QWidget详解(3):QWidget的几何结构

    Qt零基础教程(四)  QWidget详解(3):QWidget的几何结构 这篇文章里面分析了QWidget中常用的几种几何结构 下图是Qt提供的分析QWidget几何结构的一幅图,在帮助的 Wind ...

随机推荐

  1. CF1139E Maximize Mex(二分图匹配,匈牙利算法)

    好题.不过之前做过的[SCOI2010]连续攻击游戏跟这题一个套路,我怎么没想到…… 题目链接:CF原网 洛谷 题目大意:在一个学校有 $n$ 个学生和 $m$ 个社团,每个学生有一个非负整数能力值 ...

  2. Linux添加新硬盘及分区,格式化,挂载

    1.查看分区信息: [root@localhost /]# fdisk -l Disk /dev/vdb: 209.7 GB, 209715200000 bytes16 heads, 63 secto ...

  3. 如何在以太坊上搭建一个Dapp?

    原创: 前哨小兵甲 区块链前哨 昨天 策划|Tina作者|Mahesh Murthy俗话说,实践出真知!对于开发人员来说,最好的学习办法就是亲自动手做一个小项目.所以,接下来我们将会以一个投票程序为例 ...

  4. P1637 三元上升子序列

    thair 好,这个naive的东西因为只有三元,很好求解.只要把每个数之前小的L[i]与之后大的R[i]求一下即可. 求两次逆序对即可.那么答案便是∑(L[i]*R[i]); 对于更高元的,胡雨菲写 ...

  5. 【洛谷P4318】完全平方数

    题目大意:求第 K 个无平方因子数. 题解:第 k 小/大的问题一般采用二分的方式,通过判定从 1 到当前数中满足某一条件的数有多少个来进行对上下边界的转移. 考虑莫比乌斯函数的定义,根据函数值将整数 ...

  6. zxing二维码的生成与解码(C#)

    ZXing是一个开源Java类库用于解析多种格式的1D/2D条形码.目标是能够对QR编码.Data Matrix.UPC的1D条形码进行解码. 其提供了多种平台下的客户端包括:J2ME.J2SE和An ...

  7. codeblocks: 使用静态(static)链接库(pcre)的配置

    说明:在c/c++程序中使用静态链接库,编译后不再需要相关的dll文件(如:libpcre-1.dll,libpcreposix-0.dll)就可以正常的运行. 现在遇到一个问题,如果使用 pcre_ ...

  8. django 前端模板继承显示model中使用choices的字段

    比如model中的一个class Need class Need(models.Model): """ 任务 """ party_a=mod ...

  9. Java 接口篇

    为什么使用接口? 问题 要求实现防盗门的功能 分析 门有开和关的功能,锁有上锁和开锁的功能 将门和锁分别定义为抽奖类 那么问题就是防盗门即继承了门的同时又继承了锁,而Java的继承是单继承,接口可多继 ...

  10. eclipse添加market ,maven

    添加market 转载自http://blog.csdn.net/buptdavid/article/details/42423247 Eclipse Marketplace是个插件应用商店,很实用的 ...