快一年没更新了,累,工作累,各种累,想换个工作,突然发现找不到合适的工作了,哎,自己往火坑里跳,怪不得别人。

import idautils

import idaapi

import idc

print("new ------------------------------------------")

#ea = idc.get_curline()

#print(ea)

#

def GetWdfVersionBindObject(addr):

    for x in XrefsTo(addr,flags=0):

        cur_addr = x.frm

        cur_asm = GetDisasm(cur_addr)

        if (cur_asm.startswith("call")):

            pass

        else:

            continue

        func_addr = idc.get_func_attr(cur_addr,FUNCATTR_START)

        pre_addr = cur_addr

        while True:

            if pre_addr <= func_addr:

                break

            pre_addr = idc.prev_head(pre_addr)

            pre_asm = GetDisasm(pre_addr)

            if (pre_asm.startswith("lea")):

                t = idc.get_operand_type(pre_addr, 0)

                # 寄存器

                if (t == 1):

                    pass

                else:

                    break

                data = idc.get_operand_value(pre_addr, 0)

                # r8

                if (data == 8):

                    t = idc.get_operand_type(pre_addr, 1)

                    data = idc.get_operand_value(pre_addr, 1)

                    return data

    return 0

# 从模块中找到对应符号地址

fpWdfVersionBind = idc.get_name_ea(0x140000000, "WdfVersionBind")

print('Address : WdfVersionBind : %#x'%fpWdfVersionBind)

# 根据对应符号地址,找到其第三个参数地址

pObject = GetWdfVersionBindObject(fpWdfVersionBind)

print('Address : Wdf Object : %#x'%pObject)

# 获取的版本号

verBig = idaapi.get_dword(pObject + 0x10)

verMin = idaapi.get_dword(pObject + 0x14)

print("version :", verBig, verMin)

# 根据函数索引取函数名字

def GetNameByID(id):

    return ""

def MakeWdfFunctionInfo(addr):

    for x in XrefsTo(addr,flags=0):

        cur_addr = x.frm

        cur_asm = GetDisasm(cur_addr)

        if (cur_asm.startswith("mov")):

            pass

        else:

            continue

        #print("cur", cur_addr, cur_asm)

        pre_addr = idc.prev_head(cur_addr)

        pre_asm = GetDisasm(pre_addr)

        #print("pre", pre_addr, pre_asm)

        if (pre_asm.startswith("imul")):

            # 第 0 个参数类型是1,所以是寄存器

            type0 = idc.get_operand_type(pre_addr, 0)

            if (type0 == 1):

                pass

            else:

                break

            # 寄存器参数索引是 0,是rax

            data = idc.get_operand_value(pre_addr, 0)

            if (data == 0):

                pass

            else:

                break

            # 按理说应该是取操作数1,但是这里1里面没值,所以取的是 2

            # 取出来的就是函数索引

            data = idc.get_operand_value(pre_addr, 2)

            # 根据函数索引

            func_name = GetNameByID(data)

            fun_addr = idc.get_func_attr(pre_addr,FUNCATTR_START)

            if (func_name != ""):

                ida_name.set_name(fun_addr, func_name)

# 寻找所有使用到的地方,并且修正对应函数名,编程索引对应函数名

MakeWdfFunctionInfo(get_qword(pObject + 0x20))

几十行代码,有注释,一些地方用的是硬编码,需要改一改,但是目前至少能用了,还缺少一个东西,就是数据库,

这个数据库是根据不同版本的 WDF 函数数据库

IDA 逆 WDF 驱动时的函数识别插件的更多相关文章

  1. 注册驱动时如何调用probe函数 ?

    platform_driver_register       driver_register             bus_add_driver    //把驱动放入总线的驱动链表里         ...

  2. WDF驱动的编译、调试、安装

    编译和调试使用WDK编译,源代码应包括wdf.h,ntddk.h以及KMDF_VERSION=1,编译使用/GS.KMDF包括以下库:1). WdfDriverEntry.lib(编译时绑定):驱动入 ...

  3. Linux gadget驱动分析2------设备识别过程

    设备连上主机之后,设备驱动做了的事. 设备连上host的port之后,主机端会有一套策略发送请求获取device的一系列描述符.进行枚举过程.找到适合该device的驱动. 这样就可以与device进 ...

  4. platform驱动之probe函数

    驱动注册的probe函数 probe函数在设备驱动注册最后收尾工作,当设备的device 和其对应的driver 在总线上完成配对之后,系统就调用platform设备的probe函数完成驱动注册最后工 ...

  5. linux下实现在程序运行时的函数替换(热补丁)

    声明:以下的代码成果,是参考了网上的injso技术,在本文的最后会给出地址,同时非常感谢injso技术原作者的分享. 但是injso文章中的代码存在一些问题,所以后面出现的代码是经过作者修改和检测的. ...

  6. redhat 6.7 安装nvidia显卡驱动时出现的问题

    一.给Redhat装Nvidia驱动时,出现类似ERROR: The Nouveau kernel driver is currently in use by your system. 的错误,这是应 ...

  7. module_init宏解析 linux驱动的入口函数module_init的加载和释放

    linux驱动的入口函数module_init的加载和释放 http://blog.csdn.net/zhandoushi1982/article/details/4927579 void free_ ...

  8. 编译驱动时出现"Cannot open file trace.h"错误

    编译驱动时出现"Cannot open file trace.h"错误 如题,用VS2013编译驱动是出现上述错误,原来是开启了WPP追踪导致的: 解决方案: 右键项目名-属性-W ...

  9. 关于iOS中用AudioFile相关API解码或播放AAC_HE_V2时仅仅能识别单声首22.05k採样率的问题

    关于iOS中用AudioFile相关API解码或播放AAC_HE_V2时仅仅能识别单声首22.05k採样率的问题 在官方AQPlayer Demo 和 aqofflinerender中.都用了Audi ...

  10. Ubuntu16.04安装NVIDIA驱动时的一些坑与解决方案

    这几天在新购置的笔记本上部署工作环境,在安装NVIDIA驱动的时候遇到了不少坑,重装了很多次,在Ubuntu论坛以及其他资料源看了很多大牛的分析,最终终于解决了一个又一个问题,过程比较艰辛,所以决定写 ...

随机推荐

  1. P77 3.12

    #P77 3.12 #一年365天,初始水平值为1.0,每工作一天水平增加N, #不工作时水平不下降,一周连续工作4天,请编写程序运算 #结果并填写表格 n = 1.0 for j in range ...

  2. 如何卸载cad 2022?怎么把cad 2022彻底卸载删除干净重新安装的方法【转载】

    标题:cad 2022重新安装方法经验总结,利用卸载清理工具完全彻底排查删除干净cad 2022各种残留注册表和文件.cad 2022显示已安装或者报错出现提示安装未完成某些产品无法安装的问题,怎么完 ...

  3. Linux系统管理实战-软件包管理

    软件包管理 在Linux中,不同的发行版软件管理的方式可能不一样,具体来说,主要分为两大派: RPM: Rpm Package Manager CentOS系统软件安装三种方式 rpm:安装简单,可定 ...

  4. 基础篇:windows常用命令

    1. windows常用系统命令 cd [进入目录] dir [列出当前目录文件] echo + 打印内容 [打印命令] echo 123 > 1.txt [打印内容到文本] type + 文件 ...

  5. EF调用sql语句

    1.连接数据库 2.在Dal进行调用sql语句 public List<UserInfo> PageShow(out int totalcount,out int totalpage, s ...

  6. linux 学习之awk

    awk 笔记 awk可以截取列 如 ll | awk '{print $3}' 获取第三列内容 参数 -F 指定分隔符 如 ls | wak -F "." '{print $1}' ...

  7. Java实现图片上传返回上传地址

    **关于在实际开发中最常用也是用的最多的Java实现文档.图片上传.***一.准备阶段*文档.图片上传有几种方式,包括传统的ajax上传,云上传,这里给大家实现通过代码将图片上传至七牛云服务器并返回图 ...

  8. 转载·Charles4.2.8 开启macOS Proxy ,MacOS10.15 Catalina版本提示APP权限为只读

    转载地址:https://superuser.com/questions/1490116/charles-4-2-8-cannot-configure-your-proxy-settings-whil ...

  9. CH573 CH582 CH579外设ADC例程讲解

    在adc的例程中共有六种AD测量,1.温度测量,2.单通道测量,3.DMA单通道测量,4.差分通道测量,5.触摸按键测量,6.中断方式单通道测量,接下来我们逐一描述. 粗调:粗调使得用0db测量VIN ...

  10. 西电oj109题处理字符串

    问题描述 从键盘输入一个字符串,将该字符串按下述要求处理后输出: 将ASCII码大于原首字符的各字符按原来相互间的顺序关系集中在原首字符的左边, 将ASCII码小于等于原首字符的各字符按升序集中在原首 ...