执行脚本的常识:
-
访问IDA的脚本引擎
图片.png
图片.png -
script Flie:表示 独立的一个脚本
最近使用过的脚本
如下图所示:
-
双击:表示运行脚本
recent scripts窗口 -
options->General->misc:指定编辑器。
指定编辑器
IDC语言:
IDC脚本语言借用了很多C语言的许多的语法。
IDC变量:
-
auto:
IDC关键字auto用于引入一个局部变量。
auto例子
1:IDC认可使用/* */的c语言风格进行多行注释。
2:也使用//的C++风格进行行尾注释
3:使用;作为终止符(和c语言中一样)
4:IDC并不支持c风格数组类型,指针,结构体,联合之类,复杂的数据类型 -
extern:
IDA使用extern关键字引入全局变量声明。
可以在任何函数定日的内部和外部申明全局变量,但蹦年子啊声明全局变量的是时候为其提供初始值
例子程序
IDC表达式:
IDC支持c中的所有表达式和逻辑运算符,包括三元运算符(?:)。
-
支持逗号运算符
但是 不支持 op=(+=,*=,>>=等)符合赋值运算符。 -
不支持算术移位,如果要移位只能修改最高位和最低位。如下所示:
移位操作
提供分片运算,
使用方法:使用方括号和其实索引(包括)与结束索引(不包括)来指定至少一个索引。如下图所示:
数组,处理字符串
IDC语句
- 语句以分号结尾,但是不支持复合语句。
- 引入try/catch块和相关的throw语句,相当与C++的异常处理。
- 使用和C语言一样的花括号和语义。在花括号中可以申明变量,申明变量必须位于花括号内的第一条语句。
- Message类似于c语言中的print
注意:
如下所示:我们能同时打印x,y的值(即使未执行到y代码块),但是只能打印出同一函数,但是不能打印不同函数的值。
图片.png
IDC函数:
- .idc文件支持用户定义的函数。
- IDC命令对话框不支持用户定义的函数。
- 使用static声明用户定义的函数。
- 函数的参数列表以逗号隔开。
函数声明 - 采用传值的方式(call-by-value)传递(ida5.6以前)
- 采用传地址的方式(call-by-reference),(ida5.6以后)
-
传地址采用& ,这和C语言一样。
函数传地址
-
传地址采用& ,这和C语言一样。
- 若需要返回值 ,使用return
-
可以将函数的引用作为参数传递给另外一个函数,并将函数引用的作为函数的结果返回。
函数的引用
-
IDC对象:
- IDC定义一个称为object的根类,支持单一继承。
- 不使用访问说明符(像public与private),所有类成员均为有效公共类。
- 在类中创建数据成员,使用赋值语句赋值给创建的数据成员,即可。
对象赋值
IDC程序:
- 当执行大量的IDC语句的时候,需要创建一个独立的IDC程序文件。
- IDC程序文件,至少定义一个没有参数的main函数。
- IDC文件必须包含#include <idc.idc>这个文件,由此获得宏定义。
脚本文件示例
IDC认可以下C预处理指令:
- #include<名称>,将指定的文件加载到当前文件里
-
#define<宏名称>[可选值]:创建一个宏,可以指定一个值
define宏定义 - #ifdef<名称>:测试执行的宏是否存在,如果该宏存在,可以选择处理其后的任何语句。
- #endif #ifde或#ifdef/#else块所需的终止符。
- #undef<名称> 删除指定的宏。
IDC 错误处理
主要产生两种错误:解析错误和运行错误。
- 解析错误:指令无法运行错误,语法错误,引用未定义的变量,函数参数数量错误。
- 运行时的错误:这种错误较少,运行错误会使脚本立即终止。
关键IDC脚本与热键
-
使用 AddHotkey函数调用,将特定的热键与IDC脚本关联起来。如下图所示:
热键
注意:
- idc脚本标准存储目录为<IDADIR>/idc;
- 不能将脚本函数命名为main。因为ida.idc中的main函数相冲突。
IDC函数
-
void MakeUnkn(long addr, long flags)
图片.png
MakeUnkn
// Convert the current item to an explored item
// ea - linear address
// expand - 0: just undefine the current item
// 1: undefine other instructions if the removal of the
// current instruction removes all references to them.
// (note: functions will not be undefined even if they
// have no references to them)
void MakeUnkn (long ea,long expand); // convert to 'unknown'
// expand!=0 => undefine consequent
// instructions too
清除反编译
// Clean up the disassembly so it looks nicer
MakeUnknown(tea1, tea2-tea1, DOUNK_EXPAND|DOUNK_DELNAMES);
函数众多 待续
IDApython:
- IDAPython在IDA中集成了Python解释器,除了提供了Python功能外,使用这个插件还可以编写实现IDC脚本语言的所有Python脚本。
- IDAPython显著优势在于,它可以充分利用Python强大的数据处理能力及所有的Python模块。
- IDAPython还具有IDA SDK的大部分功能,与IDC相比,使用它可以编写功能更加强大的脚本。
- IDAPython有一个缺点就是文档资源太少,容易造成障碍。
IDApython是一个插件,在IDA中继承了python插件。
以下为WOW的IDC脚本:
#include <idc.idc>
static main()
{
auto ptr, i, a, b, k, x;
auto y,ss="",dd="";
k = 0;
ptr = 0x40087F;
i = 0;
while(1)
{
a = Byte(ptr+i);
b = Byte(ptr+i+1);
for (x = 0; x <= 255; x++)
{
if(((a^x) == 0xFB)&&((b^x) == 0x90))
{
Message("%x\n",ptr+i);
Message("xxxxxx%d\n",x);
y=ltoa(x,16);
//Message("%c\n",y);
ss= ss + x;
dd= dd + y;
//Message("xxxxxx%s\n",dd);
k++;
break;
}
}
if (k == 6)break;
i++;
}
Message("good job\n");
Message("%s\n", "Hello world!");
Message("dddddd%s\n",dd);
Message("+++++%s\n",ss);
//Message("/////%c%c%c%c%c%c\n",ss[0:2],ss[2:4],ss[4:6],ss[6:8],ss[8:10],ss[10:12]);
}
IDA python有三个独立的模块组成:
1. idc:这是兼容idc函数的模块
2. idautils:很使用的一个模块,大多数处理都是需要依托于这个模块
3. idaapi:允许使用者通过类的形式,访问更多底层的数据
- IDC模块负责提供IDC所有的函数
- idaapi模块负责访问核心IDA API
- idautils:提供大量的实用函数,其中许多函数可以生成各种数据库的相关对象(如函数和交叉引用)的python列表。
- IDAPython脚本会自动导入idc和idautils模块。
- idaapi模块,需要手动导入。
以wow为例,写一个练习脚本:
import idc
#ida 6.8
def test_char(beginEa):
retInt=0
for i in range(0,100):
curEa=beginEa+i
prevByte=idc.Byte(curEa-1)
curByte=idc.Byte(curEa)
xorPrev=(prevByte^0xfb)
xorcur=(curByte^0x90)
if xorPrev==xorcur:
print hex(curEa),hex(xorPrev),chr(xorPrev)
retInt=xorPrev
break
return retInt
str_in=""
x0=test_char(0x40087f)
//print x0
str_in+=chr(x0)
x1=test_char(0x4008c9)
//print x1
str_in+=chr(x1^x0)
x2=test_char(0x400910)
str_in+=chr(x2^x1)
x3=test_char(0x400957)
str_in+=chr(x3^x2)
x4=test_char(0x40099e)
str_in+=chr(x4^x3)
str_in+=chr(0xf^x4)
print str_in
参考链接:
IDApython函数库:https://www.hex-rays.com/products/ida/support/idapython_docs/
灰帽子之旅:https://wizardforcel.gitbooks.io/grey-hat-python/content/48.html
