逆向学习-IDApython(一)
背景
IDAPython 由三個(gè)分離的模塊組成,他們分別是 idc,idautils 和 idaapi。
idc(注意大小寫,不是 IDA 中的 IDC)是一個(gè)封裝了 IDA 的 IDC 的兼容性模塊,idautils 是 IDA 的高級實(shí)用功能模塊,idaapi 允許了我們訪問更加底層的數(shù)據(jù)。
基本操作
idc.Screen或者h(yuǎn)ere()返回此時(shí)的地址,返回值是一個(gè)十進(jìn)制數(shù),所以可以寫成hex(here())。MaxEA()和MinEA()代表最大值和最小值。
idc.SegName(here())獲取當(dāng)前地址所在的段的名稱。
idc.GetDisasm(here())獲取當(dāng)前地址的反匯編語句。
?
段
IDAPython 的強(qiáng)大之處在于它能遍歷所有的指令,所有的交叉引用地址,還有搜索所有的代碼和數(shù)據(jù)。
for i in idautils.Segments():
print idc.SegName(i), idc.SegStart(i), idc.SegEnd(i)
idautils.Segments()返回一個(gè)可迭代的對象數(shù)組,包含的元素是每個(gè)段的起始地址。
獲取段的名稱(idc.SegName(ea)),段的起始地址(idc.SegStart(ea)),段的結(jié)束地址(idc.SegEnd(ea))。通過 idc.NextSeg(ea)我們可以獲取到當(dāng)前地址所在段的下一個(gè)段的起始地址 。如果我們想通過名字得到一個(gè)段的起始地址,我們可以使用 idc.SegByName(segname)。
函數(shù)
遍歷所有段中的所有函數(shù)。
idautils.Functions()將會(huì)返回一個(gè)保存著已知函數(shù)首地址的數(shù)組。idc.GetFunctionName(ea)返回ea地址處的函數(shù)名稱。
?
利用 idaapi.get_func(ea)這個(gè)函數(shù)來獲取函數(shù)的邊界地址(起始和結(jié)束地址)
idaapi.get_func(ea)返回一個(gè) idaapi.func_t 的類給我們,有時(shí)候你并不清楚這個(gè)類能夠干嘛,所以你可以使用 dir(class)函數(shù)來獲取這個(gè)類究竟有哪些屬性可以使用。
idc.NextFunction(ea) 和idc.PrevFunction (ea)來獲取當(dāng)前函數(shù)的前一個(gè)或者后一個(gè)函數(shù)。
?
轉(zhuǎn)載于:https://www.cnblogs.com/whitehawk/p/10803489.html
總結(jié)
以上是生活随笔為你收集整理的逆向学习-IDApython(一)的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 青衣剧情介绍
- 下一篇: 萌新向Python数据分析及数据挖掘 第