背景

IDAPython 由三個分離的模塊組成,他們分別是 idc,idautils 和 idaapi。

idc(注意大小寫,不是 IDA 中的 IDC)是一個封裝了 IDA 的 IDC 的兼容性模塊,idautils 是 IDA 的高級實用功能模塊,idaapi 允許了我們訪問更加底層的數據。

基本操作

idc.Screen或者here()返回此時的地址，返回值是一個十進制數，所以可以寫成hex(here())。MaxEA()和MinEA()代表最大值和最小值。

idc.SegName(here())獲取當前地址所在的段的名稱。

idc.GetDisasm(here())獲取當前地址的反匯編語句。

?

段

IDAPython 的強大之處在于它能遍歷所有的指令,所有的交叉引用地址,還有搜索所有的代碼和數據。

for i in idautils.Segments():

　　print idc.SegName(i), idc.SegStart(i), idc.SegEnd(i)

idautils.Segments()返回一個可迭代的對象數組,包含的元素是每個段的起始地址。

獲取段的名稱(idc.SegName(ea)),段的起始地址(idc.SegStart(ea)),段的結束地址(idc.SegEnd(ea))。通過 idc.NextSeg(ea)我們可以獲取到當前地址所在段的下一個段的起始地址 。如果我們想通過名字得到一個段的起始地址,我們可以使用 idc.SegByName(segname)。

函數

遍歷所有段中的所有函數。

idautils.Functions()將會返回一個保存著已知函數首地址的數組。idc.GetFunctionName(ea)返回ea地址處的函數名稱。

?

利用 idaapi.get_func(ea)這個函數來獲取函數的邊界地址(起始和結束地址)

idaapi.get_func(ea)返回一個 idaapi.func_t 的類給我們,有時候你并不清楚這個類能夠干嘛,所以你可以使用 dir(class)函數來獲取這個類究竟有哪些屬性可以使用。

idc.NextFunction(ea) 和idc.PrevFunction (ea)來獲取當前函數的前一個或者后一個函數。

?

轉載于:https://www.cnblogs.com/whitehawk/p/10803489.html

總結

以上是生活随笔為你收集整理的逆向学习-IDApython（一）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。