IDAPython入门教程 基于IDA7.5_Python3 第一讲 简介与地址获取

简介

IDAPython是很强大的功能. 但是在7.5支持python3之后很多函数都改变了. 所以从头开始学一下.

要学习IDA Python 首先你要会python的基本操作. 以及IDAPython文档会查询. IDC 文档会查询. 以及差异化查询.

下面列出几个有用的链接方便直接点击学习或者查询.

python3 入门知识: 菜鸟教程Python3入门知识

IDAPython官方函数文档: IDAPython官方文档函数查询

IDC函数官方文档查询: IDC函数

IDA版本与版本之间的差异化函数查询: IDA版本函数差异化

一丶IDApython分布讲解

1.1 IDA Python 常见模块介绍与脚本使用

在IDA中.有三个重要的库.分别是IDC,idautils,idaapi

IDC 他是封装IDA与IDC函数的兼容性模块.

Idautils 这个是IDA提供给我们的一个高级实用的模块.

idaapi 他可以允许我们访问更加底层的数据.

在IDA中我们要使用脚本有三种方式

第一种 .可以直接按 shift + F2 快捷键调出界面.也可以直接在菜单中选择命令脚本.

第二种 可以是写一个脚本文件直接进行引用.

如下图所示:

请更改为python来使用IDA python.当然如果拟更改为IDC 那么你只能使用IDC函数了.

第三种方式是直接在IDA底部写命令.

PS: 如果没有python选项 参考一下网上怎么修复python支持.

1.2 IDAPython 汇编界面介绍

查看IDA我们可以看到如下界面

下面以图表的形式展示一下说明

1.3 IDA中获取界面中地址函数

那么下面先讲一下怎么获取界面中的地址. 至于里面的各项元素后面会一一说明.

• 当前,最大,最小,选择开始,选择结束 等地址的获取.

  在IDA 7.5中. 我们获取地址的函数如下

  当前地址获取使用 idc.here() 函数 或者 idc.get_screen_ea() 函数

  最小地址可以使用: ida_ida.inf_get_min_ea()

  最大地址可以使用: ida_ida.inf_get_max_ea()

  当前选择地址的开始: idc.read_selection_start()

  当前选择地址的结束:idc.read_selection_end()

  如果判断地址是否存在可以使用: idaapi.BADADDR

  这些函数的返回值都是地址. 且没有参数.

  print(hex(idc.here()))          #获取当前地址
  print(hex(idc.get_screen_ea())) #另一种获取当前地址的函数
  print(hex(ida_ida.inf_get_min_ea())) #获取当前最小地址
  print(hex(ida_ida.inf_get_max_ea())) #获取当前最大地址
  print(hex(idc.read_selection_start()))#如果你选择了某块地址 那么使用此函数则返回你选择的这块地址的起始地址
  print(hex(idc.read_selection_end())) #同上 返回结束地址.
  
  if idaapi.BADADDR == idc.here(): 
      print("BadAddress addr invalid")
  else: 
      print("addr is ok")
  

  下面则使用表格来说一下上述函数的老版函数. 便于查询. 如果你使用的是7.0 那么可以使用老版函数. 没有特殊说明的说明没有新函数.可以直接使用.

  老版函数	当前7.5支持函数	作用
  idc.ScreenEA()	idc.get_screen_ea()	获取当前指令地址
  idc.MinEA() idc.StartEA() idc.BeginEA()	ida_ida.inf_get_min_ea()	获取当前最小地址. 其中老版的三个函数都替换为了新版.使用的是同一个函数
  idc.MaxEA()	ida_ida.inf_get_max_ea()	获取当前最大地址
  idc.SelStart()	idc.read_selection_start()	获取当前光标选择的的块中的 起始地址
  idc.SelEnd()	idc.read_selection_end()	同上 返回结束地址

1.4 IDAPython中的数值获取

​ 在IDA中.如果我们想获取一个地址处的值可以使用以下几个函数

但是在IDA 7.5 支持python3之后这些函数都变了.

下面是变换之后的函数

当然与之对应的还有其判断函数
idc.isByte() Word Dwrd Qwrd
但在高版本中都变成了
ida_bytes.is_byte word dword qword
上面的word dword qword 都省略了前边的字段.使用的时候自己加上即可.
指令实战如下:

import idc

ea = idc.get_screen_ea()
value = idc.get_wide_byte(ea)
print("当前指令的硬编码为 {}".format(hex(value)));

1.5 IDAPython中的数值操作.

在上面我们讲了如何获取地址.如何获取地址指令处的值.那么我们就可以说一下如何修改指令的值.

对应的函数如下:

这些指令在IDA7.5中统统不使用了. 统统移植到 ida_bytes里面了

下面说一下这些新函数

下面看一下指令操作.

ea = idc.get_screen_ea()
value = idc.get_wide_byte(ea)
print("我是没被修改的当前=  {}".format(hex(value)))
ida_bytes.patch_byte(ea,0x90)

value = idc.get_wide_byte(ea)
print("我被修改过了当前我的值为 {} ".format(hex(value)))

二丶IDAPython实战

​ 通过上面我们介绍的一些IDA Python的操作. 你现在能进行简单的脚本制作了.

如遇到 简单的花指令 我们可以手动写脚本去除. 现在我们写一个脚本. 脚本的作用是

获取我们选择区域的所有二进制值. 如果二进制数值是0x66 那么我们就替换成 0x90 (nop)

如下图原图所示:

首先选择这一块内容 (0x004015D1 - 0X0040166B)

然后进行脚本编写

import idc
import idaapi
import idautils

#获取当前选择的起始地址
StartSeclectAddr = idc.read_selection_start()

#获取当前选择的终止地址
EndSeclectAddr = idc.read_selection_end()

#计算出当前指令长度
SelLen = EndSeclectAddr - StartSeclectAddr;

#从选择地址开始 - 选择地址结束进行遍历. 获取其指令字节. 如果是0x66 则替换成0xFF

for index in range(SelLen):
    curaddr = StartSeclectAddr+index
    tmpValue = idc.get_wide_byte(curaddr)
    if (tmpValue == 0x66):
        ida_bytes.patch_byte(curaddr,0x70)

PS: 虽然脚本没有任何意义.但是可以带我们熟悉下python与函数的结合使用.

修改后如下: