idapython让生活变得更美好:第四部分
——使用颜色和调试功能标识指令
前三部分已经验证了用IDAPython 能让工作变简单。这一部分让我们看看逆向工程师如何使用IDAPython的颜色和强大的脚本特性。
分析者经常得面对越来越复杂的代码,而且有时候无法轻易看出动态执行的时候执行的代码。使用IDAPython 的强大功能,我们不但能静态的标识指令,并且能够统计出对应的指令被使用了多少次。
背景
在这一部分中,我用C语言写了一个简单的程序。下面的代码是为了这次的练习而编写和编译的:
当我们将这个二进制加载到IDA中时,我们可以看到预期的循环与代码重定向语句。如果我们在不知道源码的情况下来看这个例子,通过静态分析能够大概判断代码实现的功能。
然而,如果我们想知道运行的时候执行了哪个区块的代码呢?让我们用IDAPython来解决这个问题吧。
编写IDAPYTHON脚本
我们第一个需要处理的难题是如何逐句遍历每一条指令,我们将会使用下面的代码来解决。(调试信息会输出已经被执行的指令)
在上面的代码中我们首先启动了调试器并且执行到函数的入口处,通过调用
'RunTo(BeginEA())'函数。接下来调用的GetDebuggerEvent() 函数会等待直到断点到达。
接着我们调用EnableTracing()函数来打开IDA的跟踪功能。紧接着的GetDebuggerEvent() 函数调用会继续执行调试器,配置跟踪步骤。最后,我们进入一个循环遍历每一个地址直到遇到结束条件。这个脚本在IDA中的输出如下所示:
下一个步骤是检索出执行的每一行并标识颜色。我们可以使用GetColor()和SetColor()函数来分别解决这两个问题。下面的代码会获取给定行数代码的当前颜色,并决定将代码设置成什么颜色,并设定颜色。
在这个例子,我使用四种不同深浅的蓝色。深蓝色表示这一行被重复执行。(读者可以根据跟人喜好修改这部分代码)
运行上面的代码能够将无颜色的行数修改为高亮的蓝色。另外,如果同一行代码运行多次会变成深蓝色。
可以使用下面的代码来删除IDA文件中之前设置的所有颜色。将颜色设置成0XFFFFFF将会变成白色,或者高效的将之前设置的所有颜色删除。
将所有的代码合到一起,我们会得到如下结果:
当我在程序用运行这段代码时,我们看到执行过的反汇编指令被高亮了。如下图所示,多次执行的指令被设置成了深蓝色,让我们能够更容易理解代码执行流程。
总结
这一部分演示的例子确实很简单,结合了IDA调试功能与颜色相关API的使用。这项技术能够让分析者在复杂应用代码分析中节省大量的时间。
更多IDAPython的使用,参见第一部分,第二部分,第三部分。
原文链接:
http://researchcenter.paloaltonetworks.com/2016/01/using-idapython-to-make-your-life-easier-part-4/